微服務的安全挑戰和處理
雖然微服務公平地分享他們的利益,但在安全性方面需要重視,包括新的威脅和工具。
隨著越來越多的組織從整體轉向更分散的基於微服務的體系結構,那麼其安全性是否隨之提高?雖然有些事情有所改善,但微服務仍然存在一些重大的安全挑戰,開發人員和架構師將不得不面臨這些挑戰。
獨立技術顧問,Specto Labs公司首席技術官Daniel Bryant對提高微服務的安全性以及可以使用的一些工具和技術解決出現的一些挑戰進行了闡述。
與傳統架構相比,微服務在安全性方面面臨著哪些新挑戰?
Bryant:按照傳統的方法,如果有一件事妥協了,那就麻煩不斷。這就像將所有的雞蛋放在一個籃子里。另一方面,當事情弄糟之後,突然之間,就必須確保更多的事物的安全。然後隨著攻擊面變得越來越大,就不必再做類似硬化邊緣的事情。
現在最大的挑戰是每個開發人員必須更加意識到安全。還有更多的事情,還有更多的攻擊面,所有這些暴露的東西之間還有更多的溝通。
什麼樣的工具和技術對於微服務安全性至關重要?
Bryant:有一些像Web應用程序防火牆這樣非常受歡迎的東西。很多公司使用F5這樣的工作,實際上就是F5防火牆。人們將越來越多地看到更多的軟體防火牆。
這顯然是預防,但也需要考慮檢測。因此,基本內容是:記錄通信中的低帶寬、記錄Web流量、記錄SSH[安全套接字shell]訪問。在任何面向公眾的Web伺服器中,如果查看日誌,人們就會不斷地探測邊緣。如果查看這個IP地址,或來自己哪個國家…需要對來自哪裡的東西做某種類似於持續分析。
還有哪些攻擊呢?他們試圖探測什麼向量?如果沒有修補系統,可能有一天會遭遇到黑客攻擊。所以肯定需要檢測,需要確保所有的修補完成。用戶將大量的費用花費在網路上和計算上。這些是很好的東西,但不要忘記應用程序。如果應用程序有很大的漏洞,那麼所有其他的東西都會受到損害。只有漏洞才會讓黑客進入,並開始造成傷害。
我認為像威脅建模這樣的東西也是非常有用的。了解威脅是如何工作的,存在哪些威脅,並建模它們可能如何攻擊系統。人們經常發現,正確地建模的副作用讓人們對事情發生的不同方式有了不同的認識。所以,如果開始做攻擊向量,會突然想,『我真的在應用程序中強化了這個東西,』你會意識到你的電子郵件系統或其他東西有一個巨大的缺陷。
開放Web應用程序安全項目(OWASP),他們是一個非常優秀的組織。他們有一系列語言類型的診斷工具,用於掃描依賴關係中的關鍵漏洞。所以,如果使用Java或Maven,可以把它放在MavenPalm中。
在微服務安全性方面,每個人都應該問什麼問題?
Bryant:人們該怎麼做?問自己的團隊和管理層我該怎麼辦?這樣的工作與安全有什麼關係?應該遵守某些標準嗎?應該重新檢查工作嗎?這些東西是最關鍵的。
我認為微服務安全性與傳統安全性沒有大的不同。作為開發人員,人們的工作越來越多,必須成為一名操作人員以及開發人員。你知道,前端和後端,所有這些東西這麼繁雜,那麼技術人員的知識就會全面卻不深入。
與此同時,如果開發人員在整個堆棧中受過良好教育,但對安全性並不太了解,則很容易留下大量漏洞。如果留下一些巨大的安全漏洞,這可能是非常糟糕的。所以,開發意識,建模,記錄,分享,到會議,與人聊天,學習等這些因素都很重要。
專家們在微服務安全方面十分重視,但為什麼還不能有效的解決呢?
Bryant:這並不是明確所指的是微服務。隨著世界越來越多的連接,像比特幣這樣的新生事物現在越來越受到攻擊者的攻擊。
我認為,IT行業並沒有像應該承擔的那樣負責任。所以,更重要的一個例子就是人為因素。作為開發人員還是作為架構師,人們是否對此給予足夠的關注?人們是不是做了像縱深防禦之類的事情?人們是在做審計和記錄,然後回顧那些事情嗎?有一些基本的東西,比如編碼術語。這裡再次重申,人們並沒有做到。
在安全性方面,傳統架構(如面向服務架構(SOA))與分散式微服務體系結構有何好轉?
Bryant:原則上沒有太大的變化。我唯一想說的是,在SOA中,我們有更多的治理。SOA是由供應商的法律驅動的。他們說,「你必須使用我的ESB(企業服務匯流排)或我的特定的技術」,這有很多缺點,但其中一個好處有這個ESB,可以管理服務中的所有連接。所以,他們真的投資於政策和治理以及所有這些事情。如果出了問題,你知道應該打電話聯繫誰。
然而,這些天來,我們傾向於更輕量級的技術,但作為一名開發人員和架構師,必須承擔更多的責任。治理、政策和事物,儘管有時是糟糕的,但還是有好處的。擁有更多的控制權,其自由顯然就少了,但這是一種平衡。
DevOps團隊如何能夠與安全團隊合作,確保服務得到保障?
Bryant:DevOps的理念是讓大家加入。所以,很多顧問公司嘗試引入信息安全。在一個傳統的組織中,他們通常被稱為信息。讓他們早日進入項目,他們的知識是非常有價值的,所以讓他們早日參與是正確的舉措。
※陣列供應商Infinidat實現銷售額增長,營銷號角已響起
※豐田、英特爾、愛立信、NTT形成了連接汽車大數據聯盟
※Nvidia旗下各平台大幅增長 第二季度表現超預期
TAG:ZD至頂網 |
※人工智慧的安全挑戰
※無證餐飲綜合治理的實務與挑戰
※觀察丨從全球和地區安全挑戰看中俄戰略協作
※中美貿易摩擦升級背後:全球治理合作的選擇和挑戰
※成為綜合物流服務供應商的挑戰
※大數據安全的挑戰和對策
※信息技術對國家安全與發展帶來的風險和挑戰
※人工智慧發展趨勢與安全挑戰
※利用區塊鏈和人工智慧技術應對數據安全挑戰
※不斷挑戰著生理心理的極限,中國潛艇兵執行任務是吃什麼?
※創新性療法的倫理挑戰
※工業系統網路安全之運營技術(OT)挑戰
※外科手術抗菌藥物管理的挑戰與機遇
※區塊鏈:財務人員的機遇與挑戰
※人工智慧技術無法迴避的法律挑戰
※聚焦亞太安全挑戰與對策
※當下銀行資產負債管理的挑戰與對策
※全球變局的機遇與挑戰
※美國專家解讀醫用聚合物的趨勢、挑戰和機遇
※農業物聯網:智能農業的五種技術用途和挑戰