Surveillance de la sécurité des applications Java avec les outils du JDK et les événements JFR
•
1 j'aime•181 vues
Présentation de DevoxxFR
Recommandé
Contenu connexe
Similaire à Surveillance de la sécurité des applications Java avec les outils du JDK et les événements JFR
Similaire à Surveillance de la sécurité des applications Java avec les outils du JDK et les événements JFR (20)
Plus de Ana-Maria Mihalceanu
Plus de Ana-Maria Mihalceanu (20)
Surveillance de la sécurité des applications Java avec les outils du JDK et les événements JFR
- 1. Surveillance de la Sécurité des Applications Java avec les Outils du JDK et les Événements JFR Ana-Maria Mihalceanu Senior Developer Advocate Java Platform Group
- 2. https://twitter.com/ammbra1508 https://mastodon.social/@ammbra1508 https://github.com/ammbra “DevOps Tools for Java Developers” guest author https://dev.java
- 3. 4/16/24 Copyright © 2024, Oracle and/or its affiliates | 3 Découvrir comment JDK Flight Recorder, JDK Mission Control et JFR Security Events peuvent vous aider à surveiller la sécurité de votre application Java afin que vous puissiez détecter les risques potentiels pour la sécurité. Objectif
- 4. 4/16/24 Copyright © 2024, Oracle and/or its affiliates | 5 • Pendant l'exécution d'une application Java, JFR peut collecter les événements qui se produisent dans la JVM. • Les événements JFR expriment l’état de l’application et de la JVM sous-jacente. JDK Flight Recorder (JFR) Événements Event ID Timestamp Thread ID Stack Trace ID Event Specific Payload Duration Composants d'événement JFR
- 5. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 6 Nom Description Rétroporté vers Activé par défaut jdk.TLSHandshake Suit de l'activité de négociation TLS. Oracle JDK 11.0.5 et 8u231 Non jdk.X509Certificate Enregistre les détails des certificats X.509. Oracle JDK 11.0.5 et 8u231 Non jdk.X509Validation Enregistre les détails des certificats X.509 négociés lors d'une validation X.509 réussie. Oracle JDK 11.0.5 et 8u231 Non jdk.SecurityPropertyModification Enregistre les appels de Security.setProperty(String key, String value). Oracle JDK 11.0.5 et 8u231 Non jdk.InitialSecurityProperty Donne des informations sur les propriétés de sécurité initiales du JDK. Oracle JDK 17.0.7 et 11.0.20 Oui jdk.SecurityProviderService Enregistre les appels de méthodes du fournisseur de services. JDK 17.0.8, 11.0.22 et 8u391 Non JFR Événements de Sécurité
- 6. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 13 Configuration Locale de la Démo
- 7. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted 19 Surveillance Continue dans le Cloud
- 8. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 20 À l'aide d'un MBeanServerConnection Surveiller un hôte distant String host = "com.example"; int port = 7091; String url = "service:jmx:rmi:///jndi/rmi://" + host + ":" + port + "/jmxrmi"; JMXServiceURL u = new JMXServiceURL(url); JMXConnector c = JMXConnectorFactory.connect(u); MBeanServerConnection connection = c.getMBeanServerConnection(); try (RemoteRecordingStream stream = new RemoteRecordingStream(connection)) { stream.enable("jdk.X509Certificate").withStackTrace(); stream.onEvent("jdk.X509Certificate", System.out::println);, stream.start(); }
- 9. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 21 Diffusez les Événements JFR en Manière Active CompositeMeterRegistry metricsRegistry = Metrics.globalRegistry; try (var es = EventStream.openRepository()) { es.onEvent("jdk.X509Validation", recordedEvent -> { Gauge.builder("jdk.X509Validation", recordedEvent, e -> e.getLong("validationCounter")) .description("X509 Certificate Validation Counter") .register(metricsRegistry); }); es.start(); } catch (IOException e) { throw new RuntimeException("Couldn't process event", e); }
- 10. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 22 Faire Évoluer la Configuration de la démo
- 11. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 23 Jouons et Observons !
- 12. 4/16/24 Copyright © 2021, Oracle and/or its affiliates | 25 • Monitoring Java Application Security with JDK tools and JFR Events: https://dev.java/learn/security/monitor/ • Stack Walker ep 2 on JFR https://inside.java/2023/05/14/stackwalker-02/ • Continuous monitoring with JDK Flight Recorder: https://www.infoq.com/presentations/monitoring-jdk-jfr/ • Code used during demo: https://github.com/ammbra/tictactoe • OCI Instance installation: https://www.anamihalceanu.com/post/building-a-cloud-compute-instance-with- java-concepts • Compose files in OCI: https://docs.oracle.com/en/learn/podman-compose/index.html#confirm-podman- compose-is-working • More articles on Java Management Service: https://inside.java/tag/cloud • Gunnar Morling’s article on custom JFR events: https://www.morling.dev/blog/rest-api-monitoring-with- custom-jdk-flight-recorder-events/ Liens Utiles