Nacos配置安全最佳实践

最新推荐文章于 2024-05-19 20:09:45 发布
VIP文章 最新推荐文章于 2024-05-19 20:09:45 发布
阅读量1k 收藏 2
点赞数
文章标签: 数据库 java 分布式 安全 zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39860915/article/details/114697118
版权


前言


配置管理作为软件开发中重要的一环,肩负着连接代码和环境的职责,能很好的分离开发人员和维护人员的关注点。

Nacos 的配置管理功能就很好地满足了云原生应用对于配置管理的需求:既能做到配置和代码分离,也能做到配置的动态修改。

在 1月份,Nacos 出了一个安全漏洞,外部用户能够伪装为 Nacos-server 来获取/修改配置( https://github.com/alibaba/nacos/issues/4593 )。确认问题后,Nacos 火速修复了漏洞,而阿里云的微服务引擎(MSE)也已在 1月末将修复方案反向移植到 MSE 上的 Nacos 实例上。

在本文中,我们将会从全局视角入手,讨论如何才能保证 Nacos 配置的安全性(security),即如何保证配置信息不被恶意用户获取或者泄漏。

Nacos 配置架构

Nacos 配置部分的整体架构如下:

对于上图中的每一条链路,都需要考虑有没有两个基本的安全动作:认证(Identification)和鉴权(Authentication)。

从上图可以看到,配置信息可能的泄漏方式有:

  • 通过 Nacos-client 获取配置。

  • 通过控制台获取配置。

  • 通过服务器之间的通信协议获取配置。

  • 直接访问持久化层(比如 DB)获取配置。

可能的泄漏点如下:

认证

鉴权

Nacos 客户端

未登录用户通过客户端获取/修改配置

用户通过客户端获取/修改了未授权的配置

配置控制台

未登录用户通过控制台获取/修改配置

用户通过控制台获取/修改了未授权的配置

Nacos 集群内

用户伪装为 Nacos 集群获取/修改配置

 不需要

持久化层

用户直接查 DB,获取/修改配置

 不需要

Nacos 客户端场景的认证和鉴权

在 Nacos 客户端尝试从服务端获取配置时,服务端需要确认客户端的身份,并确认该身份有权限获取配置。

开源版本的 Nacos

在默认的 Nacos server 配置中,不会对客户端鉴权,即任何能访问 Nacos server 的用户,都可以直接获取 Nacos 中存储的配置。比如一个黑客攻进了企业内网,就能获取所有的业务配置,这样肯定会有安全隐患。

所以需要先开启 Nacos server 的鉴权。在 Nacos server 上修改 application.properties 中的 nacos.core.auth.enabled 值为 true 即可:

nacos.core.auth.enabled=true

如上设置后,Nacos 客户端获取配置时,需要设置上对应的用户名和密码,才能获取配置:

String serverAddr = "{serverAddr}";Properties properties = new Properties();properties.put("serverAddr", serverAddr);properties.put("username","nacos-readonly");properties.put("password","nacos");ConfigService configService = NacosFactory.createConfigService(properties);

上面讲了如何认证用户,即如何确定现在是哪一个用户在访问,但还需要识别用户的权限,当用户访问没有权限获取对应配置的时候,比如库存服务尝试获取支付服务的配置时,就会失败。

我们可以在开源的 Nacos 控制台上创建用户、设置权限。步骤如下:

首先,访问 localhost:8848/nacos 并登录,在 权限控制->用户列表 页面,添加用户:

权限控制->角色管理,绑定用户和角色:


最低0.47元/天 解锁文章
阿里巴巴中间件
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nacos配置中心原理分析
02-24
动态配置管理是Nacos的三大功能之一,通过动态配置服务,我们可以在所有环境中以集中和动态的方式管理所有应用程序或服务的配置信息。动态配置中心可以实现配置更新时无需重新部署应用程序和服务即可使相应的配置...
nacos配置加密简单实现Jaspyt
m0_46577241的博客
01-26 1465
快速Nacos上实现配置加密,可以使用Jaspyt库来简化实现。Jaspyt是一个Java库,可以用来实现简单的加密和解密操作。以下是在Nacos配置中使用Jaspyt进行加密的简单实现步骤:步骤1:添加依赖项 在项目的构建文件pom.xml中添加Jaspyt库的依赖项。如果是有公共服务模块可以直接引入公共服务总任意模块的pom文件中Maven: 步骤2:创建密钥 创建一个密钥,在应用程序中使用该密钥对配置进行加密和解密操作。设置配置配置必须在其他配置之前生效执行 bootstrap.yml 比conf
Nacos未授权访问漏洞复现
2301_80127209的博客
04-22 253
pageNo=1&pageSize=1,我们验证了一个漏洞存在(这是个靶场,,写这个多次一举),对其进行抓包放入重放模块后,修改为post模式(一定要修改!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。了解了成因,了解了测试方法,本人为了偷懒不去抓包,就去编写脚本开始帮我吧,嘿嘿嘿。免费领取安全学习资料包!
Nacos 配置管理最佳实践
阿里云云栖号
02-14 915
Nacos3.0 中,在 SDK 能力提升,界面交互升级,服务端核心能力,可观测可运维,稳定性&高可用方面都规划了诸多功能。
Nacos配置中心最佳实践
xidianzxm
01-29 838
springcloud nacos配置优先级研究及配置管理最佳实践
austin1000的博客
11-28 1887
在使用springboot、springcloud、nacos时,配置放在不同的位置是具有不同优先级的。本文对不同位置的配置优先级进行了归纳总结,并对配置进行分类管理,业务相关配置随代码走,环境相关配置通过nacos或外挂配置进行管理,从而降低运维难度,
nacos配置中心初始化案例
10-31
nacos配置中心初始化案例
005 springCloudAlibaba nacos配置中心
05-06
005 springCloudAlibaba nacos配置中心
Nacos配置中心使用说明(图解).docx
01-12
Nacos配置中心使用说明(图解)
python学习-使用pandas库分析excel表,并导出所需的表
SixSix的自留地
05-16 527
使用pandas库分析excel表中多个子表的数据
mysql事务(原理)
m0_74347016的博客
05-19 618
mysql事务原理
实战项目技术点(1)
qq_60396437的博客
05-15 1178
分页插件PageHelper 是 Mybatis 的一款功能强大、方便易用的分页插件,支持任何形式的单标、多表的分页查询。官网:https://pagehelper.github.io/。文件上传,是指将本地图片、视频、音频等文件上传到服务器,供其他用户浏览或下载的过程。
Oracle表空间管理
最新发布
weixin_46593978的博客
05-19 709
假设某张表的PCTFREE为20,PCTUSED为40,这就表示当一个BLOCK的空间使用率达到80%(100-PCTFREE)时,这个BLOCK就不再被允许INSERT新的数据了,而保留下来的这20%(PCTFREE)空间将会被预留为UPDATE可能发生的空间扩展,同时该BLOCK从FREE LIST中移除。需要注意的是,Oracle 9i创建表空间时默认使用手动段管理方式,Oracle 9i及之前的低版本中自动段管理方式还有较多BUG,所以不推荐使用。此外只有本地管理的表空间才能使用自动段管理方式。
面试???
gailun66的博客
05-15 213
事实表可以存储完整的业务信息,但是查询慢(数据量越来越大),更新效率低(如果某个网站的属性发生了变更,需要对历史的全量数据更新)当你在网站中点击鼠标时,会产生一个记录你当前点击产生的数据的表格,这几个字段。将事实表进行拆解,做成维度表,缓解上述两种问题,并对事实表进行补充说明,就可以将事实表拆分成多个维度表和一个事实表。观察事实表可以看出某些字段的。
生产报表工具PI DataLInk 与 行列视之间的区别
2401_83701843的博客
05-17 264
行列视,全名“行列视生产数据应用系统”,行列视品牌所面对的业务范围远远超越了PIDatalink报表工具,他首先是一款本地部署的在线Excel文档管理系统,解决个人报表在线管理问题,其次,她和PIDataLInk一样,也是面向实时数据库报表需求的一套工具,其区别在于行列视品牌兼容国内外大多数实时数据库,也可以同时连接多个数据源,也就是她完全可以替代PI-DataLINk,同时也适用于其他品牌下的实时数据库系统;
MySQL存储过程添加二十万条数据日常练习
mi_mx的博客
05-17 325
【代码】MySQL日常练习。
【微服务全家桶】-实用篇-2-Docker
bblb的博客
05-16 1193
【微服务全家桶】-实用篇-2-Docker
MySQL 将json转为行,JSON_TABLE函数详解
常备不懈
05-17 666
`JSON_TABLE` 是 MySQL 8.0 引入的一个强大函数,它用于将 JSON 数据转换为关系表的格式。通过 `JSON_TABLE` 函数,可以将 JSON 文档解析为关系表的列和行,使得在 SQL 查询中处理 JSON 数据更加方便。
nacos 配置中心的所有知识点
05-15
Nacos 是一个开源的分布式配置中心和服务发现平台,它提供了统一的配置管理和服务发现功能,让应用的配置和服务注册更加简单和可靠。以下是 Nacos 配置中心的所有知识点: 1. Nacos 配置中心的概述:介绍 Nacos 配置中心的定义、作用、特点和优势等。 2. Nacos 配置中心的架构:介绍 Nacos 配置中心的架构和组件,包括 Nacos Server、Nacos Client、Nacos Config、Nacos Console 等。 3. Nacos 配置中心的安装和部署:介绍 Nacos 配置中心的安装和部署方法,包括单机部署和集群部署等。 4. Nacos 配置中心的配置管理:介绍 Nacos 配置中心的配置管理功能,包括配置发布、配置获取、配置监听等。 5. Nacos 配置中心的配置规则:介绍 Nacos 配置中心的配置规则,包括命名空间、数据 ID、分组、配置格式等。 6. Nacos 配置中心的配置集管理:介绍 Nacos 配置中心的配置集管理功能,包括创建配置集、删除配置集、配置集合并等。 7. Nacos 配置中心的配置推送:介绍 Nacos 配置中心的配置推送功能,包括配置推送的方式、推送的触发条件、推送的效果等。 8. Nacos 配置中心的配置变更:介绍 Nacos 配置中心的配置变更功能,包括配置变更的记录、变更的回滚、变更的通知等。 9. Nacos 配置中心的配置加密:介绍 Nacos 配置中心的配置加密功能,包括加密的配置数据、加密的密码管理、加密的数据传输等。 10. Nacos 配置中心的配置备份和恢复:介绍 Nacos 配置中心的配置备份和恢复功能,包括备份的方式、恢复的方法、备份的周期等。 11. Nacos 配置中心的配置权限管理:介绍 Nacos 配置中心的配置权限管理功能,包括配置的读写权限、配置的管理权限、权限的授权等。 12. Nacos 配置中心的配置存储和缓存:介绍 Nacos 配置中心的配置存储和缓存机制,包括配置数据的存储方式、缓存的策略、缓存的更新机制等。 13. Nacos 配置中心的配置扩展:介绍 Nacos 配置中心的配置扩展功能,包括扩展的插件、扩展的接口、扩展的实现方式等。 14. Nacos 配置中心的最佳实践:介绍 Nacos 配置中心的最佳实践,包括配置的设计原则、配置的管理策略、配置的使用技巧等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值