國(guó)家保密局網(wǎng)站>>保密科技

云原生架構(gòu)下的微服務(wù)安全研究

2023年06月06日    來(lái)源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

【摘 要】 本文主要針對(duì)云原生架構(gòu)下的微服務(wù)安全現(xiàn)狀進(jìn)行了研究,提出了基于微服務(wù)的安全風(fēng)險(xiǎn)評(píng)估模型,給出了云原生架構(gòu)下的微服務(wù)安全解決方案。

【關(guān)鍵詞】 云計(jì)算 微服務(wù) 網(wǎng)絡(luò)安全

1 引言

在為企業(yè)提供邊緣計(jì)算、節(jié)點(diǎn)安全、自動(dòng)化以及智慧數(shù)據(jù)服務(wù)方面,基于云計(jì)算構(gòu)建的網(wǎng)絡(luò)架構(gòu)模型存在諸多優(yōu)點(diǎn),如能夠?qū)崿F(xiàn)規(guī)模經(jīng)濟(jì)效應(yīng),有效整合、配置資源,具有高可用性等。云計(jì)算集成了各種計(jì)算技術(shù),為終端用戶(hù)提供微服務(wù)(Micro Services)。然而,在云計(jì)算與微服務(wù)發(fā)展的同時(shí),也存在著一些安全隱患。

2 云原生架構(gòu)下的微服務(wù)安全現(xiàn)狀及面臨的問(wèn)題

為了理解與云計(jì)算相關(guān)的安全問(wèn)題,首先要理解云計(jì)算的概念。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)將云計(jì)算視為服務(wù)提供的三重模型,其中包括基本特征、服務(wù)模型和部署模型。NIST對(duì)云計(jì)算的定義如圖1所示。

云計(jì)算的特征和模型提供了改進(jìn)、優(yōu)化的解決方案,并能為客戶(hù)降低成本。然而各種技術(shù)的實(shí)現(xiàn)(如虛擬化和多租戶(hù))也產(chǎn)生了云計(jì)算所特有的安全風(fēng)險(xiǎn)和漏洞,如容器基礎(chǔ)設(shè)施安全、容器編排平臺(tái)安全、微服務(wù)安全、服務(wù)網(wǎng)格安全、無(wú)服務(wù)器計(jì)算安全等。本文介紹了云原生架構(gòu)下的微服務(wù)安全問(wèn)題,具體細(xì)分為微服務(wù)應(yīng)用程序編程接口(API)安全、微服務(wù)應(yīng)用安全。其中,微服務(wù)API安全主要包括云原生API網(wǎng)關(guān)、API脆弱性評(píng)估;微服務(wù)應(yīng)用安全主要包括認(rèn)證授權(quán)、API安全、通信安全、憑證管理、日志審計(jì)、監(jiān)控追蹤等。

云原生架構(gòu)下的微服務(wù)是一個(gè)通過(guò)消息進(jìn)行交互的內(nèi)聚、獨(dú)立的過(guò)程。例如,一個(gè)用于計(jì)算的微服務(wù)框架,它能夠提供可通過(guò)消息請(qǐng)求的算術(shù)運(yùn)算,但不能提供其他如繪圖和可視化等功能。從技術(shù)角度來(lái)看,微服務(wù)是概念上部署的獨(dú)立組件隔離并配備專(zhuān)用內(nèi)存持久性工具(如數(shù)據(jù)庫(kù))。微服務(wù)架構(gòu)是一種分布式應(yīng)用程序,它的所有模塊都是微服務(wù)。由于微服務(wù)體系結(jié)構(gòu)的所有組件都是微服務(wù),因此個(gè)體活動(dòng)源自其組件通過(guò)消息的組合和協(xié)調(diào)。圖2是一個(gè)微服務(wù)架構(gòu)的示例圖,假設(shè)存在2種微服務(wù):計(jì)算器和顯示器。第一個(gè)是上文提到的計(jì)算器微服務(wù),第二個(gè)是渲染和顯示圖像。為了實(shí)現(xiàn)研究目標(biāo),我們可以引入一種新的微服務(wù),稱(chēng)為繪圖儀,它協(xié)調(diào)計(jì)算器進(jìn)行計(jì)算圖形的形狀,調(diào)用Displayer渲染計(jì)算的形狀。

微服務(wù)的概念源于工業(yè)實(shí)踐,它將大型單片應(yīng)用程序劃分為更小的協(xié)同服務(wù),從而實(shí)現(xiàn)更大規(guī)模的可維護(hù)、可擴(kuò)展和可測(cè)試,以適應(yīng)云環(huán)境。使用微服務(wù)架構(gòu)開(kāi)發(fā)和部署云應(yīng)用程序越來(lái)越流行。盡管微服務(wù)架構(gòu)的開(kāi)發(fā)和部署在云生產(chǎn)環(huán)境中有一些優(yōu)勢(shì),但安全性仍是企業(yè)和客戶(hù)優(yōu)先考慮的,因此我們首先要確定微服務(wù)面臨的主要安全問(wèn)題。如圖3所示,云計(jì)算開(kāi)發(fā)人員應(yīng)注意微服務(wù)常見(jiàn)安全問(wèn)題。

2.1 云原生架構(gòu)下的微服務(wù)容器安全

首先,容器的存在為微服務(wù)提供了一個(gè)完美的環(huán)境。使用容器包裝或集裝箱化分布式微服務(wù)的優(yōu)勢(shì)明顯。例如,容器消除了對(duì)底層基礎(chǔ)設(shè)施服務(wù)的依賴(lài),從而減少了對(duì)接不同平臺(tái)的復(fù)雜性。因此,微服務(wù)架構(gòu)可以利用Docker容器來(lái)測(cè)試和跨可用的計(jì)算機(jī)網(wǎng)絡(luò)與其他計(jì)算設(shè)備在單獨(dú)的容器中部署單個(gè)服務(wù)。此外,容器可以提供標(biāo)準(zhǔn)化建設(shè)和持續(xù)整合與交付服務(wù)。簡(jiǎn)而言之,容器的存在、發(fā)展與微服務(wù)聯(lián)系緊密,它們結(jié)合在一起,形成一個(gè)生態(tài)系統(tǒng)。當(dāng)Docker容器出現(xiàn)安全問(wèn)題時(shí),可能會(huì)引起連鎖反應(yīng)。

云原生架構(gòu)下的微服務(wù)容器主要有2類(lèi)攻擊者:直接攻擊者和間接攻擊者。直接攻擊者瞄準(zhǔn)內(nèi)部的核心服務(wù)容器,銷(xiāo)毀或修改網(wǎng)絡(luò)和系統(tǒng)文件。例如,攻擊者可以從面向互聯(lián)網(wǎng)的容器服務(wù)中獲得相關(guān)容器中的根權(quán)限。進(jìn)而從被攻擊的容器對(duì)運(yùn)行在同一主機(jī)操作系統(tǒng)上的其他容器發(fā)起攻擊,并獲得對(duì)關(guān)鍵主機(jī)操作系統(tǒng)的訪(fǎng)問(wèn)權(quán)限系統(tǒng)文件。間接攻擊者與直接攻擊者具有相同的能力,但他們的目標(biāo)是容器生態(tài)系統(tǒng),如代碼和圖像存儲(chǔ)庫(kù),到達(dá)軟件環(huán)境。容器攻擊面包含整個(gè)部署工具鏈。部署工具鏈包括映像概念、映像分發(fā)過(guò)程、自動(dòng)構(gòu)建、映像簽名、主機(jī)配置和第三方組件。圖像分發(fā)中的漏洞源于容器中心(如Docker hub)和容器生態(tài)系統(tǒng)中的其他注冊(cè)表。此外,容器圖像分布的設(shè)置增加了幾個(gè)外部步驟,從而增加了全局攻擊面。例如,一旦容器中的黑客程序啟動(dòng)有效的逃逸攻擊可以獲得主機(jī)的根權(quán)限,這將影響其他容器或整個(gè)系統(tǒng)的可靠性。

2.2 云原生架構(gòu)下的微服務(wù)數(shù)據(jù)安全

微服務(wù)由于其精細(xì)的粒度,需要更復(fù)雜的通信。因此,消息數(shù)據(jù)不僅可能被攔截,也可能被競(jìng)爭(zhēng)對(duì)手利用而推斷出具體業(yè)務(wù)運(yùn)營(yíng)明細(xì)情況。因?yàn)槲⒎⻊?wù)通常部署在云環(huán)境中,除了消息傳輸之外,微服務(wù)還存在隱私安全問(wèn)題,云消費(fèi)者也擔(dān)心他們存儲(chǔ)的信息可能被泄露或不當(dāng)使用。微服務(wù)部署在許多分布式容器中,因此,客戶(hù)可能會(huì)對(duì)其私人信息的安全性產(chǎn)生懷疑。如何防止傳輸?shù)南⑿孤度匀皇且粋(gè)嚴(yán)峻的問(wèn)題。

為了確保數(shù)據(jù)的保密性、完整性和可用性,微服務(wù)提供商必須提供最低限度的數(shù)據(jù)安全保障,包括通過(guò)加密保護(hù)共享存儲(chǔ)環(huán)境中的所有數(shù)據(jù),嚴(yán)格訪(fǎng)問(wèn)控制以防止未經(jīng)授權(quán)訪(fǎng)問(wèn)數(shù)據(jù),并定時(shí)備份數(shù)據(jù)等。

2.3 云原生架構(gòu)下的微服務(wù)權(quán)限安全

微服務(wù)體系結(jié)構(gòu)應(yīng)該驗(yàn)證每個(gè)服務(wù)的真實(shí)性,因?yàn)槿绻麊蝹(gè)服務(wù)由攻擊者控制,該服務(wù)可能會(huì)惡意影響其他服務(wù)。此外,當(dāng)服務(wù)接收到消息時(shí),它需要確定消息的真實(shí)性和有效性。

2.4 云原生架構(gòu)下的微服務(wù)網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)安全領(lǐng)域,傳統(tǒng)的典型威脅主要包括地址解析協(xié)議(ARP)欺騙、中間人攻擊(MITM)、DoS攻擊等。ARP欺騙涉及構(gòu)建偽造目標(biāo)物理地址的ARP回復(fù),通過(guò)發(fā)送偽造的ARP回復(fù),主機(jī)無(wú)法與目標(biāo)主機(jī)正確通信。

2.5 云原生架構(gòu)下的其他微服務(wù)安全風(fēng)險(xiǎn)

一般來(lái)說(shuō),保護(hù)單一服務(wù)比保護(hù)微服務(wù)相對(duì)容易。單一服務(wù)有明確的邊界且通信是內(nèi)部的。然而,在基于微服務(wù)的光纖陀螺系統(tǒng)中,任何功能的實(shí)現(xiàn)都可能需要通過(guò)部署的光纖陀螺網(wǎng)絡(luò)在多個(gè)微服務(wù)之間進(jìn)行通信。因此,這將暴露更多的數(shù)據(jù)和信息或系統(tǒng)端點(diǎn),從而擴(kuò)大了攻擊面。沒(méi)有網(wǎng)絡(luò)保護(hù),就無(wú)法實(shí)現(xiàn)安全的服務(wù)通信。

底層基礎(chǔ)設(shè)施也起著至關(guān)重要的作用。新興網(wǎng)絡(luò)架構(gòu)軟件定義網(wǎng)絡(luò)(SDN)等范例為云管理提供了靈活性和高效率等優(yōu)勢(shì)特性。然而,SDN還引入了以前不存在的、在傳統(tǒng)網(wǎng)絡(luò)中更難利用的新威脅,可能使網(wǎng)絡(luò)更容易被滲透。SDN的主要威脅是網(wǎng)絡(luò)應(yīng)用程序的身份驗(yàn)證和授權(quán)。控制器模塊必須進(jìn)行一系列測(cè)試和驗(yàn)證,以確保其可靠并適合在生產(chǎn)環(huán)境中使用。然而,這對(duì)于保證第三方應(yīng)用程序的可靠性和可信性來(lái)說(shuō)是困難的。控制器模塊是集中式的,因此,如果惡意應(yīng)用程序接管控制器,結(jié)果可能會(huì)導(dǎo)致不同類(lèi)型的攻擊,嚴(yán)重影響整個(gè)微服務(wù)架構(gòu)。因此,信任沖突是一種主要威脅,存在于控制器之間及應(yīng)用程序之中。SDN網(wǎng)絡(luò)的設(shè)計(jì)策略明確允許網(wǎng)絡(luò)應(yīng)用程序在網(wǎng)絡(luò)中更改應(yīng)用,但沒(méi)有行使驗(yàn)證技術(shù)或語(yǔ)義,以評(píng)估這些應(yīng)用程序的可信度。惡意應(yīng)用程序可以濫用這些權(quán)限并危害網(wǎng)絡(luò)運(yùn)營(yíng)。

除SDN安全問(wèn)題外,大量微服務(wù)帶來(lái)的網(wǎng)絡(luò)復(fù)雜性大大增加了監(jiān)控整個(gè)應(yīng)用程序安全的難度;單一微服務(wù)的中止也可能會(huì)導(dǎo)致整個(gè)應(yīng)用程序的崩潰。

3 云原生架構(gòu)下的微服務(wù)安全風(fēng)險(xiǎn)評(píng)估模型

3.1 STRIDE威脅模型

微軟公司的STRIDE是一種流行的威脅建模方法,如表1所示。類(lèi)似的安全威脅建模模型還有DREAD框架。識(shí)別和分類(lèi)威脅事件有助于評(píng)估其影響和應(yīng)對(duì)措施。

3.2 Prasad Saripalli風(fēng)險(xiǎn)評(píng)估模型

雖然STRIDE是一個(gè)經(jīng)過(guò)測(cè)試的較好的傳統(tǒng)軟件框架系統(tǒng),但微服務(wù)安全風(fēng)險(xiǎn)評(píng)估模型Prasad Saripalli明確包括特定于云的安全性目標(biāo),更適合于云安全風(fēng)險(xiǎn)評(píng)估。美國(guó)《聯(lián)邦信息安全管理法案》(Federal Information Security Management Act,F(xiàn)ISMA)為信息系統(tǒng)定義了3個(gè)安全目標(biāo):保密性(Confidentiality),完整性(Integrity)和可用性(Availability)。Prasad Saripalli在基于云平臺(tái)的信息安全系統(tǒng)基礎(chǔ)之上,又增加了3個(gè)安全目標(biāo):多方信任(Multiparty Trust)、相互審計(jì)(Mutual Auditability)和可用性(Usability)。為每個(gè)威脅事件建立適當(dāng)?shù)陌踩繕?biāo)需要先確定其潛在影響。Prasad Saripalli表示安全類(lèi)別的通用格式信息類(lèi)型為:

Ie=[(C,0),(I,6),(A,8),(M,1),(A,1),(U,8)]

潛在影響的可接受值分為4個(gè)等級(jí):較低、中等、高或不適用。風(fēng)險(xiǎn)是以上安全威脅事件及其后果的嚴(yán)重性影響因素的概率或頻率的組合。微服務(wù)安全風(fēng)險(xiǎn)類(lèi)別根據(jù)等式進(jìn)行評(píng)估。給定應(yīng)用程序的總體平臺(tái)安全風(fēng)險(xiǎn)(RS)將是累積的平均值,映射到安全目標(biāo)類(lèi)別的n個(gè)威脅的加權(quán)總和:

具體的計(jì)算過(guò)程如表2所示。

4 云原生架構(gòu)下的微服務(wù)安全架構(gòu)及安全防御措施

4.1 云原生架構(gòu)下的微服務(wù)安全架構(gòu)

基于上述風(fēng)險(xiǎn)評(píng)估架構(gòu),本文提出了相應(yīng)的基于云原生架構(gòu)的微服務(wù)安全整體框架。圖4為國(guó)內(nèi)學(xué)者總結(jié)的云原生架構(gòu)下的微服務(wù)安全架構(gòu)。在此基礎(chǔ)上,可以追加后臺(tái)日志系統(tǒng)與本文中提到的風(fēng)險(xiǎn)評(píng)估告警體系。

   

4.2 基于云原生架構(gòu)的微服務(wù)安全防御措施

(1)物理措施

微服務(wù)安全防御機(jī)制首先需要對(duì)物理設(shè)備進(jìn)行有效管理,包括服務(wù)器、路由器、防火墻、交換機(jī)等網(wǎng)絡(luò)關(guān)鍵設(shè)備的定期檢查、更新,并且需要安裝不間斷電源(UPS)。

(2)數(shù)據(jù)加密

在數(shù)據(jù)安全中,數(shù)據(jù)源的保護(hù)也非常重要。數(shù)據(jù)源的保護(hù)主要是針對(duì)操作員惡意篡改或者泄露主要數(shù)據(jù)。因此需要確定數(shù)據(jù)源是否可驗(yàn)證并且具有與其自身相關(guān)聯(lián)的信譽(yù)度,以及如何防止篡改或者泄露。

首先,需要確保管理系統(tǒng)能夠驗(yàn)證與操作有關(guān)的參與者(或服務(wù))相關(guān)的數(shù)據(jù)源,并且能夠使參與者(或服務(wù))對(duì)其在數(shù)據(jù)中的行為負(fù)責(zé)。另外,數(shù)據(jù)源的復(fù)現(xiàn)是應(yīng)急響應(yīng)的關(guān)鍵流程,因此數(shù)據(jù)的熱備份至關(guān)重要。

其次,創(chuàng)建用于數(shù)據(jù)流認(rèn)證的公私鑰加密系統(tǒng)。并且基于密碼學(xué)對(duì)源數(shù)據(jù)進(jìn)行加密處理(如RSA或DES算法),結(jié)合密鑰對(duì)保證云端數(shù)據(jù)傳輸?shù)目煽啃耘c完整性。另外,備份數(shù)據(jù)的加密存儲(chǔ)能夠有效預(yù)防數(shù)據(jù)的篡改與外泄。

(3)訪(fǎng)問(wèn)控制

針對(duì)微服務(wù)方面的權(quán)限訪(fǎng)問(wèn)保障,請(qǐng)求訪(fǎng)問(wèn)資源只能被分配最低限度的必要權(quán)利。將權(quán)限授予超出必要的范圍可能導(dǎo)致用戶(hù)以不正當(dāng)?shù)姆绞将@取或更改信息。因此,權(quán)限訪(fǎng)問(wèn)控制可以限制攻擊者破壞系統(tǒng)。

輕型目錄訪(fǎng)問(wèn)協(xié)議(LDAP)是SaaS應(yīng)用程序中使用的一種非常流行的授權(quán)協(xié)議,如圖5所示。LDAP服務(wù)存儲(chǔ)相對(duì)靜態(tài)的授權(quán)信息,適用于一次記錄、多次讀取的場(chǎng)景。為了提供一種基于TCP/IP的輕量級(jí)網(wǎng)絡(luò),降低管理維護(hù)成本,LDAP簡(jiǎn)化了目錄訪(fǎng)問(wèn)協(xié)議(DAP)并且可以輕松添加、修改、查詢(xún)和刪除用戶(hù)目錄信息。

  

   

OAuth77也是一種流行的授權(quán)協(xié)議,以確保REST API能夠進(jìn)行正常的授權(quán)訪(fǎng)問(wèn)。通過(guò)OAuth,授權(quán)服務(wù)器向受信任的客戶(hù)端應(yīng)用程序發(fā)出訪(fǎng)問(wèn)令牌,然后客戶(hù)端應(yīng)用程序可以代表最終用戶(hù)訪(fǎng)問(wèn)API。此外,OpenID Connect是OAuth之上的一個(gè)身份驗(yàn)證層,它還允許服務(wù)讀取基本用戶(hù)信息。

(4)網(wǎng)絡(luò)隔離與容器隔離

網(wǎng)絡(luò)隔離通常是通過(guò)隔離卡與安全隔離網(wǎng)閘實(shí)現(xiàn)的。而云端的容器隔離可以通過(guò)Linux系統(tǒng)中的SELinux(Security Enhanced Linux)策略模塊實(shí)現(xiàn)。SELinux是Linux中廣泛使用的安全模塊,其對(duì)安全策略模塊的支持效果十分顯著。對(duì)保護(hù)容器安全的SELinux策略模塊允許為不同容器的鏡像指定SELinux域,從而提高容器的安全性。除此以外,Gao等人提出了一種基于功率的命名空間方法,用于檢測(cè)多租戶(hù)容器云服務(wù)上的信息泄露。信息泄露主要是由于Linux系統(tǒng)中的系統(tǒng)資源隔離機(jī)制沒(méi)有完全實(shí)現(xiàn),基于功率的命名空間方法能夠記錄和監(jiān)視每個(gè)容器的功率使用情況。對(duì)于每個(gè)容器的功率使用統(tǒng)計(jì)信息,所提出的方法可以動(dòng)態(tài)限制已超過(guò)其容量的容器計(jì)算能力定義的功率閾值,進(jìn)而實(shí)現(xiàn)有效的資源隔離。

5 結(jié)語(yǔ)

盡管云原生架構(gòu)下的微服務(wù)體系有許多優(yōu)點(diǎn),但仍存在許多實(shí)際和潛在的安全問(wèn)題。微服務(wù)是一種相對(duì)較新的軟件體系結(jié)構(gòu),因此其研究在工業(yè)和學(xué)術(shù)領(lǐng)域都仍然有限。本文從容器、數(shù)據(jù)、權(quán)限和網(wǎng)絡(luò)4個(gè)方面描述了用于服務(wù)通信的微服務(wù)的安全問(wèn)題和當(dāng)前解決方案。未來(lái),可以考慮實(shí)施一個(gè)集成解決方案來(lái)保護(hù)基于云原生的微服務(wù)體系,使其在安全級(jí)別、應(yīng)用程序性能和用戶(hù)體驗(yàn)之間實(shí)現(xiàn)恰當(dāng)平衡。

(原載于《保密科學(xué)技術(shù)》雜志2022年7月刊)


主站蜘蛛池模板: 香蕉99久久国产综合精品宅男自| 亚洲伊人tv综合网色| 伊人久久综合精品无码AV专区| 亚洲国产成人久久综合一| 久久综合给合久久国产免费| 在线综合亚洲中文精品| 小说区综合区首页| 亚洲国产综合自在线另类| 色综合热无码热国产| 久久93精品国产91久久综合| 国产精品综合专区中文字幕免费播放| 国产成人综合亚洲绿色| 亚洲综合网美国十次| 天天躁夜夜躁狂狂躁综合| 国产精品亚洲综合专区片高清久久久| 伊人久久大香线蕉综合电影| 久久香综合精品久久伊人| 天天影视色香欲综合久久| 欧洲亚洲综合一区二区三区| 一本色道久久综合亚洲精品高清| 国产成人综合久久精品下载| 久久综合久久久久88| 久久婷婷五月综合97色一本一本| 久久综合久久鬼色| 天天干天天色综合| 香蕉久久综合精品首页| 尹人久久大香找蕉综合影院| 激情综合色综合啪啪开心| 亚洲国产精品综合久久网各| 亚洲国产aⅴ综合网| 91精品国产综合久久四虎久久无码一级| 伊人久久综合热线大杳蕉下载| 国产精品亚洲综合天堂夜夜| 狠狠色丁香婷婷久久综合五月| 天天av天天翘天天综合网| 亚洲综合伊人久久大杳蕉| 色综合热无码热国产| 色综合久久中文色婷婷| 久久婷婷五月综合色奶水99啪| 国产色综合天天综合网| 亚洲综合成人网在线观看|