x

【微服务架构】微服务安全性如何保护您的微服务基础设施?

Chinese, Simplified
SEO Title
Microservices Security How To Secure Your Microservice Infrastructure?

在当今的市场中,各个行业都在使用各种软件架构和应用程序,因此几乎不可能认为您的数据是完全安全的。因此,在使用微服务体系结构构建应用程序时,安全问题变得更加重要,因为各个服务之间和客户端之间进行通信。因此,在这篇关于微服务安全性的文章中,我将按照以下顺序讨论保护微服务的各种方法。

  • microservices是什么?
  • 微服务面临的问题
  • 确保微服务的最佳实践

Microservices是什么?

微服务,又称微服务体系结构,是一种体系结构样式,它将应用程序构造为围绕业务域建模的小型自主服务集合。因此,您可以将微服务理解为围绕单个业务逻辑彼此通信的小型独立服务。如果您希望更深入地了解微服务,那么可以参考我的文章。

What are Microservices - Microservice Security - Edureka

现在,当公司从单一架构转向微服务时,他们通常会看到许多好处,比如可伸缩性、灵活性和较短的开发周期。但是,与此同时,这种架构也引入了一些复杂的问题。

因此,在本文关于微服务安全性的下一篇文章中,让我们了解微服务体系结构中面临的问题。

微服务面临的问题

微服务面临的问题如下:

问题1:

考虑一个场景,其中用户需要登录才能访问资源。现在,在微服务体系结构中,必须以这样一种方式保存用户登录细节,即在用户每次试图访问资源时都不需要进行验证。现在,这产生了一个问题,因为用户细节可能不安全,也可能被第三方访问。

问题2:

当客户端发送请求时,需要验证客户端详细信息,还需要检查授予客户端的权限。因此,在使用微服务时,可能需要对每个服务进行身份验证和授权。现在,为了做到这一点,开发人员可能对每个服务使用相同的代码。但是,您不认为依赖特定的代码会降低微服务的灵活性吗?当然有。所以,这是这个架构中经常面临的主要问题之一。

问题3:

下一个非常突出的问题是每个微服务的安全性。在这种体系结构中,除了第三方应用程序之外,所有的微服务都可以同时彼此通信。因此,当客户端从第三方应用程序登录时,您必须确保客户端不能访问微服务的数据,以防止他/她利用这些数据。

好了,上述问题并不是微服务体系结构中发现的唯一问题。我想说,基于应用程序和您所拥有的体系结构,您可能会面临许多与安全性相关的其他问题。在这一点上,让我们继续这篇关于微服务安全性的文章,并了解减少挑战的最佳方法。

微服务安全的最佳实践

提高微服务安全性的最佳实践如下:

深度防御机制

众所周知,微服务采用任何细粒度级别的机制,因此可以应用深度防御机制来增强服务的安全性。通俗地说,深度防御机制基本上是一种技术,通过这种技术可以应用多层安全对策来保护敏感服务。因此,作为开发人员,您只需用最敏感的信息标识服务,然后应用多个安全层来保护它们。通过这种方式,您可以确保任何潜在的攻击者都不能在一次攻击中破解安全性,并且必须继续尝试破解所有层的防御机制。

此外,由于在微服务体系结构中,您可以在不同的服务上实现不同的安全层,因此成功利用特定服务的攻击者可能无法破解其他服务的防御机制。

令牌和API网关

通常,当您打开一个应用程序时,您会看到一个对话框,上面写着“接受cookie的许可协议和权限”。这个信息意味着什么?一旦您接受了它,您的用户凭证将被存储并创建一个会话。现在,下一次访问同一页面时,页面将从缓存中加载,而不是从服务器本身加载。在这个概念出现之前,会话集中存储在服务器端。但是,这是横向扩展应用程序的最大障碍之一。

令牌

所以,这个问题的解决方案是使用令牌来记录用户凭证。这些令牌用于轻松地识别用户,并以cookie的形式存储。现在,每当客户机请求web页面时,请求都会被转发到服务器,然后服务器确定用户是否可以访问所请求的资源。

现在,主要的问题是存储用户信息的令牌。因此,需要对令牌数据进行加密,以避免第三方资源的利用。Jason Web Format(通常称为JWT)是一种开放标准,它定义了令牌格式,为各种语言提供库,并且对这些令牌进行加密。

API网关

API网关作为额外的元素添加,以通过令牌身份验证保护服务。API网关充当所有客户端请求的入口点,并有效地向客户端隐藏微服务。因此,客户端不能直接访问微服务,因此,没有客户端可以利用任何服务。

分布式跟踪和会话管理

分布式跟踪

在使用微服务时,您必须不断地监视所有这些服务。但是,当您必须同时监视大量的服务时,就会出现问题。为了避免这些挑战,您可以使用一种称为分布式跟踪的方法。分布式跟踪是一种查明故障并找出故障原因的方法。不仅如此,您还可以确定失败发生的位置。因此,很容易追踪到哪个微服务面临安全问题。

会话管理

在保护微服务时,会话管理是必须考虑的一个重要参数。现在,只要用户进入应用程序,就会创建一个会话。因此,可以通过以下方式处理会话数据:

您可以将单个用户的会话数据存储在特定的服务器中。但是,这种系统完全依赖于服务之间的负载平衡,只满足水平扩展。

完整的会话数据可以存储在单个实例中。然后数据可以通过网络同步。唯一的问题是,在这种方法中,网络资源会被耗尽。

您可以确保可以从共享会话存储中获取用户数据,从而确保所有服务都可以读取相同的会话数据。但是,由于数据是从共享存储中检索的,因此需要确保有某种安全机制,以便以安全的方式访问数据。

第一会话和相互SSL

第一次会议的想法很简单。用户需要登录一次应用程序,然后才能访问应用程序中的所有服务。但是,每个用户最初必须与身份验证服务通信。当然,这肯定会导致所有服务之间的大量通信,而且对于开发人员来说,在这种情况下找出故障可能很麻烦。

对于相互SSL,应用程序经常面临来自用户、第三方以及彼此通信的微服务的流量。但是,由于这些服务是由第三方访问的,因此总是存在被攻击的风险。现在,这种场景的解决方案是微服务之间的相互SSL或相互身份验证。这样,在服务之间传输的数据将被加密。这种方法的惟一问题是,当微服务的数量增加时,由于每个服务都有自己的TLS证书,因此开发人员很难更新证书。

第三方应用程序访问

我们所有人都访问第三方应用程序。第三方应用程序使用用户在应用程序中生成的API令牌来访问所需的资源。因此,第三方应用程序可以访问特定用户的数据,而不能访问其他用户的凭据。这是关于单个用户的。但是,如果应用程序需要访问多个用户的数据呢?你认为如何处理这样的要求?

使用OAuth

解决方案是使用OAuth。当您使用OAuth时,应用程序会提示用户对第三方应用程序进行授权,以使用所需的信息并为其生成一个令牌。通常,授权代码用于请求令牌,以确保用户的回调URL不会被窃取。

因此,在提到访问令牌时,客户机与授权服务器通信,而该服务器授权客户机,以防止其他人伪造客户机的身份。因此,当您与OAuth一起使用微服务时,这些服务充当OAuth体系结构中的客户端,以简化安全问题。

好了,各位,我不会说这是唯一的方式,通过这些您可以确保您的服务。您可以基于应用程序的体系结构以多种方式保护微服务。因此,如果您希望构建基于微服务的应用程序,那么请记住,服务的安全性是您需要谨慎考虑的一个重要因素。关于这一点,我们将结束这篇关于微服务安全性的文章。我希望这篇文章能让你有所收获。

 

原文:https://www.edureka.co/blog/microservices-security

本文:https://pub.intelligentx.net/microservices-security-how-secure-your-microservice-infrastructure

讨论:请加入知识星球或者小红圈【首席架构师圈】或者飞聊小组【首席架构师智库】

Tags

Article
知识星球
 
微信公众号
 
视频号