虽然微服务公平地分享他们的利益,但在安全性方面需要重视,包括新的威胁和工具。
随着越来越多的组织从整体转向更分散的基于微服务的体系结构,那么其安全性是否随之提高?虽然有些事情有所改善,但微服务仍然存在一些重大的安全挑战,开发人员和架构师将不得不面临这些挑战。
独立技术顾问,Specto Labs公司首席技术官Daniel Bryant对提高微服务的安全性以及可以使用的一些工具和技术解决出现的一些挑战进行了阐述。
与传统架构相比,微服务在安全性方面面临着哪些新挑战?
Bryant:按照传统的方法,如果有一件事妥协了,那就麻烦不断。这就像将所有的鸡蛋放在一个篮子里。另一方面,当事情弄糟之后,突然之间,就必须确保更多的事物的安全。然后随着攻击面变得越来越大,就不必再做类似硬化边缘的事情。
现在最大的挑战是每个开发人员必须更加意识到安全。还有更多的事情,还有更多的攻击面,所有这些暴露的东西之间还有更多的沟通。
什么样的工具和技术对于微服务安全性至关重要?
Bryant:有一些像Web应用程序防火墙这样非常受欢迎的东西。很多公司使用F5这样的工作,实际上就是F5防火墙。人们将越来越多地看到更多的软件防火墙。
这显然是预防,但也需要考虑检测。因此,基本内容是:记录通信中的低带宽、记录Web流量、记录SSH[安全套接字shell]访问。在任何面向公众的Web服务器中,如果查看日志,人们就会不断地探测边缘。如果查看这个IP地址,或来自己哪个国家…需要对来自哪里的东西做某种类似于持续分析。
还有哪些攻击呢?他们试图探测什么向量?如果没有修补系统,可能有一天会遭遇到黑客攻击。所以肯定需要检测,需要确保所有的修补完成。用户将大量的费用花费在网络上和计算上。这些是很好的东西,但不要忘记应用程序。如果应用程序有很大的漏洞,那么所有其他的东西都会受到损害。只有漏洞才会让黑客进入,并开始造成伤害。
我认为像威胁建模这样的东西也是非常有用的。了解威胁是如何工作的,存在哪些威胁,并建模它们可能如何攻击系统。人们经常发现,正确地建模的副作用让人们对事情发生的不同方式有了不同的认识。所以,如果开始做攻击向量,会突然想,‘我真的在应用程序中强化了这个东西,’你会意识到你的电子邮件系统或其他东西有一个巨大的缺陷。
开放Web应用程序安全项目(OWASP),他们是一个非常优秀的组织。他们有一系列语言类型的诊断工具,用于扫描依赖关系中的关键漏洞。所以,如果使用Java或Maven,可以把它放在MavenPalm中。
在微服务安全性方面,每个人都应该问什么问题?
Bryant:人们该怎么做?问自己的团队和管理层我该怎么办?这样的工作与安全有什么关系?应该遵守某些标准吗?应该重新检查工作吗?这些东西是最关键的。
我认为微服务安全性与传统安全性没有大的不同。作为开发人员,人们的工作越来越多,必须成为一名操作人员以及开发人员。你知道,前端和后端,所有这些东西这么繁杂,那么技术人员的知识就会全面却不深入。
与此同时,如果开发人员在整个堆栈中受过良好教育,但对安全性并不太了解,则很容易留下大量漏洞。如果留下一些巨大的安全漏洞,这可能是非常糟糕的。所以,开发意识,建模,记录,分享,到会议,与人聊天,学习等这些因素都很重要。
专家们在微服务安全方面十分重视,但为什么还不能有效的解决呢?
Bryant:这并不是明确所指的是微服务。随着世界越来越多的连接,像比特币这样的新生事物现在越来越受到攻击者的攻击。
我认为,IT行业并没有像应该承担的那样负责任。所以,更重要的一个例子就是人为因素。作为开发人员还是作为架构师,人们是否对此给予足够的关注?人们是不是做了像纵深防御之类的事情?人们是在做审计和记录,然后回顾那些事情吗?有一些基本的东西,比如编码术语。这里再次重申,人们并没有做到。
在安全性方面,传统架构(如面向服务架构(SOA))与分布式微服务体系结构有何好转?
Bryant:原则上没有太大的变化。我唯一想说的是,在SOA中,我们有更多的治理。SOA是由供应商的法律驱动的。他们说,“你必须使用我的ESB(企业服务总线)或我的特定的技术”,这有很多缺点,但其中一个好处有这个ESB,可以管理服务中的所有连接。所以,他们真的投资于政策和治理以及所有这些事情。如果出了问题,你知道应该打电话联系谁。
然而,这些天来,我们倾向于更轻量级的技术,但作为一名开发人员和架构师,必须承担更多的责任。治理、政策和事物,尽管有时是糟糕的,但还是有好处的。拥有更多的控制权,其自由显然就少了,但这是一种平衡。
DevOps团队如何能够与安全团队合作,确保服务得到保障?
Bryant:DevOps的理念是让大家加入。所以,很多顾问公司尝试引入信息安全。在一个传统的组织中,他们通常被称为信息。让他们早日进入项目,他们的知识是非常有价值的,所以让他们早日参与是正确的举措。
好文章,需要你的鼓励
即刻报名参加2024 AI创新者大会暨PEC·提示工程峰会,与百位AI创新者一起围观“AI企业”如何解“企业AI”落地难题。
即刻报名参加2024 AI创新者大会暨PEC·提示工程峰会,与百位AI创新者一起预见“AI超级个体”。
即刻报名参加2024 AI创新者大会暨PEC·提示工程峰会,与百位AI创新者现场“预见2025”。
戴尔负责边缘计算、战略和执行的高级副总裁Gil Shneorson对CRN表示:“因此,我们已经开始着手有效创建边缘云的工作。”“它仍然是唯一一款能将所有一切结合在一起的边缘运营软件。目前还没有其他类似的软件。”