多云系统的授权

这是我目前正在致力于消耗SPIFFE(
安全生产身份框架 (Every Production Identity Framework For Everyone )在WSO2的Prabath Siriwardena先生的启发下,在Moratuwa大学的Gihan Dias教授的指导下,通过信任和身份验证在动态扩展的异构系统中提供授权。 像在混合云中一样,跨多个云运行的企业系统就是一个明显的例子,将从中受益。 目的是为基于SPIFFE标准的系统打开大门,使其以最小的努力与其余系统共存,而不会损害安全性,同时拥有基于SPIFFE的授权解决方案。

简而言之,它是一个信任引导和识别框架,已作为标准提交并被CNCF(Cloud Native Computing Foundation)[1]接受。 到目前为止,该标准有两个主要实现,分别是SPIRE和Istio [2],该平台支持使用SPIFFE进行识别方面的服务网格体系结构。 此实现解决了跨异构系统的信任引导和标识所涉及的许多复杂问题。 更多细节可以在
spiffe.io网站。

OAuth 2.0当前是API安全领域中使用最广泛的标准,在工作负载领域中也用于访问委派和授权。 尽管SPIFFE是目前新兴的标准,但是OAuth 2.0已经存在了一段时间,可以说大多数企业系统都采用了它。 因此,如果我们可以将这两个标准融合在一起,则可以兼具两全其美的优势,并具有OAuth 2.0提供的互操作性以及SPIFFE的动态信任引导和识别功能。

请注意,下图中的SPIRE服务器可以是任何支持SPIFFE标准的实现。

多云系统


–我们假设一个企业系统由两个云中的工作负载组成,此处我们假设是AWS和GCP。 如果我们将其想象为GCP中当前正在运行的系统,且其工作负载基于OAuth 2.0范围而受到保护,则要消耗这些工作负载的其他工作负载应带有有效的访问令牌和相关范围。

–可以想象在AWS云中运行的系统部分是新设计的,可以作为多云系统的一部分运行。 它利用SPIFFE标准来唯一地识别跨多个云的工作负载。 –作为此基于SPIFFE的信任引导和标识的一部分,每个工作负载都会接收由SPIRE服务器签名的X.509证书,并带有其标识符,称为SPIFFE ID。 例如。 spiffe:// localdomain / us-west / data(包含在SAN中)[3] –这是OAuth 2.0的图片。 我们依赖于授权服务器在客户端凭据授予类型下发出OAuth 2访问令牌的能力。 这将处于草拟阶段[4]的MTLS OAuth2.0规范之下。

这里很少发生什么特别的事情,

  • 基于工作负载的SPIRE服务器签名密钥对创建MTLS连接。 因此,假定授权服务器和SPIRE服务器具有预先建立的信任。
  • 当工作负载创建与授权服务器的MTLS连接时,它会动态地动态创建OAuth 2客户端,生成OAuth2机密并颁发令牌。 此时,授权服务器应在发出验证之前进行几次验证。
  • 首先需要验证证书,然后需要读取证书的内容以及SAN中的SPIFFE ID。
  • 仅查看SPIFFE ID并颁发令牌不足以满足企业用例。
  • 因此,我们将提供基于使用OPA在授权服务器中定义的策略将范围附加到这些令牌的功能。 (OPA代表开放策略代理,它非常灵活,可以像复杂策略一样提供RBAC,ABAC或XACML。)此策略可以使用其他可用数据并做出决策。
  • 验证完成后,授权服务器将发出一个自包含的访问令牌,包括范围,到期时间等,这些令牌将发送到AWS工作负载,以便在调用GCP工作负载时提交。
  • 除了使用其现有机制来验证OAuth 2.0令牌并获取其附带的任何有用信息外,GCP工作负载此处不需要任何其他功能。


希望这能很好地解释这种情况。 我将这个解决方案命名为Dvaara,表示要打开更多的门并控制进出。 :)
我们欢迎任何反馈,建议。
[1] – https://www.cncf.io/blog/2018/03/29/cncf-to-host-the-spiffe-project/ [2] – https://istio.io/docs/concepts/security/#istio-security-vs-spiffe [3] –样本SVID https://gist.github.com/Pushpalanka/b70d5057154eb3c34d651e6a4d8f46ee#file-svid-cert [4] – https://tools.ietf.org/html/draft-ietf-oauth-mtls-12 [5] – https://www.openpolicyagent.org/docs/comparison-to-other-systems.html

干杯!

翻译自: https://www.javacodegeeks.com/2019/01/authorization-multi-cloud-system.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/344568.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【渝粤教育】电大中专跨境电子商务理论与实务 (28)作业 题库

1.跨境电子商务对接“中国制造”激活了“买卖全球”,而与跨境电商联合则成为“中国制造”在全球崛起的重要支点。该说法( ) A.正确 B.错误 错误 正确答案:左边查询 学生答案:B 2.京东海外购的运营模式是( &…

级联选择组件_如何开发一个 Antd 级联多选控件

本文也同步发在掘金上, https:// juejin.cn/post/69149942 41940750343 Intro 这篇文章将从零开始介绍如何开发一个 Antd 的级联多选选择器。先看效果: Github,Sandbox 阅读完这篇文章,不仅可以学会如何实现级联多选的功能,还可以顺便学会: 如何发布一个 Typescript 编写…

python安卓自动化测试工具有哪些_Android 手机自动化测试工具有哪几种?

如今自动化测试已经应用到每天的测试中。这不足为奇,因为自动化测试在测试过程中节约了时间,还能避免包括人为因素造成的测试错误和遗漏。自动化测试工具选择很多。一些是开源的,一些非常贵。一些自动化工具是几年前出的,一些才在市场上出来。…

通过Spring Integration消费Twitter Streaming API

1.概述 众所周知, Spring Integration具有用于与外部系统交互的大量连接器。 Twitter也不例外,而且很长一段时间以来,因为Spring Social一直是一个开箱即用的解决方案,Spring Integration利用该解决方案来连接到社交网络。 1.1Sp…

mysql5.6 1g内存_1G内存用MySQL5.6还是用MySQL5.5比较好

mysql的50版本和51版本的区别:一、5.0 增加了stored procedures、views、cursors、triggers、xa transactions的支持,增加了inforation_schema系统数据库。二、5.1 增加了event scheduler,partitioning,pluggable storage engine …

java aspectj_Java:AspectJ的异常翻译

java aspectj在这篇博客文章中,我描述了如何使用AspectJ自动将一种异常类型转换为另一种异常类型。 问题 有时,我们处于必须将异常(通常由第三方库引发)转换为另一种异常的情况。 假设您正在使用像hibernate这样的持久性框架&…

mysql5.6.33安装教程_Linux下mysql5.6.33安装配置教程

本教程为大家分享了mysql5.6.33在linux下的安装配置方法,供大家参考,具体内容如下1、下载下载地址:http://dev.mysql.com/downloads/mysql/5.6.html#downloads下载版本:我这里选择的5.6.33,通用版,linux下6…

【渝粤教育】广东开放大学 劳动关系理论与实务 形成性考核 (1)

选择题 题目: 劳动关系的主体是( )。 答案:看左侧 题目: 主要研究企业对员工的管理政策、策略和实践的学派被称为( )。 答案:看左侧 题目: 工会以(…

【渝粤教育】广东开放大学 土木工程测量 形成性考核 (45)

选择题 题目:地面点沿法线方向至参考椭球面的距离称为该点的() 题目:地面点沿铅垂线方向至大地水准面的距离称为该点的() 题目:我国目前采用的高程基准是 题目:象限角的取值范围 题目…

基于表达式的访问控制

1.概述 今天,我们将回顾基于表达式的访问控制(EBAC),基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)之间的区别,并将重点放在EBAC上。 2.什么是基于表达式的访问控…

excel数据命令导入mysql_如何将EXCEL数据导入MYSQL

VBA对MySql数据库进行读取和写入操作时间:2009-10-06 09:18:47来源:网络 作者:未知 点击:178次以下代码用于32位系统,Office 2003,环境,MySql版本5.1在使用前需要先安装MySql的驱动,进行正确配置注意:必须给出正确的服务器名、数据库名、表名、数据库连接…

【渝粤教育】广东开放大学 工程力学 形成性考核 (27)

选择题 题目:物体受平面内三个互不平行的力作用而平衡,三个力的作用线()。 题目:力偶对物体的作用效应,决定于()。 题目:平面平行力系的独立平衡方程数目一般有&#xff…

node mysql安装目录_nodejs 指定全局安装路径和缓存路径

1、前提:已安装 nodejs(nodejs官网 https://nodejs.org), 并且已将其添加到了环境变量 path 中;2、进入cmd命令行,然后输入 node -v ,测试是否安装成功,出现版本号就表示安装成功3、进入cmd命令行,然后输入…

【渝粤教育】广东开放大学 房屋建筑学 形成性考核 (50)

选择题 题目:以下基础一般应用于单层厂房的基础是 题目:以下属于刚性防水的是 题目:装配整体式钢筋混凝土楼板包括 题目:当主梁的跨度为7m时,以下主梁高设计尺寸合理为 题目:是指为了防止建筑物构件由于气候…

【渝粤教育】广东开放大学 文化项目管理 形成性考核 (36)

选择题 题目: ( )是依据一定的标准和程序,对政策的效益、效率及价值进行判断的一种政治行为,目的在于取得有关这些方面的信息,作为决定政策变化、政策改进和制定新政策的依据 选择一项: 答案:看左侧 题目&…

mysql的sql执行原理图_性能测试MySQL之SQL运行原理

一,MySQL运行原理两个一样的图1,SQL语句执行的过程详细说明如上图所示,当向MySQL发送一个请求的时候,MySQL到底做了什么:a, 客户端发送一条查询给服务器。b, 服务器先检查查询缓存,如果命中了缓存&#xff…

穹顶灯打不出阴暗面_Java 8星期五:Java 8的阴暗面

穹顶灯打不出阴暗面在Data Geekery ,我们喜欢Java。 而且,由于我们真的很喜欢jOOQ的流畅的API和查询DSL ,我们对Java 8将为我们的生态系统带来什么感到非常兴奋。 Java 8星期五 每个星期五,我们都会向您展示一些不错的教程风格的…

【渝粤教育】广东开放大学 物业服务营销管理 形成性考核 (59)

选择题 题目: 单选 ( )是物业服务产品的期望产品。 答案:看左侧 题目: 单选 ( )是指模仿市场上旺销的其他物业服务企业的产品而开发的某种新产品。 答案:看左侧 题目&#xff1a…

【渝粤教育】广东开放大学 系统工程 形成性考核 (25)

选择题 题目:系统工程与系统科学的区别是,前者是工程技术,后者是基础理论。 答案:看左侧 题目:"有机论”生物学认为,有机体可分解为各个部分,各个部分的功能完全决定了系统的功能和特性。 …

Java 11:JOIN表,获取Java流

是否曾经想过如何将联接的数据库表转换为Java Stream? 阅读这篇简短的文章,并了解如何使用Speedment Stream ORM完成它。 我们将从Java 8示例开始,然后研究Java 11的改进。 Java 8和JOIN 速度允许将动态JOIN:ed数据库表作为标准J…