cloud foundary的安全观察

最新推荐文章于 2021-06-21 09:21:42 发布
最新推荐文章于 2021-06-21 09:21:42 发布
阅读量1k 收藏
点赞数
分类专栏: cloud 文章标签: cloud foundary linux Linux LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RomanBrickie/article/details/8608127
版权

一、cloud foundry简介

可以从新浪微盘和优酷搜到一些文件和视频,或者stackoverflow

http://u.youku.com/CloudFoundryCN 

http://stackoverflow.com/questions/tagged/cloudfoundry

二、cloud foundry的安全

1.一些讨论

http://stackoverflow.com/questions/12567735/cloud-foundry-infrastructure-level-security

Cloud Foundry itself isn't concerned with infrastructure-layer security, but there's nothing preventing you from locking down access with a firewall that sits in front of your CF deployment. For example, you could limit access to all of your CF IPs (layer 3), or limit access to specific apps via HTTP host header inspection (layer 7). These capabilities are dependent on the specific firewall software you're using.

FYI, there's a dedicated Google Group for discussion of topics related to the OSS Cloud Foundry project: vcap-dev

https://github.com/cloudfoundry/uaa/blob/master/README.md

这个是官方的关于foundry一个安全模块(UAA)的说明

The UAA is the identity management service for Cloud Foundry. It's primary role is as an OAuth2 provider, issuing tokens for client applications to use when they act on behalf of Cloud Foundry users. It can also authenticate users with their Cloud Foundry credentials, and can act as an SSO service using those credentials (or others). It has endpoints for managing user accounts and for registering OAuth2 clients, as well as various other management functions.

http://blog.cloudfoundry.org/2012/10/09/oauth-rest/

UAA推荐使用OAUTH,关于oauth,参见OAuth

 

http://blog.cloudfoundry.org/2012/07/23/uaa-intro/

Design Goals of the UAA

  • Web applications need to be able to authenticate users and access platform resources on their behalf without collecting user credentials. (Several examples of applications collecting user credentials have been brought to our attention but until the UAA was available, there was no way to offer an alternative.)
  • The system needs to be able to grow, with more components being added by the platform and by users (for example providing management UIs for existing applications or for deploying new applications or services).
  • It should provide Single Sign On (SSO) for all user-facing applications in the platform.
  • It should support cross-platform and polyglot programming for users of the platform APIs.
  • It should be easy to strategize the authentication mechanism for social (e.g., sign on with GitHub) and enterprise (e.g., corporate AD) scenarios.


https://github.com/cloudfoundry/uaa/tree/master/docs

2. 综合

软件升级的问题

cloudfoudry并没提到,如果预装的软件有漏洞,更新的策略是什么?

认证授权

如果系统软件本身没有漏洞,则安全问题都是一个认证授权的问题,而认证授权牵扯到框架和协议,框架如oauth,协议如ldap。

https://github.com/cloudfoundry的目录结构来看,UAA是对cloudfoundry的安全或者认证方面的增强,不是自动包含在cloudfoundry的基本包里头的。

HA

没有在cloudfoundry原生态支持

cloudfoundry自身的网站cloudfoundry.com上面的做法是

backup

•Periodic  data dump to secure storage
–Use service’s utilities to respect transactions, etc
•Automatic rotation
Snapshots

•User-visible upload/download of service instance:
–Take a snapshot
–Enumerate snapshots
–Download a snapshot
–Upload a snapshot (locally, cloud-to-cloud)
–Switch to a snapshot

资源隔离

warden, a framework for managing isolated and resource controlled environments.

•Run each service in a sandbox to protect from a service’s security flaws
•Warden:  client/server on top of “cgroups”
•Services base library makes it easy to “wardenize” new services

Warden的位置:Warden Container,Cloud Foundry中管理应用执行的最小单元是DEA,DEA会把应用部署运行在Warden Container,不同于虚拟机,Warden Container是一种应用级别的进程隔离技术,在保证安全性的情况下,它提供了更快的应用启动和横向扩展的速度。

 

RomanBrickie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CloudFoundry简介
weixin_33825683的博客
05-09 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
CloudFoundry中gorouter源码分析
03-02
CloudFoundryv1版本中,router作为路由节点,转发所有进入CloudFoundry的请求。由于开发语言为ruby,故router接受并处理并发请求的能力受到语言层的限制。虽然在v1版本中,router曾经有过一定的优化,采用lua脚本...
CloudFoundry User Account and Authentication (UAA) Server Identity Provider
来啊 快活啊
07-04 1505
相关类: 外部IDP好像只有在Authorization Code流程中有效; 配置好一个Identity Provider之后,给client 的配置 additional information #allowidps 属性; 访问配置好sso的web应用,跳转到uaa的登录界面,选择配置好的IDP登录,登录(授权)之后获取code,将code回传给回调uaa的登录地址,被UAA里的XOAuth...
CloudFoundry入门
Jmark
12-13 2039
本文来源于 Cloud Foundry 官方提供的文档。更多教程请点击 CloudFoundry 官方文档。 什么是Cloud Foundry Cloud Foundry是一个开源的平台即服务产品,它提供给开发者自由度去选择云平台,开发框架和应用服务。Cloud Foundry最初由 VMware 发起,得到了业界广泛的支持,它使得开发者能够更快更容易的开发,测试,部署和扩展应用。Cl
Cloud Foundry安装部署指南(上)
热门推荐
泰克轱辘儿
03-24 1万+
本文介绍在基于VMware技术的虚拟机资源池上,部署Pivotal Cloud Foundry(PCF)的过程。Pivotal对Cloud Foundry(CF)进行了商业化包装,虽然其部署过程现阶段还没有简单到vSphere产品线的水平,但是比开源版本的部署要容易的多。
Cloud Foundry应用操作流程
笑笑生的博客
09-04 2104
当购买了 MindSphere tenant 之后, 会收到一封邮件, 大致内容如下图: 对应的 tenant 名字以自己的为准, 不会是下面的”supplab1”, 而且地址也不是”https://supplab1.cn1.mindsphere-in.cn”. 之后, 便可以通过此 URL 登录 MindSphere, 部署、注册 Cloud Foundry 应用. 1. 登录 MindSphere 通过访问 https://supplab1.cn1.mindsphere-in...
深度剖析CloudFoundry的架构设计
03-02
VMware在今年4月份突然发布了业内第一个开源的PaaS——CloudFoundry。发布至今的这几个月里,笔者一直关注它的演进,并从它的架构设计中获益良多,觉得有必要写出来与大家分享一下。本文会分为两个部份:第一部份...
Cloud Foundry - Cheat Sheet
10-21
Cloud Foundry Cheat Sheet. Convenient and quick way to get commands.
Cloud Foundry - The Definitive Guide
05-22
Get started with Cloud Foundry, the leading Platform as a Service (PaaS) that’s dramatically changing how developers, operations practitioners, and especially DevOps teams deploy applications and ...
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器.zip
09-18
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器 用户帐户和认证( UAA ) 服务器 UAA是一个多租户身份管理服务,用于 Cloud Foundry,但也可以作为独立的OAuth2服务器使用。 它的主要角色是of提供商,它为客户端应用程序发出代表云工厂用户时使用的令牌。 它还
spring-cloud-cloudfoundry:Cloudfoundry与Spring Cloud API之间的集成
01-30
2. 安全性:通过Cloudfoundry的安全模型,如OAuth2、UAA等,可以实现应用的身份验证和授权,确保服务间的安全通信。 3. 监控与日志:集成Cloudfoundry的日志和监控系统,便于对应用的运行状态进行实时监控和问题...
Cloud Foundry: The Definitive Guide
05-12
Cloud Foundry is a platform that helps you develop and deploy applications and tasks with velocity.
CloudFoundry中JasperReportsservice集成
03-02
CloudFoundry作为业界第一个开源的PaaS解决方案,正越来越多的被业界接受和认可。随着PaaS的发展,CloudFoundry顺应潮流,充分发挥开源项目的特点,到目前为止,已经支持了大批第三方技术和服务。在开发框架的支持上...
cloudfoundry-runtime-0.8.4_Java8_cloud_
10-01
【标题】"cloudfoundry-runtime-0.8.4_Java8_cloud_" 指的是一个针对 Cloud Foundry 运行时环境的特定版本,这个版本是为 Java 8 语言定制的。Cloud Foundry 是一个开源的平台即服务(PaaS)系统,允许开发者构建、...
Spring Cloud Data Flow整合Cloudfoundry UAA服务做权限控制
南瓜慢说
06-21 354
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 前言 关于Spring Cloud Data Flow这里不多介绍,有兴趣可以看下面的文章。本文主要介绍如何整合Data Flow和CloudFoundry UAA来做权限控制,而不是任何人都可以直接访问操作。 Spring Cloud Data Flow相关文章: Spring Cloud Data Flow初体验,以Local模式运行 把Spring Cloud Data Flow部署在Kubernetes上,再跑.
CloudFoundry 初识
种花家的奋斗兔的博客
03-16 1964
官网:https://cloudfoundry.cn/ 1. 定义 Cloud Foundry是业界第一个开源PaaS云平台,它支持多种框架、语言、运行时环境、云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的问题。 2.PaaS PaaS,平台即服务。是云计算的一种服务形式。其实并不是一个非常新的概念,像GAE、SAE很早就提供了类似这样的服务...
Cloud foundry基础
赵英超的博客
05-22 7119
Cloud Foundry 组件概述路由Router认证OAuth2 Server UAA 和 Login Server应用生命周期Cloud Controller 和 Diego BrainnsyncBBS 和 Cell Reps应用存储和执行BlobstoreDiego Cell服务Service Brokers通信Consul 和 BBS指标和日志LoggregatorMetrics Col...
CloudFoundry入门与详解
"这是一个关于CloudFoundry的介绍文档,适合初学者了解和入门。文档由Chris Richardson撰写,旨在帮助开发者理解并使用CloudFoundry这个开源PaaS(Platform-as-a-Service)云计算平台。" CloudFoundry简介: Cloud...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值