在生產環境中採用與部署微服務應用的決策上,很顯然安全性佔據了非常重要的角色。根據451 research的研究報告《2023年軟體定義基礎架構前景展望》:在未來一年中,將近45%的企業或已實現,或計畫推出基於容器的應用。隨著在企業與容器應用方面devops實踐逐漸普遍起來,安全管理者需要掌握維護應用安全的訣竅。下面這四條正是確保微服務應用安全的最佳實踐範例。
通常來說,安全管理者並不了解:在微服務應用中不同服務間的互動哪些是允許的。儘管在需要確保應用安全性時,管理者需要配置安全策略,並基於應用部署指南或者其它來自開發者的非正式指導來管理相應的互動。隨著應用發展,新服務上線,規則也可能會修改。
迎接這一挑戰,緩解問題的方式之一就是觀察並視覺化服務間的通訊,通過對應用行為的理解,建立起相應的策略基準線。服務發現機制能自動檢測到應用中出現的新服務,而使用這些功能可以讓開發者與管理者了解服務的實時互動與效能表現,也有助於安全團隊發現異常的溝通模式,甚至識別潛在的漏洞。
微分段是在應用之間通過策略建立起遮蔽,按顆粒度分段來保障各部分的安全。微分段可以使用相對較粗的顆粒度,比如將開發環境與生產環境相隔離;或者更細緻一些的,比如管理電子商務應用中的目錄服務與訂單管理服務之間的互動。對於在微服務中的分段執行工作,在每個主機所執行的服務例項中,策略以集群為級別來執行。
對應用或服務間資料傳輸進行加密,使得應用合乎要求,同時也提高其安全性(特別是公共網路上的資料安全性)。保持證書更新、管理軟體版本、修復已知ssl問題。在工具上的投入有助於管理與分發密匙,在解決資源擴充套件的問題時保持更新密匙,這樣加密就不會影響到效能了。
跨越不同系統與重複任務的複雜管理功能經常會出現人為的錯誤,最應當避免卻時常出現的安全事故源頭仍是人為的錯誤,比如配置錯誤或者忘記更新。我們的目標是:將諸如可在不同應用間複製的策略定義、將管理與開發角色相分離、管理ssl證書與密匙等任務自動化,以減少人為錯誤發生;而距離這一目標,我們還有很長的路要走。同樣,想要將整個堆疊的部署、管理與維護等任務自動化,以提高整體動態環境的安全狀態評估值,也有許多的工作需要完成。
採用微服務時必須解決的四個挑戰
原文 微服務架構比原有系統要複雜得多,由於團隊必須要管理與支援許多移動的部件,整體環境愈加複雜。其中一些必須要考慮的問題包括 其他要考慮的事情包括 運營與基礎架構 開發團隊必須與運營團隊更加緊密地合作,否則由於多個運營同時進行,情況會失去控制。支援 對微服務安裝提供支援和維護,比之前為單一整體式應用...
採用微服務時必須解決的四個挑戰
原文 微服務架構比原有系統要複雜得多,由於團隊必須要管理與支援許多移動的部件,整體環境愈加複雜。其中一些必須要考慮的問題包括 其他要考慮的事情包括 運營與基礎架構 開發團隊必須與運營團隊更加緊密地合作,否則由於多個運營同時進行,情況會失去控制。支援 對微服務安裝提供支援和維護,比之前為單一整體式應用...
如何構建安全的微服務應用
目錄 一 前言 二 單體應用認證和鑑權 三 微服務認證和鑑權 1 面臨的問題 2 使用者身份認證 3 使用者狀態保持 4 實現單點登入 5 使用者許可權控制 6 微服務之間的認證與鑑權 7 第三方應用 四 總結 我們知道微服務技術或微服務架構是一把雙刃劍,其給我們帶來了簡單 靈活的部署,聚焦 專注快...