15、架构-可靠通讯之服务安全

概述

        我们已经了解了与具体架构形式无关的业界主流安全概念和技术标准(如TLS、JWT、OAuth 2等概念),在上一章节探讨了与微服务运作特点相适应的零信任安全模型。在本节中,我们将从实践和编码的角度出发,介绍在微服务时代(以Spring Cloud为例)和云原生时代(以Istio over Kubernetes为例)分别如何实现安全传输、认证和授权。通过这两者的对比,我们将探讨在微服务架构下如何将业界的安全技术标准引入并实际落地,实现零信任网络下安全的服务访问。

建立信任

        零信任网络里不存在默认的信任关系。一切服务调用、资源访问成功与否,均需以调用者与提供者间已建立的信任关系为前提。此前我们曾讨论过,真实世界里能够达成信任的基本途径不外乎基于共同私密信息的信任和基于权威公证人的信任两种。在网络世界里,因为客户端和服务端之间一般没有什么共同私密信息,所以真正能采用的就只能是基于权威公证人的信任,这种信任有一个标准的名字:公开密钥基础设施(Public Key Infrastructure, PKI)。

PKI 和 TLS

        PKI是构建传输安全层(Transport Layer Security, TLS)的必要基础。在任何网络设施都不可信任的假设前提下,无论是DNS服务器、代理服务器、负载均衡器还是路由器,传输路径上的每一个节点都有可能监听或者篡改通信双方传输的信息。要保证通信过程不受到中间人攻击的威胁,启用TLS对传输通道本身进行加密,让发送者发出的内容只有接受者可以解密是唯一具备可行性的方案。

TLS的实现

建立TLS传输,看似不复杂,只要在部署服务器时预置好CA根证书,以后用该CA为部署的服务签发TLS证书便可。然而,落到实际操作上,这事情就属于典型的“必须集中在基础设施中自动进行的安全策略实施点”。面对数量庞大且能够自动扩缩的服务节点,依赖运维人员手工去部署和轮换根证书必定是难以为继的。除了随服务节点动态扩缩而来的运维压力外,微服务中TLS认证的频次也显著高于传统应用。比起公众互联网中主流的单向TLS认证,在零信任网络中,往往要启用双向TLS认证,即不仅要确认服务端的身份,还要确认调用者的身份。

单向TLS认证与双向TLS认证

  • 单向TLS认证:只需要服务端提供证书,客户端通过服务端证书验证服务器的身份,但服务器并不验证客户端的身份。单向TLS用于公开服务,即任何客户端都被允许连接到服务进行访问,它保护的重点是客户端免遭冒牌服务器的欺骗。

  • 双向TLS认证:客户端和服务端双方都要提供证书,双方各自通过对方提供的证书来验证对方的身份。双向TLS用于私密服务,即服务只允许特定身份的客户端访问,除了可以保护客户端不连接到冒牌服务器外,也可以保护服务端不遭到非法用户的越权访问。

 认证

根据认证的目标对象,认证可以分为两种类型:一种是以机器作为认证对象,即访问服务的流量来源是另外一个服务,称为服务认证(Peer Authentication,直译为“节点认证”);另一种是以人为认证对象,即访问服务的流量来自于最终用户,称为请求认证(Request Authentication)。无论哪一种认证,无论是否有基础设施的支持,均需有可行的方案来确定服务调用者的身份,建立信任关系才能调用服务。

服务认证

Istio版本的Fenix’s Bookstore采用了双向TLS认证作为服务调用双方的身份认证手段。得益于Istio提供的基础设施的支持,我们不需要Google Front End、Application Layer Transport Security这些安全组件,也不需要部署PKI和CA,甚至无须改动任何代码就可以启用mTLS认证。

mTLS的配置

如果你的分布式系统还没有达到完全云原生的程度,其中仍存在部分不受Istio管理(即未注入边车)的服务端或者客户端,你也可以将mTLS传输声明为“宽容模式”(Permissive Mode)。宽容模式的含义是受Istio管理的服务会允许同时接收纯文本和mTLS两种流量,纯文本流量仅用于与那些不受Istio管理的节点进行交互,你需要自行解决纯文本流量的认证问题;而对于服务网格内部的流量,则强制要求使用mTLS加密。

例子配置

以下是一个示例配置:

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: defaultnamespace: istio-system
spec:mtls:mode: PERMISSIVE

用户认证

对于来自最终用户的请求认证,Istio版本的Fenix’s Bookstore仍然能做到单纯依靠基础设施解决问题,整个认证过程无须应用程序参与。例如,通过配置Istio的RequestAuthentication CRD,可以对外部用户的请求进行JWT验证,从而实现用户认证的自动化和透明化。

RequestAuthentication配置示例

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:name: request-jwtnamespace: bookstore-servicemesh
spec:jwtRules:- issuer: "https://example.com"jwksUri: "https://example.com/.well-known/jwks.json"

授权

在零信任网络中,服务之间没有固有的信任关系。只有已知的、明确授权的调用者才能访问服务,阻止攻击者通过某个服务节点中的代码漏洞来越权调用其他服务。这一原则可阻止攻击者扩大其入侵范围,与微服务设计模式中使用断路器、舱壁隔离实现容错来避免雪崩效应类似,在安全方面也应当采用这种“互不信任”的模式来减小入侵危害的影响范围。

基于角色的访问控制(RBAC)

RBAC是一种常见的授权机制,通过预定义角色和角色与权限的对应关系来控制用户或服务的访问权限。在Istio中,通过配置AuthorizationPolicy CRD,可以实现基于角色的访问控制。

AuthorizationPolicy配置示例

以下配置声明了一个授权策略,允许具有“admin”角色的用户访问“bookstore-servicemesh”命名空间中的所有服务:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:name: allow-adminnamespace: bookstore-servicemesh
spec:rules:- from:- source:principals: ["cluster.local/ns/bookstore-servicemesh/sa/admin"]

通过上述配置,我们可以确保只有具有“admin”角色的用户才能访问指定的服务,从而实现细粒度的访问控制,提升系统的安全性。

总结

服务安全是零信任网络的重要组成部分,通过建立信任、认证和授权等机制,可以有效保护微服务系统的安全性。在微服务和云原生环境下,通过使用诸如Istio等服务网格技术,可以简化安全机制的实现,确保系统在任何情况下都能安全运行。尽管实现零信任安全模型需要克服诸多技术和运维挑战,但其在提升系统安全性方面的优势无疑是显著的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/29603.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

上证50etf期权的手续费要多少钱?期权懂分享

今天带你了解上证50etf期权的手续费要多少钱?上证50ETF期权的开户一般交易手续费默认为7元一张。在进行期权开户之前,建议提前联系一名券商的客户经理,协商期权手续费优惠事宜。 上证50etf期权的手续费要多少钱? 上证50ETF期权的…

IDEA中SpringMVC的运行环境问题

文章目录 一、IEAD 清理缓存二、用阿里云和spring创建 SpringMVC 项目中 pom.xml 文件的区别 一、IEAD 清理缓存 springMVC 运行时存在一些之前运行过的缓存导致项目不能运行,可以试试清理缓存 二、用阿里云和spring创建 SpringMVC 项目中 pom.xml 文件的区别 以下…

通过LotusScript中的NotesDateTime类来进行时间计算

大家好,才是真的好。 今天我们介绍的是时间日期处理,其实以前也讲过,主要是通过LotusScript中的NotesDateTime类来进行时间计算。 但是这里也存在一个问题:就是时间日期类的比较只能计算出秒,不能计算出毫秒。 毕竟…

python反爬⾍策略应对

应对⽹站的反爬⾍措施通常涉及到⼀系列技术和策略,以模仿正常⽤⼾的⾏为或规避检测机制。 1. 更换⽤⼾代理(User-Agent):很多⽹站会检查HTTP请求的 User-Agent 字段来识别爬⾍。通过更换不同的 User-Agent ,爬⾍可以…

BEV 中 multi-frame fusion 多侦融合(一)

文章目录 参数设置align_dynamic_thing:为了将动态物体的点云数据从上一帧对齐到当前帧流程旋转函数平移公式filter_points_in_ego:筛选出属于特定实例的点get_intermediate_frame_info: 函数用于获取中间帧的信息,包括点云数据、传感器校准信息、自车姿态、边界框及其对应…

电脑怎么录音?分享2种音频录制方法

在日常生活和工作中,我们经常需要录制电脑上的音频,无论是为了记录会议内容、保存网络课程,还是为了制作自己的音频素材,录音功能都显得尤为重要。那么电脑怎么录音?本文将详细介绍2种方法教你如何在电脑上进行录音&am…

Qt做群控系统

群控系统顾名思义,一台设备控制多台机器。首先我们来创造下界面。我们通过QT UI设计界面。设计界面如下: 登录界面: 登录界面分为两种角色,一种是管理员,另一种是超级管理员。两种用户的主界面是不同的。通过选中记住…

MyBatis中的延迟加载与分步查询总结

MyBatis中的延迟加载与分步查询总结 大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿! 1. 延迟加载 延迟加载是MyBatis中的一项重要特性,它允许在需要…

构建专属Web SSH客户端:从零到一打造你的在线运维利器

随着云服务和远程工作的普及,能够随时随地访问服务器变得越来越重要。虽然市面上已有不少成熟的SSH客户端,但打造一个属于自己的Web版SSH工具,不仅能根据个人需求定制功能,还能享受灵活访问的便利。 本文将带你一步步实践&#xf…

PromptMRG: Diagnosis-Driven Prompts for Medical Report Generation

文章汇总 存在的问题 罕见疾病在训练数据中的代表性不足,使其诊断性能不可靠。 解决办法 1:利用预训练的CLIP模型从数据库中检索相似的报告来辅助查询图像的诊断。 2:设计SDL模块根据不同疾病的学习状态自适应调整优化目标。 流程解读 文…

.Net Core WebApi 程序在Swagger API说明文档中不显示注释的解决办法

本次所用版本为 .Net6.0 现象:在Swagger启动后,API接口等不显示注释描述,如下: 在代码中找到调用AddSwaggerGen的地方,如下: builder.Services.AddSwaggerGen(); 修改为: builder.Services.…

【精品方案】数字孪生赋能的智慧园区物联网云平台建设方案

引言:随着信息技术的快速发展,智慧园区建设已成为城市发展的重要趋势。数字孪生技术作为智能制造和智慧城市的核心技术之一,为智慧园区的建设提供了全新的解决方案。本方案旨在通过构建基于数字孪生的物联网云平台,实现智慧园区的…

深圳比创达|EMI电磁干扰行业:从挑战到机遇的蜕变

在当今科技日新月异的时代,电磁干扰(EMI)已成为影响电子设备性能和稳定性的重要因素。EMI电磁干扰行业因此应运而生,致力于研究和解决电磁干扰问题,确保电子设备的正常运行。 一、EMI电磁干扰行业面临的挑战 随着电子…

远程桌面有时连接不上,远程桌面时连接不上的七个处理方法

远程桌面连接作为一种方便、高效的远程管理工具,广泛应用于企业办公、技术支持以及在线教育等多个领域。然而,在实际应用中,用户有时会遇到远程桌面连接不上的情况,这不仅影响了工作效率,还可能导致重要任务的延误。因…

shell函数的定义

shell函数的定义 ​ 定义:将命令序列按照格式写在一起.格式指的是函数的固定格式 ​ 作用:方便重复使用,还可以做成函数库,集中在一起,随时可以传参调用,大的工程分割成小的模块,提高代码的可读性. 函数的格式 vim hanshu1.shfunction shopping {命令序列}shopping () {命令…

基于QT和C++实现的中国象棋

一&#xff0c;源码 board.h #ifndef BOARD_H #define BOARD_H#include <QWidget> #include "Stone.h"class Board : public QWidget {Q_OBJECT public:explicit Board(QWidget *parent 0);bool _bRedTurn; // 红方先走int _currentPlayer; // 当前玩家&…

如何处理跨库查询,以保证数据一致性

如何处理跨库查询&#xff0c;以保证数据一致性&#xff1f; 处理跨库查询以保证数据一致性是一个复杂的问题&#xff0c;通常涉及到分布式数据库系统和事务管理。以下是一些关键步骤和策略&#xff1a; 使用事务: 在多个库之间执行操作时&#xff0c;确保它们作为一个原子单元…

原来设计师都在这些网站找素材、灵感的

设计师可以去哪些网站找设计素材和灵感&#xff0c;收藏好这几个网站&#xff0c;设计必备&#xff0c;提升审美的好帮手。 设计素材网站 1、菜鸟图库 菜鸟图库-免费设计素材下载 菜鸟图库一个可以免费下载设计素材的网站&#xff0c;我推荐过很多次&#xff0c;主要是站内素材…

css 三角形

方法一&#xff1a; <div class"triangle"></div>css .triangle{width: 8px;height: 8px;border: 8px solid #3C69EF;/* border-radius: 0px 2px 0 0; */ // 右上角加一点圆角border-block-end: 8px solid transparent;border-inline-start: 8px solid…

揭示西周与汉唐时期的纺织工艺

在中国新疆这片充满神秘色彩的土地上&#xff0c;每一次的考古发掘都仿佛是对历史的一次深情回望&#xff0c;揭示出中华民族悠久而灿烂的文明史。其中&#xff0c;新疆出土的西周和汉唐时期的织物&#xff0c;更是以其精美绝伦的工艺和独特的审美风格&#xff0c;让我们对古代…