微服务与安全

“我们都知道洗手在预防疾病传播上的重要性,但是在面对应用安全问题时,类似的行为却变成了马后炮。我们已经掌握了在开发工作流中加入测试的做法,但是对于安全问题却常假定稍后会有其他的人去解决。”这是Sam Newman近期在伦敦微服务大会的主题演讲中所提出的观点。他的演讲内容围绕微服务环境中的安全问题而展开。

Newman当前供职于Atomist,他认为各个微服务构成了一种六边形的形态,其中每种微服务的命名是与它们的业务职责相对应的。这些微服务具备自治能力。Newman特别指出,这些微服务的自治能力主要来自于它们的独立可部署性。

单体系统通常会具有一个边界,以及一个需要得到保护的数据库。如果攻击者借助安全漏洞闯入了这样的系统,他很有可能会窃取到系统内的全部东西。如果基于微服务的系统具备了适当的安全性,我们就可以限制攻击者窃取的权限,以及在一次攻击破坏了某个服务后所能窃取到的东西。但是在使用微服务的同时,也暴露了更大的可攻击面,使得更多的服务器可被攻击。单体进程内的方法调用,现在变成了对远程API的网络调用。另外为大量服务器手动打补丁容易出现漏打补丁的情况。

通常我们在发现渗透或潜在的攻击时并不会采取理性思考。我们通常会修补漏洞以防止被再次利用,而不是退后一步从整体看待这个问题。这意味着我们常将钱花在了错误的事情上,反而将容易受攻击的缺陷留在了系统中。

正确的做法应该是建立威胁模型,并仔细思考如何在防范攻击问题上合理地分配你的精力。Newman给出了他们所使用的两个例子,分别是由Bruce Schneider提出的Attack trees以及使用了STRIDE和DREAD威胁建模技术的Microsoft安全开发生命周期。

增强安全性的一个简单做法是对包括内部网络在内的所有地方都使用HTTPS。该做法可确保消息载体不会被篡改,而且不会出现恶意的冒牌服务器。Let's encrypt是一个免费且自动化的认证机构,它的目标是试图为在公共网络中随意获取HTTPS认证提供便利。Newman指出Let's encrypt最重要的特点在于它是自动化的。服务器在对客户端进行验证时需要客户端认证,但是通常情况下管理这些认证信息会是一种负担。

Newman认为Docker是一项伟大的技术,但是他同时也指出许多受信任的官方镜像都具有严重的缺陷,这意味着安装了这些镜像的系统同时也包含了该镜像的缺陷。Newman极力推荐使用clair这类工具,它具有缺陷静态分析及日常打补丁的功能。

检测或是对已发生的攻击事件了如指掌对防止新的攻击是十分有用的,但是在运行中的服务器上发现新的缺陷也是十分重要的。一般情况下攻击会在日志中留下痕迹,因此Newman指出,我们首先要去做的一件事情是如何在一个集中的地点获取对所有日志的访问。这不仅是出于安全方面的考虑,而且是来自应用开发上的考虑。

除了预防和检测问题,Newman还指出对漏洞问题做出响应和恢复受攻击系统的重要性。你如何对一个安全漏洞问题做出响应并就该问题与客户进行沟通?你如何去恢复一个被攻击的系统?在数据散布到微服务系统中去之后,从备份进行恢复会变得更加困难。

明年的伦敦微服务大会将在11月6日至7日期间召开。

本文转自d1net(转载)

时间: 2024-11-06 07:42:56

微服务与安全的相关文章

微服务的框架选择

从微服务说起 微服务架构(MSA)是一种架构概念,旨在通过将功能分解到各个离散的服务中以实现对解决方案的解耦.你可以将其看作是在架构层次而非获取服务的类上应用很多SOLID原则. 用通俗的话来讲,就是为了高度解耦软件之间的依赖性,使每个独立的模块都能够单独测试,单独运维,最大限度的提高软件的开发流程.从下图可以看一下微服务的软件生命周期. 软件从需求分析就可以适配模块,也就是说需求分析的过程就可以加入设计,从新的角度来说就是在哪个模块中进行升级开发,开发人员在开发完成后,通过持续集成,将开发的结

微服务的4大设计原则和19个解决方案

作者|郝炎峰 编辑|小智 本文将介绍微服务架构的演进.优缺点和微服务应用的设计原则,然后着重介绍作为一个"微服务应用平台"需要提供哪些能力.解决哪些问题才能更好的支撑企业应用架构. 注:本文转载自公众号 EAWorld,已获授权. 写在前面 微服务架构现在是谈到企业应用架构时必聊的话题,微服务之所以火热也是因为相对之前的应用开发方式有很多优点,如更灵活.更能适应现在需求快速变更的大环境. 微服务平台也是我目前正在参与的,还在研发过程中的平台产品,平台是以 SpringCloud 为基础

微服务的4个设计原则和19个解决方案

微服务架构现在是谈到企业应用架构时必聊的话题,微服务之所以火热也是因为相对之前的应用开发方式有很多优点,如更灵活.更能适应现在需求快速变更的大环境. 本文将介绍微服务架构的演进.优缺点和微服务应用的设计原则,然后着重介绍作为一个"微服务应用平台"需要提供哪些能力.解决哪些问题才能更好的支撑企业应用架构. 微服务平台也是我目前正在参与的,还在研发过程中的平台产品,平台是以SpringCloud为基础,结合了普元多年来对企业应用的理解和产品的设计经验,逐步孵化的一个微服务应用平台. 一.微

SoundCloud:我们最终是如何使用微服务的?

本文讲的是SoundCloud:我们最终是如何使用微服务的,[编者的话]很多的技术文章着重介绍的都是项目后总结出的最佳实践,本文从另外的角度,介绍项目中解决问题的整个探索过程,详细讲述了在最终使用微服务架构之前所做的种种分析和尝试,这对于正在尝试解决问题的技术人员来说有很大的启示作用. 微服务是近期的热点. 当我在SoundCloud工作时,负责从一个巨大的Ruby on Rails应用程序里迁移到众多的微服务上.我已经多次讲述这个过程的技术问题了,在演讲里,也在SoundCloud的工程师博客

通过Ruby on Rails和docker构建微服务架构之入门教程

说到时下的架构,免不了会涉及到微服务.而谈到微服务架构,又跟容器和Docker技术脱不了关系.虽然容器和Docker并不完全是一回事,但两者是密不可分的,而且二者之间也有共同之处:在大型复杂应用的构建和运营方面,二者都可以大大提高企业的效率.   微服务可不像一般的应用,可以通过apt-get工具进行安装,大家可能会问了:我们该如何才能像安装应用一样实现这种服务呢?在很大的程度上,这个问题的答案是否定的,我们无法轻松实现这种服务.更准确的说,至少目前我们还无法实现.在一个系统中,最难修改的就是架

微服务——分解应用以实现可部署性和可扩展性

本文描述了日渐流行的微服务架构模式.微服务背后大的理念是将大型.复杂且历时长久的应用在架构上设计为内聚的服务,这些服务能够随着时间的流逝而演化.微服务这个术语强烈建议服务应该是很小的. 社区中有些人甚至建议构建10-100代码行(LOC)的服务.但是,尽管很小的服务是我们想要的,但这不应该是主要的目标.你应该致力于将系统分解为服务,以解决下面所讨论的开发和部署问题.一些服务可能确实会很微小,但有些可能会非常大. 微服务架构的本质并不新鲜.分布式系统的理念历史非常悠久.微服务架构也很类似于SOA.

微服务(Microservices)—Martin Flower【翻译】【转载】

本文转载自:http://www.cnblogs.com/liuning8023/p/4493156.html ---------------------------------------------------------------------------- 原文是 Martin Flower 于 2014 年 3 月 25 日写的<Microservices>. 本文内容 微服务 微服务风格的特性 组件化(Componentization )与服务(Services) 围绕业务功能的组

华为架构师8年经验谈:从单体架构到微服务的服务化演进之路

本次分享的大纲如下: 传统应用开发面临的挑战 服务化实践 服务化不是银弹 服务化架构的演进方向   一 .传统应用开发面临的挑战 挑战1-- 研发成本高   主要体现在如下几个方面:   代码重复率高   在实际项目分工时,开发都是各自负责几个功能,即便开发之间存在功能重叠,往往也会选择自己实现,而不是类库共享,主要原因如下:   从技术架构角度看,传统垂直架构的特点是本地API接口调用,不存在业务的拆分和互相调用,使用到什么功能就本地开发,非常方便,不需要过度依赖于其它功能模块: 从考核角度来

王东:微服务下的APM全链路监控

什么是APM? APM (Application Performance Management) 即应用性能管理,属于IT运维管理(ITOM)范畴.主要是针对企业 关键业务的IT应用性能和用户体验的监测.优化,提高企业IT应用的可靠性和质量,保证用户得到良好的服务,降 低IT总拥有成本(TCO). APM的发展历程 Gartner对APM的定义(2014) 2014年Gartner对APM的5个定义: Gartner对APM的定义(2016) 2016年重新定义,将原来的五部分合成三部分. 服务

DockOne微信分享(九十六):爱油科技基于SpringCloud的微服务实践

本文讲的是DockOne微信分享(九十六):爱油科技基于SpringCloud的微服务实践[编者的话]本次分享主要介绍了爱油科技基于Docker和Spring Cloud将整体业务微服务化的一些实践经验,主要包括: 微服务架构的分层和框架选型 服务发现和配置管理 服务集成和服务质量保证 基于领域驱动设计 实施DevOps 从单体应用到微服务 单体应用 对于单体应用来说,优点很多,例如: 小而美,结构简单易于开发实现 部署门槛低,单个Jar包或者网站打包即可部署 可快速实现多实例部署 然而随着业务