建桥时必须去水位
当前,应用模块化趋势显著,将大难改变单片分割成焦点微服务云型架构单片保留大数状态内存并复制实例间,这使得它们难以分拆和缩放扩增费用昂贵,扩增需要复制状态和整个应用,而不是需要复制的部分
微服务提供逻辑分离状态,而分离使应用分解成数小件更易操作,更容易缩放微服务环境由多服务互连组成服务间所有通信均通过网络调用启动并展开,服务通过应用编程接口曝光每种服务都自有目的服务独有商业价值
微服务部署中必须假设周界可防破,传统安全机制只为有限数威胁提供层安全传统机制无法捕捉内部不良行为方因此建议部署多安全层并使用零信任框架化以这种方式,新的周界决策点将在微服务
今日时代,我们必须以某种方式强制分离服务与一贯政策并发,同时避免传统紧凑并发的危险,避免危及安全我们需要找到解决办法,使政策集中管理但同时,应当以分布式方式执行该政策,以确保工作量按设计实现并不受损
敏捷度代价
两大驱动器即敏捷度和尺度微服务环境内,每个单元可独立缩放,驱动可大规模缩放应用架构然而,当需要将重数据服务与应用并发时,这种规模是不可能的
规模和响应能力快速提高业务速度,使各组织从成本和应变能力方面获益,并改进管理建设应用方法然而,灵活部署的分散性质带来了治理方面的挑战。
我们应当记住,我们现在有一个分布式组织分队负责个人微服务,此外补丁更新实时执行归根结底,这将产生一个需要填充的空白漏洞包括可见度和能力分布式策略
复杂度是安全之敌
云型方法引进相当复杂除复杂性外,终端用户负责保护自身环境微服务传输更多移动片段和路径通信,引入复杂度必须管理管理复杂度的同时 保持整体视图应用 和可见度
试图使用现有工具确保复杂部署无效并导致复杂安全解决方案和复杂政策复杂性是安全之敌安全解决方案变得更加复杂,变得无法管理,安全性下降。需要一个新的统一安全框架,可适应不同的微服务环境,同时仍然提供全可见性并同时简化政策管理
您真的需要知道谁在任何点说话,验证源码并授权API通信尝试实现的交易类型并验证授权通信
除非对微服务架构进行修改,否则无法高效实现。微服务部署易受各种安全威胁API漏洞 逻辑攻击 横向运动 传统安全工具不足 令系统像卡屋倒塌
多种交通模式
今日交通模式不同于过去模式现时有许许多多API连接 前后与内部通信API都公开公开面向客户雷竞技电脑网站管理员允许公有和私有数据中心内外通信
前端反向API和后端API之间通常存在相当大的不对称性考虑到客户环境,初始消费者API调用,但推广许多其他后端API调用,例如用户查询和路由查询
微服务环境开发更多组件后,很难监控和确保一切安全部署网络应用防火墙保护公众API系统,并使用次元防火墙过滤战略网络点仅覆盖攻击面的一部分仍然必须假设周界可破解 并高潜力 内部坏角色
传统安全机制不足
网络周界诞生时间不同,传统安全机制基于互联网协议和5图已不足够传统周界由虚拟或物理用具组成,如位于战略网络点的防火墙、IPS/IDS或API网关传统周边安全机制仅提供第一层安全即使在深度贴上防御标签,但在微服务环境仍远达不到状态
举例说,API网关旨在管理入门调用API注册网关改变工作流微服务环境不缩放 上百种服务 每人暴露数例API服务 和多例服务
API网关不仅需要与外部流量相匹配,而且还需要与东向西内部流量相匹配量级控制总流量的很大一部分web应用防火墙不改变工作流,但他们分享API网关的一些挑战政策不分配到工作量时无法创建和管理安全光是有限数API需要做大量工作,这些API随内部通信而成指数增长这对于部署微服务显然不切实际
下一元防火墙通常是中央安全资源更适合北南交通流,不适合东西内部交通流这个世界万物HTTP,防火墙不提供最佳可见度和访问控制防火墙通常强制源端IP协议安全,但在微服务环境,常用通信端口为80/443所有人使用同一个端口和协议通信是非常常见的
防火墙需要跟踪源地址和端口号以及源地址和端口号它应该有能力处理管弦系统 并随时改变特征
执法方式应分布式,按工作量水平下调if whats监控保护为应用行为提供方便, 无关紧要攻击出自何方安全框架以传统机制为基础,可为不良行为方留下许多隐蔽攻击的渠道。
大攻面需要新周界
安全无法跟踪微服务时,需要带安全到微服务并嵌入微服务有效周界指微服务决策点,不设置网络内战略点新建周界位于微服务层和有API的任何地方这是唯一的保护方法 特别是逻辑攻击
逻辑攻击在微服务环境变得更加常见此类威胁由精密攻击者实施,而非脚本编程使用便捷工具花时间穿透周界静默探索内部环境,
云原应用显示逻辑多层化,而不仅仅是一层每一种微服务通过API暴露某些应用逻辑,这些API如果不高效安全,可被坏角色操纵实用实例是aPI,旨在向您提供数据库单项信息坏角色小小修改查询时,可调取数据库中多项,但无权访问单单API都可用它, 显示比以前大得多的攻击面这可能为高级持久威胁带来契机(APT)。
前面讲到,分布式架构提供大得多的表面积每一个小组件都暴露威胁表面面积是所有API和内外部交互应用之和检视接触外部API时 会看到上百通API调用提供多种方法利用外部API的脆弱性内杀链中API并不仅仅用于存取, 并作为一种实现横向运动的方式
交通加密挑战东到西交通新时代安全的一大部分 即能加密作用程序执行加密
微服务环境密钥管理是一项困难任务况且IPsec粗粒度需要新式解法
求解组件:身份
工作载量可用多种方式封装,如虚拟机、裸金属或容器等结果,需要机制为应用提供可验证安全标识,不仅面向服务器或容器,还面向运行中的实际工作量最理想的情况是特征列表视之为按键值对描述对象事实越详细越好
提供身份服务进程称为身份穿梭需要信任某些东西才能提供应用特征,即需要外部事实源公司如AWSVMware屋大林通过整合管弦系统提供
管弦系统可以是从 vCenter到AWSECS到Kubernetes等任何东西系统监控新工作量生成事件验证新生成的工作量后,向工作量提供证明身份证明证明新生成的工作量合法后,提供证明证明身份所需的证书以这种方式,秘密从不隐藏在代码中、容器图像中或库伯内特
求解组件:可见性
身份处理后,我们必须建立基于安全特性的安全如何执行策略? 向别的东西传递时如何表达策略?
第一,你需要依赖应用识别并监控7层交通这是因为每次API调用调用自识别可添加客户端和服务器端身份,验证身份并登录中心系统API调用
中央系统汇总所有API调用客户环境并提供广度可见性可见度随时间推移扩展以包括任何变化历史可见度对敏捷环境有用
求解组件:异常检测
尽可能多地执行端点策略然而,有时为检测复杂攻击,你必须关联多序列,如时空、有效载荷和地理访问模式
异常检测需要包含一个组件 负责在特定时间查看所有信号此外,它应识别小偏向基准值,而如果看单端点则检测不到这些偏差。
求解组件:策略
政策介绍两大主题-ACL分布式政策解决方案和基于VLANs分割您真的需要开始思考 政策集中管理 高可缩放
政策应基于工作特征而非网络特征云型特征与网络特征不匹配无法通过传统方式预定义网络策略实现安全执法
政策还应当以可见性驱动,使政策反馈和违规信息成为可能这将使管理员能够按需更新策略
云型应用和敏捷环境的允诺对企业有许多好处云端部署缺省适当的安全工具和方法安全云型敏捷环境
