8、邊緣到端點的安全
對於微服務架構,需要考慮「邊緣到端點」的安全策略,具體如下圖6所示:
如圖6所示,外部api閘道器執行身份認證以及其他功能,例如內容檢查,然後使用諸如json web令牌之類的標準,將安全內容「注入」到api呼叫中。接下來,微閘道器可以使用此安全內容資訊(包括api客戶端的屬性,如位置)執行細粒度授權。您也可以選擇,使用外部化訪問管理產品,來執行該細粒度授權,例如axiomatics policy server。如果api呼叫得到了授權,那麼微閘道器會將它們傳遞給微服務本身。這是邊緣到端點安全策略的乙個好處。這種體系結構的另乙個優點是微服務到微服務之間的通訊不需要經過外部閘道器層,也可以使用json web令牌。
六、下一步
如《如何建立有效的api安全策略(三)》中的圖4所示,api安全性的第一步是了解您的組織建立和使用的api。選擇適當的工具來保護這些api,通過使用功能方法來標識api安全策略中的步驟,然後將這些步驟對映到提供這些功能的產品(如《如何建立有效的api安全策略(二)》中的圖1、2和3所示)。
確保表1(見《如何建立有效的api安全策略(一)》)中列出的所有相關利益者都能看到這個過程。最後,抵制**,不是自己去構建api安全策略,而是使用現成的產品(其中一些可能已經被您的組織部署了),從而來獲得api安全性的好處。
七、案例研究
在銀行業,第三方技術公司(通常是金融科技初創公司,稱為「fintechs」)提**用程式,從而為終端使用者提供服務,如個人財務管理或賬戶彙總。這些應用程式一般通過一種被稱為「螢幕抓取」的方法與銀行進行互動。請注意,剛剛提到的術語「螢幕抓取」的用法與以前用於使用者介面的光學字元識別(ocr)的用法不同。它以如下所述的方式工作:
1、使用者在第三方應用程式中輸入他們的網上銀行憑證。
因為這些應用程式可以代表使用者連線到多個銀行和投資服務,所以使用者憑證通常由應用程式提供商儲存。銀行自然而然會擔憂安全問題。實際上,銀行可以通過提供api的方式來控制第三方的訪問,一般有兩種實現方式:
1、應用程式提供商(例如fintechs)必須通過api開發者門戶**註冊,才能使用銀行的api。
2、客戶登入網上銀行系統,授權第三方應用程式從而代表他們來訪問銀行系統。通常使用oauth 2.0版本。
具體如圖7所示:
銀行正在與第三方協商,讓對方同意通過api的方式訪問資料。capital one financial corporation是乙個成功的例子,它已經宣布與財務管理公司intuit達成協議,允許使用intuit服務套件(包括quickbooks online、mint和turbotax)的capital one客戶通過api安全地匯入他們的財務資料,而無需共享登入憑證。
許多國家的銀行業法規,特別是歐盟的psd2,要求銀行開放用於訪問賬戶和支付狀態的api。這種情況下,銀行在開放api時(包括支援不同級別的訪問許可權),嵌入api安全策略來保護這些api尤為關鍵。
(完)
如何建立雲安全策略
一些首席資訊保安官 ciso 被組織引導到雲計算中,他們決定必須利用分布式系統的強大和靈活性。而其他人是沒有由管理層批准或知識而只註冊雲服務的員工推入的。無論哪種方式,如果沒有雲安全技術戰略,那麼組織將會遇到麻煩,forrester公司研究副總裁兼首席安全分析師安德拉斯 西瑟說。在當今世界,許多首席...
BYOD來襲 企業如何建立移動安全策略
移動裝置正在日益強烈地改變著人們的生活和工作方式。智慧型手機和平板電腦等也加入到膝上型電腦和台式電腦組成的工作環境,並且正被許多企業用作新式工具。移動裝置用於業務在給企業帶來便利和效率的同時,由於雇員越來越頻繁地用它訪問企業網路和資料,從而把安全風險帶給了企業和個人的敏感資訊。企業必須為移動裝置在辦...
如何建立有效的軟體測試準則?
典型的既無意義,也不能實現目標的兩個測試結束準則 1用完了安排的測試時間後,測試便結束。2當執行完所有測試用例都未發現錯誤,測試便結束。也就是說,當所有的測試用例不成功時便結束。第一條準則沒有任何作用,因為可以什麼都不做就能滿足它。它並不能衡量測試的質量。第二條準則同樣無用。因為它與測試用例的質量無...