微服务带来许多好处:灵活性、易于升级应用程序的各个部分等等。然而,它们并不是解决所有问题的黄金方案,它们也有其自身的缺点。其中之一是复杂的网络连接。当您拥有复杂的网络时,会出现另一个问题:安全性。网络越复杂,保护起来就越困难。微服务越多,网络就越复杂。但网络只是一方面。在保护微服务时,您还需要注意一些事项。在本文中,六个方面将帮助您保护微服务。如何保护微服务,以及您需要了解的内容在深入探讨保护微服务时不能忘记的六件事之前,我们需要了解一些有关保护微服务的一般信息。这很重要,因为您不能100%专注于微服务本身。在保护微服务方面,您需要考虑整个微服务生态系统。这意味着您需要保护CI/CD管道、容器编排器以及构建微服务的方式。1.从安全的基础镜像开始构建微服务时,Docker容器的基础镜像起着至关重要的作用也就不足为奇了。事实上,不仅从安全角度来看,精心选择的基础镜像是好的,而且在一般情况下也是很好的做法。那么“好的”基础图像是什么意思呢?首先,只选择知名公司的经过验证的镜像。例如,如果您需要一个Ubuntu映像,请直接从官方Docker映像中获取一个。使用内置了一些额外工具的第三方图像很诱人,但最好自己添加这些工具,而不是冒险使用来自不受信任来源的图像。但是使用官方镜像并不会自动为您提供更高的安全性。它们大大提高了您的安全态势,但并非万无一失。您需要问问自己是否真的需要一个实际的基于发行版的镜像(例如Ubuntu或CentOS镜像)。尝试使用更简约的镜像,例如Alpine或Distroless。2.扫描你的镜像即使你选择了一个相对安全的基础镜像,也不代表你的Docker镜像是安全的。您将自己为此图像添加很多层。当然,您不会故意在自己的图像中引入漏洞,但不要忘记依赖性。您甚至可能没有意识到您安装的几乎所有东西都带有一些(有时是隐藏的)依赖项。这就是为什么对图像执行漏洞扫描很重要,特别是因为这是一件非常容易做的事情,而且一些图像注册表甚至内置了此功能。3.容器运行时分析如果你想更进一步,其中一个您可以对微服务进行的最佳安全改进是实施运行时扫描。运行时分析是监控容器中发生的每个动作的过程。尤其是在微服务环境中,它非常高效,因为您始终确切地知道应该在特定容器中运行什么。所以任何不寻常的事情通常都意味着麻烦。是否有人在您的容器中执行了shell脚本?curl或wget命令?黑客通常所做的几乎所有事情的行为都与普通微服务截然不同。所以运行时分析扫描器在他们所做的事情上非常有效,并且是一个巨大的安全改进。4.保护你的秘密在Kubernetes环境中,我们倾向于认为我们已经涵盖了密码和令牌,因为Kubernetes提供了一个内置的“秘密”资源。他们正是这样做的:将秘密安全地存储在Kubernetes中,这样您就不需要将它们以纯文本形式传递给您的容器。但是有一个问题!首先,您需要先将您的秘密带到您的Kubernetes集群中。它们一旦进入就会受到保护,但是当您将它们部署到Kubernetes时,您如何确保它们不是纯文本形式?这是一个常见问题。由于Kubernetes中的所有内容都定义为YAML文件,因此我们倾向于将所有这些YAML定义存储在Git中。但是,您在YAML文件中的实际密码、令牌和其他Secret(在将它们应用到集群之前)是纯文本的。因此,您不能将这些文件存储在Git中。即使您的Git存储库是私有的,也不要这样做。没有通用的解决方案,因为它取决于您的基础架构和您使用的云提供商。但只要有可能,请尝试使用像HashiCorpVault这样的安全秘密存储。许多安全商店都有插件或其他机制来将您的Secret安全地传输到Kubernetes集群。5.网络最后但同样重要的是:网络。如果您使用的是Kubernetes,默认情况下您的所有微服务都可以相互通信。这意味着攻击者只需要访问其中一个就能够连接到集群中的任何东西。虽然您的核心后端微服务可能受到很好的保护(就代码本身而言),但总会有一些被遗忘的、不重要的辅助服务,它们在整个系统中没有发挥任何重要作用,所以没人关心它们。但是黑客喜欢这种服务。解决方案很简单:在集群中实施一些网络策略甚至加密。Kubernetes具有内置的网络策略对象,可让您实现简单的网络隔离和规则。但是还有很多其他工具,其中一些甚至可以实施第7层网络策略。另一种可能性是加密。有一些工具可以让您加密集群中所有Pod之间的所有流量。加密所有流量并不会自动确保其安全,但肯定会让黑客更难入侵。6.监控所有层安全相关的另一个重要任务是确保您拥有云原生安全监控系统。这意味着您的监控系统能够监控和关联来自基础架构所有层(微服务、容器编排器和云服务)的数据。这很重要,因为传统的本地系统在多层云环境中很容易混淆。您的工具了解云服务以及它们之间的依赖关系至关重要。例如,当您在云端创建DNS服务器时,您可能无法找到实际的DNS服务器。您会找到类似的服务,但不会找到充当您的DNS服务器的实际机器。这对于遗留工具来说可能是个问题,因为它们通常在服务器上运行。黑客喜欢利用这一点并在未被发现的层之间导航。总结本文讨论了用于保护微服务的易于遵循的分步指南,但现实是基于微服务的环境通常很复杂。确保此类环境的安全也因云提供商而异,但我们已尝试结合最通用的技巧,希望它们能帮助您保持相对安全。
