TSF微服务治理实战系列（四）——服务安全

一、导语

**道路千万条，安全第一条。治理不规范，老板两行泪”。**当企业从单体架构逐渐转向微服务架构时， 服务安全 的需求也随之分散到了整个微服务体系的各个部分中。这就需要构建一套配置活、成本低的安全防控体系，覆盖请求链路中的各个部分，满足用户的安全诉求。本章将从安全的视角介绍TSF相关的能力，包括服务和网关的鉴权机制、如何保证应用配置的安全、权限管理及事件审计等方面。

二、作者介绍

崔凯腾讯云 CSIG 微服务产品中心产品架构师多年分布式、高并发电子商务系统的研发、系统架构设计经验，擅长主流微服务架构技术平台的落地和实施。目前专注于微服务架构相关中间件的研究推广和最佳实践的沉淀，致力于帮助企业完成数字化转型。

三、安全攻防与零信任

针对系统的攻击手段层出不穷，可谓道高一尺，魔高一丈。黑客们总有方法绕过系统的种种防御机制，窃取系统权限、用户重要信息等。比如常见的 SQL 注入、XSS、CSRF，比较暴力的 DDOS 或代码开发引入的业务逻辑漏洞，还有序列化漏洞、文件上传漏洞和框架组件漏洞（如fastjson、log4j2）等。

对于已知的安全风险或者漏洞，我们可以提前进行防御，但是理论上没有一个系统可以做到100%不被攻破。所以，在系统安全建设方面，防御方需要通过较少的投入提高攻击方成本。另外，也需要减少整个系统的攻击面，比如通过 WAF 防火墙过滤恶意 URL、规范代码开发减少业务逻辑漏洞、减少使用安全漏洞频发的组件或框架等。

不过，头痛医头脚痛医脚的防御方式，往往顾此失彼。那么，有没有相关的标准和最佳实践经验来帮助系统提高架构的安全性呢？

追述到2010年，Forrester 的分析师 John Kindervag 提出的零信任（Zero Trust），其核心思想为：默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的行为进行验证，简单来说就是 “永不信任、始终验证” 。

之后，Google在2014年发表了一系列论文，并在BeyondCrop项目中将零信任大规模落地。同时，国内也嗅到了零信任的重要性，中国信通院在2020年8月发布了《网络安全先进技术与应用发展系列报告——零信任技术》报告，其中对零信任相关原则、架构、场景等均进行了详细阐述。

There are several ways that an enterprise can enact a ZTA for workflows. These approaches vary in the components used and in the main source of policy rules for an organization. Each approach implements all the tenets of ZT but may use one or two (or one component) as the main driver of policies. A full ZT solution will include elements of all three approaches. The approaches include enhanced identity governance–driven, logical micro segmentation, and network-based segmentation.

此外，NIST（National Institute of Standards and Technology）在2020年8月也发布了《SP800-207.Zero Trust Architecture》的终稿（片段如上），其中详细描述了3条零信任架构主流的技术实现路径，包括增强的身份治理（Enhanced Identity Governance）、微隔离（Micro-Segmentation）、网络基础设施和软件定义边界（Network Infrastructure and Software Defined Perimeters），且这3种技术解决的问题域并不完全相同，组合起来才能形成完整的 ZTA 解决方案。（原文可从附录中查阅）

四、微服务ZTA参考模型

腾讯云 TSF 基于上述零信任架构相关参考文献及微服务领域多年的经验积累，梳理总结了微服务 ZTA 参考模型。其主要用于抽象描述微服务架构场景中，零信任各组成元素间的关系和逻辑。

其中，数字化访问主体包含微服务架构中的人员、终端、服务等，且服务作为微服务架构的核心元素，所以其重要程度更高。

访问主体发送不受信的请求后，必须由数据面的可信代理进行验证和授权。可信代理在微服务ZTA模型中主要以 Agent、Sidecar 和 SDK 等方式作为实现，其验证时会联动管控引擎，根据动态策略和实时信任评估进行动态判定。

信任评估除了实时接收控制面的日志、身份、权限等内部信息变动，还可以接收外部分析及信任评估平台提供的外部风险信息。

身份认证平台及设施是整个微服务架构ZTA参考模型的基石，它需要有提供整个验证和授权流程必须的身份和权限管理的能力。

五、TSF的零信任实现

腾讯云 TSF 以微服务为视角，通过网关鉴权、服务鉴权、配置安全、权限管理、行为审计5个安全点，以点带面的形成了一套针对微服务架构安全的解决方案。

从整个架构安全体系建设的角度看，在常见的WAF防火墙、入侵检测、动态感知、漏洞扫描、主机防护、加密机、安全审计等多种安全防护手段中， 服务安全 虽然只是架构安全中的一个环节，但其重要性不言而喻，因为服务和数据是最重要的保护对象。

以上图为例，假设一个用户想要访问 DB 数据，首先通过网关对所有的请求进行鉴权并监控访问行为。TSF 微服务网关通过 JWT、OAuth、密钥对等插件，使用户方便的将原有应用和鉴权方式快速集成到 TSF 体系中，同时针对网关提供了详细的监控指标和可视化视图；通过收集 TSF 平台中的资源、发布、服务、配置等类型的事件，并统一汇聚到 TSF 事件中心和操作记录中，使得每一个用户行为都有迹可循；服务安全通过黑名单、白名单两种鉴权方式，让用户简单配置后就可以获得服务鉴权的能力；在权限管理方面，通过角色+数据集的方式，实现了多租户场景下用户对于 TSF 各功能项的权限分配和管控；针对配置安全，TSF 提供了即插即用的加解密组件，可以适配本地文件配置和分布式配置；

TSF 通过自身支撑侧中服务、接口、人员等元数据信息，统一管理访问主体和受访对象，以标签化的方式构建了 TSF 身份认