¿Es seguro monitorear el proceso java a través de JMX?

0

Estoy usando el servidor de aplicaciones java detrás del firewall de la aplicación web (nginx con TLS & mod_security).

La aplicación Java se está ejecutando en el segmento de red interna detrás de WAF. Las solicitudes de Internet llegan al servidor de aplicaciones java solo a través de WAF que se ejecuta en un host diferente en DMZ.

Quiero monitorear varias métricas de la aplicación java. JVM proporciona un servicio JMX listo para usar para monitoreo y administración, por lo que es muy fácil de configurar el monitoreo del proceso de aplicaciones Java mediante herramientas como Nagios & Zabbix. El servidor de supervisión se ejecutará en el mismo segmento de red que el servidor java o en un segmento de red de administración especial.

Mis preguntas:

  1. ¿Es seguro exponer el servicio JMX a la red local (segmento interno)?
  2. ¿Es seguro monitorear la aplicación java con JMX cuando la aplicación está procesando datos seguros?
  3. Si no, ¿debería usar algún puente http-jmx como Jolokia y no exponer JMX? En este caso, tendré que configurar manualmente todas las métricas en Nagios / Zabbix. Para JMX, las métricas estándar de Java JMX están preconfiguradas.
  4. ¿SNMP es un buen reemplazo de JMX para monitoreo?
pregunta Konstantin Pavlov 27.10.2016 - 23:45
fuente

1 respuesta

1
  1. Puede configurar JMX para exponerse en la red local con SSL y varios métodos y controles de autenticación habilitados. JMX escuchará en un puerto diferente al de la aplicación Java. Suponiendo que el servidor nginx está configurado para ser solo proxy para el puerto de la aplicación del servidor Java, entonces sin que la máquina se vea comprometida, entonces JMX no se expondrá fuera de su red interna.

  2. JMX generalmente se considera seguro a este respecto. Si su aplicación expone más métricas a través de JMX, entonces puede haber una fuga allí, pero por lo general no a través de los recursos proporcionados por la JVM predeterminados.

  3. Esto no sería más seguro que el JMX normal. Si utilizara un agente local para consultar JMX y enviar datos a Nagios / Zabbix / Graphite, sería más seguro.

  4. Oh, querido señor, no.

respondido por el Shackledtodesk 28.10.2016 - 05:35
fuente

Lea otras preguntas en las etiquetas