È sicuro monitorare il processo java tramite JMX

0

Sto usando il server di applicazioni Java dietro il firewall dell'applicazione Web (nginx con TLS e mod_security).

L'applicazione Java è in esecuzione nel segmento di rete interno dietro WAF. Le richieste provenienti da Internet arrivano al server delle applicazioni Java solo tramite WAF che è in esecuzione su un host diverso in DMZ.

Voglio monitorare varie metriche dell'applicazione java. JVM offre un servizio JMX pronto per il monitoraggio e la gestione, quindi è molto semplice configurare il monitoraggio del processo dell'applicazione Java da strumenti come Nagios & Zabbix. Il server di monitoraggio verrà eseguito sullo stesso segmento di rete del server java o in un segmento di rete di gestione speciale.

Le mie domande:

  1. È sicuro esporre il servizio JMX alla rete locale (segmento interno)?
  2. È sicuro monitorare l'applicazione java con JMX quando l'applicazione sta elaborando dati protetti?
  3. In caso negativo, dovrei usare un bridge http-jmx come Jolokia e non esporre JMX? In questo caso dovrò impostare manualmente tutte le metriche in Nagios / Zabbix. Per JMX le metriche java JMX standard sono preconfigurate.
  4. SNMP è un buon sostituto di JMX per il monitoraggio?
posta Konstantin Pavlov 27.10.2016 - 23:45
fonte

1 risposta

1
  1. È possibile configurare JMX per essere esposto sulla rete locale con SSL e vari metodi di autenticazione e controlli abilitati. JMX ascolterà su una porta diversa dall'applicazione Java. Supponendo che il server nginx sia configurato per il solo proxy sulla porta dell'applicazione del server Java, quindi senza che la macchina venga compromessa, JMX non verrà esposto all'esterno della rete interna.

  2. JMX è generalmente considerato sicuro in questo senso. Se l'applicazione espone più metriche tramite JMX, allora potrebbe esserci una perdita, ma in genere non attraverso le risorse fornite da JVM predefinite.

  3. Questo non sarebbe più sicuro del normale JMX. Se hai utilizzato un agente locale per interrogare JMX e inviare dati a Nagios / Zabbix / Graphite, sarebbe più sicuro.

  4. Oh, mio caro, no

risposta data 28.10.2016 - 05:35
fonte

Leggi altre domande sui tag