社区编辑申请
注册/登录
这六个方面,对微服务安全至关重要
安全
本文讨论了简单易懂的分步指南来保护微服务,但事实是基于微服务的环境通常很复杂。

微服务带来了许多好处:灵活性、易于升级应用程序的各个部分等等。然而,它们并不是所有问题的黄金解决方案,它们也有自己的缺点。其中之一是复杂的网络连接。当拥有复杂的网络时,就会出现另一个问题:安全性。

网络越复杂,安全性也就越困难。微服务越多,网络就越复杂。但网络只是一方面。在保护微服务方面,您还需要注意一些事项。在这篇文章中,将从六个方面来帮助您保护微服务。

如何保护微服务,你需要知道什么?

在深入探讨保护微服务时不能忘记的六件事之前,我们需要先了解一些有关保护微服务的一般信息。这很重要,因为您不能 100% 地专注于微服务本身。在保护微服务方面,您需要考虑整个微服务生态系统。这意味着您需要保护CI/CD管道、容器编排器以及构建微服务的方式。

1. 从安全基础镜像开始

当您构建微服务时,Docker容器的基础镜像起着至关重要的作用,这不足为奇。实际上,精心挑选的基础镜像不仅从安全角度来看是好的,而且总体上也是一种很好的做法。

那么,“好”的基本镜像是什么意思呢?

首先,仅选择来自知名公司的经过验证的镜像。例如,如果您需要一个 Ubuntu 镜像,请直接从官方 Docker 镜像中获取一个。使用内置了一些额外工具的第三方镜像很诱人,但最好自己添加这些工具,而不是冒险使用来自不受信任来源的镜像。

但是使用官方镜像并不会自动为您带来更高的安全性。它们极大地增加了您的安全态势,但它们并非万无一失。您需要问自己是否真的需要一个实际的基于发行版的镜像(如 Ubuntu 或 CentOS 镜像)。尝试使用更简约的镜像,例如Alpine或Distroless。

2. 扫描您的镜像

即使你选择了一个相对安全的基础镜像,也并不意味着你的 Docker 镜像是安全的。您将自己为该镜像添加相当多的图层。当然,你不会故意在自己的镜像中引入漏洞,但不要忘记依赖关系。您甚至可能没有意识到您安装的几乎任何东西都会带来一些(有时是隐藏的)依赖关系。这就是为什么对镜像执行漏洞扫描很重要的原因,特别是因为这是一件非常容易做的事情,而且一些镜像注册表甚至内置了该功能。

3. 容器运行时分析

如果您想更进一步,您可以对微服务进行的最佳安全改进之一就是实施运行时扫描。运行时分析是一个监控容器中发生的每一个动作的过程。尤其是在微服务环境中,它确实非常高效,因为您总是确切地知道应该在特定容器中运行什么。

因此,任何不寻常的事情通常都意味着麻烦。有人在您的容器中执行了 shell 脚本吗?curl或wget命令?黑客通常会做的几乎所有事情都与普通微服务的行为方式大不相同。因此,运行时分析扫描器在它们的工作中非常有效,并且是一个巨大的安全改进。

4. 保护好你的 Secrets

在 Kubernetes 环境中,我们倾向于认为我们已经涵盖了密码和令牌,因为 Kubernetes 提供了内置的“Secrets”资源。他们的目的正是:将秘密安全地存储在 Kubernetes 中,因此您无需将它们以纯文本形式传递给您的容器。但是有一个问题!首先,您需要先将您的秘密带到您的 Kubernetes 集群中。它们一旦进入就受到保护,但是在将它们部署到 Kubernetes 时如何确保它们不是纯文本形式?

这是一个常见的问题。由于 Kubernetes 中的所有内容都定义为 YAML 文件,因此我们倾向于将所有这些 YAML 定义存储在 Git 中。但是,您在 YAML 文件中(在应用于集群之前)中的实际密码、令牌和其他 Secrets 是纯文本格式的。因此,您不能将这些文件存储在 Git 中。即使你的 Git 存储库是私有的也不要这样做。

没有通用的解决方案,因为它取决于您的基础设施和您使用的云提供商。但只要有可能,请尝试使用像HashiCorp Vault这样的安全秘密存储。许多安全商店都有插件或其他机制来安全地将您的 Secrets 传输到 Kubernetes 集群。

5. 网络

最后但同样重要的是:网络。如果您使用的是 Kubernetes,默认情况下您的所有微服务都可以相互通信。这意味着攻击者只需要访问其中一个,就可以连接到集群中的任何东西。虽然您的核心后端微服务可能得到很好的保护(就代码本身而言),但总会有一些被遗忘的、不重要的辅助服务在整个系统中不起任何重要作用,因此没有人关心它们。但黑客就喜欢这类服务。

解决方案很简单:在集群中实施一些网络策略甚至加密。Kubernetes内置网络策略对象,可让您实现简单的网络隔离和规则。但是还有很多其他工具,其中一些甚至可以实现第7层网络策略。

另一种可能性是加密。有一些工具可以让您加密集群内所有 Pod 之间的所有流量。加密所有流量并不会自动使其安全,但肯定会使黑客更加困难。

6. 监控所有层

另一个与安全相关的重要任务是确保您拥有云原生安全监控系统。这意味着您的监控系统能够监控和关联来自基础设施所有层(微服务、容器编排器和云服务)的数据。

这很重要,因为传统的本地系统很容易在多层云环境中混淆。您的工具了解云服务以及它们之间的依赖关系至关重要。例如,当您在云中创建 DNS 服务器时,您可能找不到实际的 DNS 服务器。您会发现一项服务与其类似,但您不会找到一台作为您的 DNS 服务器的实际机器。这对于传统工具来说可能是个问题,因为它们通常在服务器上运行。黑客喜欢利用这一点并在未被发现的层之间导航。

概括

本文讨论了简单易懂的分步指南来保护微服务,但事实是基于微服务的环境通常很复杂。保护此类环境的安全也因云提供商而异,但我们尝试结合最通用的技巧,希望能帮助您保持相对安全。

责任编辑:赵宁宁 来源: 进击云原生
相关推荐

2022-04-23 16:58:24

微服务微服务架构

2022-05-10 14:11:05

网络安全网络犯罪

2022-06-30 10:22:26

K8s可观测Prometheus

2022-06-15 11:02:40

网络安全运营

2022-04-28 11:04:27

架构微服务技术

2022-04-14 08:51:49

微服务Redisson分布式锁

2022-05-11 08:22:21

服务网关架构

2022-05-31 09:42:05

容器安全云原生安全

2022-06-27 17:46:53

PythonFlask

2022-03-02 09:31:42

Serverless微服务架构

2022-05-19 13:33:39

系统客户端链路追踪

2022-06-03 09:41:03

DockerKubernetes容器

2022-04-11 07:34:46

OAuth2UAA节点

2022-05-23 11:03:53

云原生技术DockerIstio

2022-06-21 21:47:13

数据系统

2022-06-07 14:38:40

云原生架构云计算

2022-05-13 07:22:39

携程微服务SOA

2022-05-13 14:01:46

微服务架构安全微服务

2022-06-07 10:09:42

新技术人工智能5G

2022-06-14 23:34:10

Linux安全服务器

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号