„Microservices“ sauga Kaip apsaugoti savo „Microsoft“ paslaugų infrastruktūrą?



Šiame straipsnyje apie „Microservices Security“ bus išsamiai aptarta keletas geriausių praktinių patarimų, kaip apsaugoti mikro paslaugas.

Šiandieninėje rinkoje, kurioje pramonės atstovai naudoja įvairias programinės įrangos architektūras ir programas, beveik neįmanoma to pajusti, jūsų duomenys yra visiškai saugūs. Taigi, kurdami programas naudodami , saugumo klausimai tampa vis reikšmingesni, nes atskiros tarnybos bendrauja tarpusavyje ir su klientu. Taigi šiame straipsnyje apie mikropaslaugų saugumą aptarsiu įvairius būdus, kaip galite apsaugoti savo mikroservisus tokia seka.

Kas yra mikro paslaugos?

Mikroservisai, dar žinomas mikroserviso architektūra yra architektūrinis stilius, kuris struktūrizuoja programą kaip mažų autonominių paslaugų rinkinį, modeliuojantį a verslo domenas. Taigi, jūs galite suprasti, kad mikro paslaugos yra mažos atskiros paslaugos, bendraujantys tarpusavyje pagal bendrą verslo logiką. Jei norite išsamiau sužinoti apie mikropaslaugas, galite tai padaryti





Kas yra „Microsoft“ paslaugos - „Microservice Security“ - „Edureka“

Dabar dažnai, kai įmonės pereina nuo monolitinės architektūros prie mikropaslaugų, jos mato daug privalumų, tokių kaip mastelis, lankstumas ir trumpi kūrimo ciklai. Tačiau tuo pačiu metu ši architektūra taip pat kelia keletą sudėtingų problemų.



Taigi, toliau šiame straipsnyje apie mikropaslaugų saugumą, leiskite mums suprasti problemas, su kuriomis susiduriama mikropaslaugų architektūroje.

Mikroservių problemos

Mikroservisuose susiduriama su šiomis problemomis:

1 problema:

Apsvarstykite scenarijų, kai vartotojas turi prisijungti, kad galėtų pasiekti šaltinį. Dabar, naudojant mikropaslaugų architektūrą, vartotojo prisijungimo duomenys turi būti išsaugoti taip, kad vartotojas nebūtų prašomas patikrinti kiekvieną kartą, kai jis / ji bando pasiekti išteklių. Dabar tai sukuria problemą, nes naudotojo informacija gali būti nesaugi ir ją gali pasiekti 3rdvakarėlis.



2 problema:

Kai klientas siunčia užklausą, reikia patikrinti išsamią informaciją apie klientą ir patikrinti klientui suteiktus leidimus. Taigi, kai naudojate mikropaslaugas, gali atsitikti taip, kad kiekvienai paslaugai turite autentifikuoti ir įgalioti klientą. Norėdami tai padaryti, kūrėjai gali naudoti tą patį kodą kiekvienai paslaugai. Bet ar nemanote, kad pasikliaudami konkrečiu kodu sumažinsite mikro paslaugų lankstumą? Na, tikrai taip. Taigi, tai yra viena iš pagrindinių problemų, su kuriomis dažnai susiduriama šioje architektūroje.

3 problema:

Kita labai ryški problema yra kiekvienos atskiros mikroserviso saugumas. Šioje architektūroje, be 3, visos mikro paslaugos vienu metu bendrauja tarpusavyjerdvakarėlių programos. Taigi, kai klientas prisijungia iš 3rdšalies programą, turite įsitikinti, kad klientas negauna prieigos prie mikropaslaugų duomenų tokiu būdu, kad galėtų juos panaudoti.

substringas SQL serveryje su pavyzdžiu

Gerai, pirmiau minėtos problemos nėra vienintelės problemos, aptinkamos mikroserviso architektūroje. Sakyčiau, galite susidurti su daugeliu kitų problemų, susijusių su saugumu, atsižvelgiant į jūsų turimą programą ir architektūrą. Pažvelkime į šį straipsnį apie mikro paslaugų saugumą ir žinokime geriausią būdą, kaip sumažinti iššūkius.

Geriausia mikropaslaugų saugumo praktika

Geriausia praktika, kaip pagerinti mikropaslaugų saugumą, yra tokia:

Gynyba gylio mechanizme

Kaip žinoma, kad mikroservistos bet kokį mechanizmą priima išsamiai, galite naudoti gynybos gylio mechanizmą, kad paslaugos būtų saugesnės. Kalbant paprastai, „Defence in Depth“ mechanizmas iš esmės yra technika, per kurią jūs galite pritaikyti saugumo atsakomąsias priemones, kad apsaugotumėte neskelbtinas paslaugas. Taigi, kaip kūrėjas, jūs tiesiog turite identifikuoti pačias slapčiausią informaciją turinčias paslaugas ir pritaikyti keletą saugos sluoksnių, kad jas apsaugotumėte. Tokiu būdu galite įsitikinti, kad bet kuris potencialus užpuolikas negali sugadinti saugumo vienu ypu ir turi eiti į priekį ir bandyti įveikti visų sluoksnių gynybos mechanizmą.

ssis pamoka pradedantiesiems 2012 su pavyzdžiais

Be to, kadangi mikropaslaugų architektūroje galite įdiegti skirtingus saugos sluoksnius skirtingoms paslaugoms, užpuolikas, kuriam sekasi išnaudoti tam tikrą paslaugą, gali nesugebėti nulaužti kitų tarnybų gynybos mechanizmo.

Žetonai ir API vartai

Dažnai atidarę programą matote dialogo langą, kuriame sakoma: „Priimkite licencijos sutartį ir leidimą naudoti slapukus“. Ką reiškia ši žinia? Na, kai jį priimsite, jūsų vartotojo duomenys bus saugomi ir bus sukurta sesija. Dabar, kai kitą kartą eisite į tą patį puslapį, puslapis bus įkeltas iš talpyklos atminties, o ne iš pačių serverių. Kol ši idėja nebuvo sukurta, sesijos buvo saugomos serverio pusėje centralizuotai. Tačiau tai buvo viena iš didžiausių horizontalaus mastelio taikymo kliūčių.

Žetonai

Taigi, šios problemos sprendimas yra naudoti žetonus, įrašyti vartotojo kredencialus. Šie žetonai naudojami norint lengvai identifikuoti vartotoją ir saugomi slapukų pavidalu. Dabar kiekvieną kartą, kai klientas pateikia užklausą dėl tinklalapio, užklausa persiunčiama į serverį ir tada serveris nustato, ar vartotojas turi prieigą prie prašomo šaltinio, ar ne.

Dabar pagrindinė problema yra žetonai, kuriuose saugoma vartotojo informacija. Taigi žetonų duomenys turi būti užšifruoti, kad būtų išvengta bet kokio 3 išnaudojimordpartijos ištekliai. „Jason Web Format“ arba dažniausiai žinomas kaip „JWT“ yra atviras standartas, kuris apibrėžia žetonų formatą, teikia bibliotekas įvairioms kalboms ir taip pat šifruoja tuos žetonus.

API šliuzai

API šliuzai įtraukiami kaip papildomas elementas, siekiant apsaugoti paslaugas naudojant atpažinimo ženklą. Vartai veikia įvesties tašką į visas kliento užklausas ir efektyviai slepia kliento mikropaslaugas. Taigi, klientas neturi tiesioginės prieigos prie mikro paslaugų ir tokiu būdu joks klientas negali pasinaudoti nė viena iš paslaugų.

Paskirstytas sekimas ir sesijos valdymas

Paskirstytasis sekimas

Naudodamiesi mikro paslaugomis, turite nuolat stebėti visas šias paslaugas. Tačiau, kai vienu metu turite stebėti didžiulį paslaugų kiekį, tai tampa problema. Norėdami išvengti tokių iššūkių, galite naudoti metodą, vadinamą paskirstytu sekimu. Paskirstytasis atsekimas yra būdas nustatyti gedimus ir nustatyti jų priežastis. Ne tik tai, bet ir galite nustatyti vietą, kurioje vyksta nesėkmė. Taigi, labai lengva susekti, kuri mikroprograma susiduria su saugumo problema.

Sesijos valdymas

Sesijos valdymas yra svarbus parametras, į kurį turite atsižvelgti užtikrindami mikropaslaugas. Dabar sesija sukuriama, kai tik vartotojas prisijungia prie programos. Taigi, seanso duomenis galite tvarkyti šiais būdais:

  1. Galite saugoti vieno vartotojo seanso duomenis konkrečiame serveryje. Tačiau tokia sistema visiškai priklauso nuo apkrovos balansavimo tarp paslaugų ir atitinka tik horizontalų mastelį.
  2. Visi sesijos duomenys gali būti saugomi vienoje instancijoje. Tada duomenis galima sinchronizuoti per tinklą. Vienintelė problema yra ta, kad taikant šį metodą tinklo ištekliai išsenka.
  3. Galite įsitikinti, kad vartotojo duomenis galima gauti iš bendro seanso saugyklos, kad visos tarnybos galėtų nuskaityti tuos pačius seanso duomenis. Bet kadangi duomenys gaunami iš bendros saugyklos, turite įsitikinti, kad turite tam tikrą saugos mechanizmą, kad galėtumėte saugiai prieiti prie duomenų.

Pirmasis seansas ir abipusis SSL

Pirmojo užsiėmimo idėja yra labai paprasta. Vartotojai turi prisijungti prie programos vieną kartą, tada jie gali pasiekti visas programos paslaugas. Bet kiekvienas vartotojas iš pradžių turi bendrauti su autentifikavimo paslauga. Na, tai tikrai gali sukelti didelį srautą tarp visų paslaugų ir kūrėjams gali būti sudėtinga išsiaiškinti tokio scenarijaus gedimus.

Priėję prie abipusio SSL, programos dažnai susiduria su vartotojų srautu, 3rdvakarėlius ir mikropaslaugas, bendraujančias tarpusavyje. Tačiau kadangi šias paslaugas naudoja 3rdšalims, visada gresia išpuoliai. Dabar tokių scenarijų sprendimas yra abipusis SSL arba abipusis autentiškumo patvirtinimas tarp mikro paslaugų. Tai atlikus, tarp tarnybų perduodami duomenys bus šifruojami. Vienintelė šio metodo problema yra ta, kad padidėjus mikropaslaugų skaičiui, kadangi kiekviena paslauga turės savo TLS sertifikatą, kūrėjams bus labai sunku atnaujinti sertifikatus.

3rdšalies programos prieiga

Mes visi pasiekiame 3 programasrdvakarėlių programos. 3rdšalių programos naudoja API žetoną, kurį vartotojas sugeneravo programoje, kad pasiektų reikiamus išteklius. Taigi, trečiųjų šalių programos gali pasiekti konkretaus vartotojo duomenis, o ne kitų naudotojų kredencialus. Na, tai buvo susiję su vienu vartotoju. Bet ką daryti, jei programoms reikia pasiekti kelių vartotojų duomenis? Kaip manote, ar toks prašymas patenkintas?

„OAuth“ naudojimas

Išeitis yra naudoti „OAuth“. Kai naudojate „OAuth“, programa paragina vartotoją įgalioti 3rdšalių programas, kad būtų galima naudoti reikiamą informaciją ir sugeneruoti jai prieigos raktą. Paprastai įgaliojimo kodas naudojamas norint paprašyti prieigos rakto, kad įsitikintumėte, jog vartotojo atgalinio adreso URL nėra pavogtas.

Taigi, minėdamas prieigos raktą, klientas bendrauja su autorizacijos serveriu, ir šis serveris įgalioja klientą neleisti kitiems suklastoti kliento tapatybės. Taigi, kai naudojate „Microsoft“ paslaugas su „OAuth“, tarnybos veikia kaip klientas OAuth architektūroje, kad supaprastintų saugos problemas.

Na, žmonės, nesakyčiau, kad tai yra vieninteliai būdai, kuriais galite apsaugoti savo paslaugas. Remdamiesi programos architektūra, galite daugeliu būdų apsaugoti mikropaslaugas. Taigi, jei esate kažkas, norintis sukurti mikropaslaugomis pagrįstą programą, nepamirškite, kad paslaugų saugumas yra vienas svarbus veiksnys, į kurį turite būti atsargūs. Atsižvelgdami į tai, mes baigėme šį straipsnį apie mikro paslaugų saugumą. Tikiuosi, kad šis straipsnis jums buvo informatyvus.

Jei norite išmokti „Microsoft“ paslaugų ir kurti savo programas, peržiūrėkite mūsų kuris ateina su instruktorių vedamomis tiesioginėmis treniruotėmis ir realių projektų patirtimi. Šie mokymai padės jums išsamiau suprasti „Microsoft“ paslaugas ir padės įsisavinti šį dalyką.

kaip naudotis "Microsoft" vaizdo studija

Turite mums klausimą? Prašau paminėti tai komentarų skiltyje “ „Microservice Security“ “Ir aš susisieksiu su jumis.