【微服务】微服务安全 - 如何保护您的微服务基础架构？

在当今行业使用各种软件架构和应用程序的市场中，几乎不可能感觉到您的数据是完全安全的。因此，在使用微服务架构构建应用程序时，安全问题变得更加重要，因为各个服务相互之间以及客户端之间进行通信。因此，在这篇关于微服务安全的文章中，我将按以下顺序讨论您可以实施的各种方法来保护您的微服务。

• 什么是微服务？

• 微服务面临的问题

• 保护微服务的最佳实践

什么是微服务？

微服务，又名微服务架构，是一种架构风格，将应用程序构建为围绕业务领域建模的小型自治服务的集合。因此，您可以将微服务理解为围绕单个业务逻辑相互通信的小型单个服务。

现在，通常当公司从单体架构转向微服务时，他们会看到许多好处，例如可扩展性、灵活性和较短的开发周期。但是，与此同时，这种架构也引入了一些复杂的问题。
那么，接下来在这篇关于微服务安全的文章中，让我们了解一下微服务架构面临的问题。

微服务面临的问题

微服务面临的问题如下：

问题1：

考虑一个场景，用户需要登录才能访问资源。现在，在微服务架构中，用户登录详细信息必须以这样一种方式保存，即用户每次尝试访问资源时都不会被要求进行验证。现在，这产生了一个问题，因为用户详细信息可能不安全，也可能被第 3 方访问。

问题2：

当客户端发送请求时，需要验证客户端详细信息，并且需要检查授予客户端的权限。因此，当您使用微服务时，可能会发生对于每项服务，您都必须对客户端进行身份验证和授权。现在，要做到这一点，开发人员可能会为每项服务使用相同的代码。但是，您不认为依赖特定代码会降低微服务的灵活性吗？好吧，它确实如此。因此，这是该架构中经常面临的主要问题之一。

问题3：

下一个非常突出的问题是每个单独的微服务的安全性。在这种架构中，除了第三方应用程序之外，所有微服务同时相互通信。因此，当客户端从 3 rd 方应用程序登录时，您必须确保客户端无法访问微服务的数据，这样他/她可能会利用它们。
好吧，上述问题并不是微服务架构中发现的唯一问题。我想说的是，根据您拥有的应用程序和架构，您可能会面临许多其他与安全相关的问题。关于这一点，让我们继续阅读这篇关于微服务安全的文章，并了解减少挑战的最佳方法。

微服务安全最佳实践

提高微服务安全性的最佳实践如下：

纵深防御机制

众所周知，微服务会采用任何细粒度的机制，因此您可以应用深度防御机制来使服务更加安全。通俗地说，深度防御机制基本上是一种技术，您可以通过它应用多层安全对策来保护敏感服务。因此，作为开发人员，您只需识别具有最敏感信息的服务，然后应用多个安全层来保护它们。这样，就可以确保任何潜在的攻击者都无法一次性破解安全，而必须向前尝试破解所有层级的防御机制。
此外，由于在微服务架构中，您可以在不同的服务上实施不同的安全层，因此成功利用特定服务的攻击者可能无法破解其他服务的防御机制。

令牌和 API 网关

通常，当您打开应用程序时，您会看到一个对话框，上面写着“接受许可协议和 cookie 许可”。这条消息意味着什么？好吧，一旦您接受它，您的用户凭据将被存储并创建一个会话。现在，下次您进入同一页面时，该页面将从缓存内存而不是服务器本身加载。在这个概念出现之前，会话集中存储在服务器端。但是，这是应用程序水平扩展的最大障碍之一。

令牌

所以，这个问题的解决方案是使用令牌，来记录用户凭据。这些令牌用于轻松识别用户并以 cookie 的形式存储。现在，每次客户端请求网页时，请求都会被转发到服务器，然后服务器会判断用户是否可以访问所请求的资源。
现在，主要问题是存储用户信息的令牌。因此，需要对令牌的数据进行加密，以避免对第三方资源的任何利用。Jason Web 格式或最常见的 JWT 是一种定义令牌格式的开放标准，提供各种语言的库，并加密这些令牌。

API 网关

API 网关作为一个额外的元素通过令牌身份验证来保护服务。API 网关充当所有客户端请求的入口点，并有效地向客户端隐藏微服务。因此，客户端无法直接访问微服务，因此，任何客户端都无法利用任何服务。

分布式跟踪和会话管理

分布式跟踪

在使用微服务时，您必须持续监控所有这些服务。但是，当您必须同时监控大量服务时，就会出现问题。为避免此类挑战，您可以使用一种称为分布式跟踪的方法。分布式跟踪是一种查明故障并确定故障原因的方法。不仅如此，您还可以确定发生故障的位置。因此，很容易追踪到哪个微服务面临安全问题。

会话管理

会话管理是保护微服务时必须考虑的重要参数。现在，只要用户进入应用程序，就会创建一个会话。因此，您可以通过以下方式处理会话数据：

1. 您可以将单个用户的会话数据存储在特定服务器中。但是，这种系统完全依赖于服务之间的负载均衡，只满足水平扩展。

2. 完整的会话数据可以存储在单个实例中。然后可以通过网络同步数据。唯一的问题是，在这种方法中，网络资源会耗尽。

3. 您可以确保可以从共享会话存储中获取用户数据，从而确保所有服务都可以读取相同的会话数据。但是，由于数据是从共享存储中检索的，因此您需要确保您有一些安全机制，以便以安全的方式访问数据。

第一次会话和相互 SSL

第一次会议的想法很简单。用户只需登录应用程序一次，即可访问应用程序中的所有服务。但是，每个用户最初都必须与身份验证服务进行通信。好吧，这肯定会导致所有服务之间的大量流量，并且对于开发人员来说，在这种情况下找出故障可能很麻烦。

使用 Mutual SSL 后，应用程序通常会面临来自用户、第 3 方以及相互通信的微服务的流量。但是，由于这些服务是由第 3 方访问的，因此总是存在受到攻击的风险。现在，此类场景的解决方案是微服务之间的相互 SSL 或相互身份验证。这样，服务之间传输的数据将被加密。这种方法唯一的问题是，当微服务数量增加时，由于每个服务都会有自己的 TLS 证书，开发人员更新证书将非常困难。

3rdparty 应用程序访问

我们所有人都访问属于 3 rd 方应用程序的应用程序。3 rd 方应用程序使用用户在应用程序中生成的 API 令牌来访问所需的资源。因此，第 3 方应用程序可以访问该特定用户的数据，而不是其他用户的凭据。好吧，这是针对单个用户的。但是，如果应用程序需要访问来自多个用户的数据怎么办？您认为如何满足这样的要求？

OAuth 的使用

解决方案是使用 OAuth。当您使用 OAuth 时，应用程序会提示用户授权 3 rd 方应用程序，使用所需的信息，并为其生成令牌。一般使用授权码来请求令牌，以确保用户的回调 URL 不被盗用。

因此，在提及访问令牌时，客户端与授权服务器进行通信，该服务器授权客户端以防止其他人伪造客户端的身份。因此，当您将微服务与 OAuth 结合使用时，服务充当 OAuth 架构中的客户端，以简化安全问题。

好吧，伙计们，我不会说这些是确保服务安全的唯一方法。您可以根据应用程序的架构以多种方式保护微服务。因此，如果您是一个渴望构建基于微服务的应用程序的人，那么请记住，服务的安全性是您需要谨慎的一个重要因素。关于这一点，我们结束了这篇关于微服务安全的文章。我希望你发现这篇文章内容丰富。

本文	https://jiagoushi.pro/microservices-security-how-secure-your-microservice-infrastructure-0
讨论：知识星球【首席架构师圈】或者加微信小号【cea_csa_cto】或者加QQ群【792862318】
公众号	【jiagoushipro】 【超级架构师】 精彩图文详解架构方法论，架构实践，技术原理，技术趋势。 我们在等你，赶快扫描关注吧。
微信小号	【cea_csa_cto】 50000人社区，讨论：企业架构，云计算，大数据，数据科学，物联网，人工智能，安全，全栈开发，DevOps，数字化.
QQ群	【792862318】深度交流企业架构，业务架构，应用架构，数据架构，技术架构，集成架构，安全架构。以及大数据，云计算，物联网，人工智能等各种新兴技术。 加QQ群，有珍贵的报告和干货资料分享。
视频号	【超级架构师】 1分钟快速了解架构相关的基本概念，模型，方法，经验。 每天1分钟，架构心中熟。
知识星球	向大咖提问，近距离接触，或者获得私密资料分享。
喜马拉雅	路上或者车上了解最新黑科技资讯，架构心得。	【智能时刻，架构君和你聊黑科技】
知识星球	认识更多朋友，职场和技术闲聊。	知识星球【职场和技术】
微博	【智能时刻】	智能时刻
哔哩哔哩	【超级架构师】
抖音	【cea_cio】超级架构师
快手	【cea_cio_cto】超级架构师
小红书	【cea_csa_cto】超级架构师

谢谢大家关注，转发，点赞和点在看。