这 6 个方面,对微服务安全至关重要
微服务带来了许多好处:灵活性、易于升级应用程序的各个部分等等。然而,它们并不是所有问题的黄金解决方案,它们也有自己的缺点。其中之一是复杂的网络连接。当拥有复杂的网络时,就会出现另一个问题:安全性[1]。
网络越复杂,安全性也就越困难。微服务[2]越多,网络就越复杂。但网络只是一方面。在保护微服务方面,您还需要注意一些事项。在这篇文章中,将从六个方面来帮助您保护微服务。
如何保护微服务,你需要知道什么?
在深入探讨保护微服务时不能忘记的六件事之前,我们需要先了解一些有关保护微服务[3]的一般信息。这很重要,因为您不能 100% 地专注于微服务本身。在保护微服务方面,您需要考虑整个微服务生态系统[4]。这意味着您需要保护CI/CD[5]管道、容器编排器以及构建微服务的方式。
1. 从安全基础镜像开始
当您构建微服务时,Docker容器的基础镜像起着至关重要的作用,这不足为奇。实际上,精心挑选的基础镜像不仅从安全角度来看是好的,而且总体上也是一种很好的做法。
那么,“好”的基本镜像是什么意思呢?
首先,仅选择来自知名公司的经过验证的镜像。例如,如果您需要一个 Ubuntu 镜像,请直接从官方 Docker 镜像[6]中获取一个。使用内置了一些额外工具的第三方镜像很诱人,但最好自己添加这些工具,而不是冒险使用来自不受信任来源的镜像。
但是使用官方镜像并不会自动为您带来更高的安全性。它们极大地增加了您的安全态势,但它们并非万无一失。您需要问自己是否真的需要一个实际的基于发行版的镜像(如 Ubuntu 或 CentOS 镜像)。尝试使用更简约的镜像,例如Alpine[7]或Distroless[8]。
2. 扫描您的镜像
即使你选择了一个相对安全的基础镜像,也并不意味着你的 Docker 镜像是安全的。您将自己为该镜像添加相当多的图层。当然,你不会故意在自己的镜像中引入漏洞,但不要忘记依赖关系。您甚至可能没有意识到您安装的几乎任何东西都会带来一些(有时是隐藏的)依赖关系。这就是为什么对镜像执行漏洞扫描很重要的原因,特别是因为这是一件非常容易做的事情,而且一些镜像注册表甚至内置了该功能。
3. 容器运行时分析
如果您想更进一步,您可以对微服务进行的最佳安全改进之一就是实施运行时扫描。运行时分析是一个监控容器中发生的每一个动作的过程。尤其是在微服务环境中,它确实非常高效,因为您总是确切地知道应该在特定容器中运行什么。因此,任何不寻常的事情通常都意味着麻烦。有人在您的容器中执行了 shell 脚本吗?curl或[9]wget[10]命令?黑客通常会做的几乎所有事情都与普通微服务的行为方式大不相同。因此,运行时分析扫描器在它们的工作中非常有效,并且是一个巨大的安全改进。
4. 保护好你的 Secrets
在 Kubernetes 环境中,我们倾向于认为我们已经涵盖了密码和令牌,因为 Kubernetes 提供了内置的“Secrets”资源。他们的目的正是:将秘密安全地存储在 Kubernetes 中,因此您无需将它们以纯文本形式传递给您的容器。但是有一个问题!首先,您需要先将您的秘密带到您的 Kubernetes 集群中。它们一旦进入就受到保护,但是在将它们部署到 Kubernetes 时如何确保它们不是纯文本形式?
这是一个常见的问题。由于 Kubernetes 中的所有内容都定义为 YAML 文件,因此我们倾向于将所有这些 YAML 定义存储在 Git 中。但是,您在 YAML 文件中(在应用于集群之前)中的实际密码、令牌和其他 Secrets 是纯文本格式的。因此,您不能将这些文件存储在 Git 中。即使你的 Git 存储库是私有的也不要这样做。
没有通用的解决方案,因为它取决于您的基础设施和您使用的云提供商。但只要有可能,请尝试使用像HashiCorp Vault[11]这样的安全秘密存储。许多安全商店都有插件或其他机制来安全地将您的 Secrets 传输到 Kubernetes 集群。
5. 网络
最后但同样重要的是:网络。如果您使用的是 Kubernetes,默认情况下您的所有微服务都可以相互通信。这意味着攻击者只需要访问其中一个,就可以连接到集群中的任何东西。虽然您的核心后端微服务可能得到很好的保护(就代码本身而言),但总会有一些被遗忘的、不重要的辅助服务在整个系统中不起任何重要作用,因此没有人关心它们[12]。但黑客就喜欢这类服务。
解决方案很简单:在集群中实施一些网络策略甚至加密。Kubernetes内置网络策略[13]对象,可让您实现简单的网络隔离和规则。但是还有很多其他工具,其中一些甚至可以实现第 7 层网络策略。
另一种可能性是加密。有一些工具可以让您加密集群内所有 Pod 之间的所有流量。加密所有流量并不会自动使其安全,但肯定会使黑客更加困难。
6.监控所有层
另一个与安全相关的重要任务是确保您拥有云原生安全监控系统[14]。这意味着您的监控系统能够监控和关联来自基础设施所有层(微服务、容器编排器和云服务)的数据。
这很重要,因为传统的本地系统很容易在多层云环境中混淆。您的工具了解云服务以及它们之间的依赖关系至关重要。例如,当您在云中创建 DNS 服务器时,您可能找不到实际的 DNS 服务器。您会发现一项服务与其类似,但您不会找到一台作为您的 DNS 服务器的实际机器。这对于传统工具来说可能是个问题,因为它们通常在服务器上运行。黑客喜欢利用这一点并在未被发现的层之间导航。
概括
本文讨论了简单易懂的分步指南来保护微服务,但事实是基于微服务的环境通常很复杂。保护此类环境的安全也因云提供商而异,但我们尝试结合最通用的技巧,希望能帮助您保持相对安全。
参考资料
安全性: https://www.traceable.ai/glossary#api_security
[2]微服务: https://www.traceable.ai/glossary#microservices
[3]保护微服务: https://www.traceable.ai/blog-post/when-it-comes-to-api-security-expect-the-whole-world-to-be-testing-your-mettle-says-twitter-ciso
[4]微服务生态系统: https://www.linkedin.com/posts/jyotibansal_how-the-api-economy-is-powering-digital-transformation-activity-6800202364746911744-GeLX/
[5]CI/CD: https://www.traceable.ai/glossary#ci/cd
[6]官方 Docker 镜像: https://hub.docker.com/search?type=image&image_filter=official
[7]Alpine: https://hub.docker.com/_/alpine
[8]Distroless: https://github.com/GoogleContainerTools/distroless
[9]或: https://man7.org/linux/man-pages/man1/curl.1.html
[10]wget: https://linux.die.net/man/1/wget
[11]HashiCorp Vault: https://www.vaultproject.io/
[12]没有人关心它们: https://www.traceable.ai/use-cases/api-discovery-and-risk-management
[13]内置网络策略: https://kubernetes.io/docs/concepts/services-networking/network-policies/
[14]云原生安全监控系统: https://www.traceable.ai/personas/security-executives
- END -
后台回复“加群”,带你进入高手如云交流群
推荐阅读
全网粉丝20W的头部大号,专注云原生、Golang、Linux实用脚本,效率工具,免费CSDN下载,回复【go】获取近 6 万 Star 的资源,回复【1024】获取全种类IT资料,回复【红包封面】获取超好看封面,回复【加群】进入高手如云技术交流群
分享、点赞和在看
支持我们分享更多好文章,谢谢!
点个在看集群永保稳定👇