На данашњем тржишту где индустрије користе разне софтверске архитектуре и апликације, готово је немогуће осетити да су ваши подаци потпуно сигурни. Дакле, док правите апликације користећи , сигурносна питања постају значајнија, јер појединачне службе комуницирају међусобно и са клијентом. Дакле, у овом чланку о безбедности микросервиса, у следећем низу ћу размотрити различите начине које можете применити да бисте заштитили своје микросервисе.
- Шта су микросервиси?
- Проблеми са којима се суочавају микросервиси
- Најбоље праксе за заштиту микросервиса
Шта су микросервиси?
Мицросервицес, ака архитектура микро сервиса , је архитектонски стил који апликацију структурира као колекцију малих аутономних услуга, по узору на пословни домен. Дакле, микро-услуге можете схватити као мале појединачне услуге које међусобно комуницирају око јединствене пословне логике. Ако желите детаљније да сазнате више о микросервисима, онда то можете
Сада, често када компаније пређу са монолитне архитектуре на микросервис, виде многе предности попут скалабилности, флексибилности и кратких развојних циклуса. Али, истовремено, ова архитектура такође доноси неколико сложених проблема.
Дакле, следећи у овом чланку о сигурности микросервиса, хајде да разумемо проблеме са којима се суочава архитектура микро сервиса.
Проблеми са којима се суочавају микросервиси
Проблеми са којима се суочавају микросервиси су:
Проблем 1:
Размотрите сценарио у којем корисник треба да се пријави да би приступио ресурсу. Сада, у архитектури микросервиса, детаљи за пријаву корисника морају бити сачувани на такав начин да се од корисника не тражи верификација сваки пут када покуша приступити ресурсу. Ово сада ствара проблем, јер детаљи о кориснику можда нису сигурни, а такође им може приступити и 3рджурка.
Проблем 2:
Када клијент пошаље захтев, тада треба проверити детаље клијента и такође проверити дозволе дате клијенту. Дакле, када користите микросервисе, може се десити да за сваку услугу морате да овјерите и овластите клијента. Сада, да би то урадили, програмери могу користити исти код за сваку услугу. Али, зар не мислите да ослањање на одређени код смањује флексибилност микросервиса? Па, дефинитивно има. Дакле, ово је један од главних проблема са којима се ова архитектура често суочава.
Проблем 3:
Следећи проблем који је веома истакнут је сигурност сваке појединачне микро услуге. У овој архитектури, сви микросервиси истовремено комуницирају једни с другима уз 3рдпартијске пријаве. Дакле, када се клијент пријави са 3рдстрана странка, морате бити сигурни да клијент неће добити приступ подацима микросервиса, на начин да их он / она може искористити.
Водич за скл сервер за почетнике са примерима
У реду, горе поменути проблеми нису једини проблеми који се могу наћи у архитектури микро сервиса. Рекао бих да бисте се могли суочити са многим другим проблемима везаним за безбедност на основу апликације и архитектуре коју имате. У том смислу, померимо се са овим чланком о безбедности микросервиса и знаћемо најбољи начин за смањење изазова.
Најбоље праксе за сигурност микросервиса
Најбоље праксе за побољшање сигурности у микросервисима су следеће:
Механизам одбране у дубини
Како је познато да микросервиси усвајају било који механизам на грануларном нивоу, можете применити механизам Одбране у дубини да бисте учинили услуге сигурнијим. Лаички речено, механизам Одбране у дубини у основи је техника помоћу које можете применити слојеве противмера за заштиту осетљивих услуга. Дакле, као програмер, морате само да идентификујете услуге са најосетљивијим информацијама, а затим примените бројне сигурносне слојеве да бисте их заштитили. На овај начин можете бити сигурни да било који потенцијални нападач не може једном да провали безбедност, већ мора да иде напред и покуша да разбије одбрамбени механизам свих слојева.
шта је динамички низ
Такође, будући да у архитектури микросервиса можете да примените различите нивое сигурности на различитим услугама, нападач, који је успешан у искоришћавању одређене услуге, можда неће моћи да разбије одбрамбени механизам осталих услуга.
Токенс анд АПИ Гатеваи
Често када отворите апликацију, види се дијалог са поруком: „Прихватите уговор о лиценци и дозволу за колачиће“. Шта значи ова порука? Па, чим га прихватите, ваши кориснички акредитиви ће бити сачувани и креираће се сесија. Сада, следећи пут када одете на исту страницу, страница ће се учитати из кеш меморије, а не са самих сервера. Пре него што се овај концепт представио, сесије су се централно чувале на страни сервера. Али, ово је била једна од највећих препрека у хоризонталном скалирању, апликација.
Жетони
Дакле, решење овог проблема је употреба токена за бележење корисничких података. Ови токени се користе за једноставну идентификацију корисника и чувају се у облику колачића. Сада, сваки пут када клијент затражи веб страницу, захтев се прослеђује серверу, а затим сервер утврђује да ли корисник има приступ траженом ресурсу или не.
Сада су главни проблем токени у којима се чувају корисничке информације. Дакле, подаци токена морају бити шифровани да би се избегло било какво искоришћавање из 3рдпартијски ресурси. Јасон Веб Формат или најпознатији као ЈВТ је отворени стандард који дефинише формат токена, пружа библиотеке за различите језике и такође шифрира те токене.
АПИ приступници
АПИ приступници додани су као додатни елемент за заштиту услуга путем токен аутентификације. Тхе Гатеваи делује као улазна тачка на све захтеве клијента и ефикасно сакрива микросервисе од клијента. Дакле, клијент нема директан приступ микросервисима и на тај начин ниједан клијент не може искористити ниједну услугу.
Дистрибуирано праћење и управљање сесијама
Дистрибуирано праћење
Док користите микросервисе, морате непрекидно да надгледате све ове услуге. Али, када истовремено морате надгледати огромну количину услуга, онда то постаје проблем. Да бисте избегли такве изазове, можете да користите методу познату као Дистрибуирано праћење. Дистрибуирано праћење је метода којом се могу утврдити кварови и препознати разлог за то. Не само ово, већ можете и да идентификујете место на којем се дешава неуспех. Дакле, врло је лако пронаћи која се микросервис суочава са безбедносним проблемом.
Управљање сесијама
Управљање сесијама је важан параметар који морате узети у обзир приликом заштите микросервиса. Сада се сесија креира кад год корисник дође у апликацију. Дакле, подацима сесије можете се бавити на следеће начине:
- Можете да сачувате податке о сесији једног корисника на одређеном серверу. Али, овакав систем у потпуности зависи од уравнотежења оптерећења између услуга и задовољава само хоризонтално скалирање.
- Комплетни подаци о сесији могу се сачувати у једној инстанци. Тада се подаци могу синхронизовати путем мреже. Једини проблем је што се, на овај начин, мрежни ресурси исцрпљују.
- Можете се побринути да се подаци корисника могу добити из дељене меморије сесија, како би све услуге могле да читају исте податке сесије. Али, пошто се подаци преузимају из дељене меморије, морате да се уверите да имате неки сигурносни механизам за приступ подацима на сигуран начин.
Прва сесија и узајамни ССЛ
Идеја прве сесије је врло једноставна. Корисници се морају једном пријавити у апликацију, а затим могу приступити свим услугама у апликацији. Али, сваки корисник у почетку мора да комуницира са услугом потврде идентитета. Па, ово дефинитивно може резултирати великим прометом између свих услуга и програмерима може бити незгодно да открију кварове у таквом сценарију.
Долазећи до узајамног ССЛ-а, апликације се често суочавају са саобраћајем корисника, 3рдстранке, а такође и микросервиси који међусобно комуницирају. Али, пошто овим услугама приступа 3рдстранке, увек постоји ризик од напада. Сада је решење за такве сценарије узајамна ССЛ или узајамна потврда идентитета између микро-услуга. Овим ће се подаци који се преносе између услуга шифровати. Једини проблем ове методе је тај што ће, када се повећа број микро услуга, будући да ће свака услуга имати свој ТЛС сертификат, програмерима бити врло тешко да ажурирају сертификате.
3рдприступ партијској апликацији
Сви ми приступамо апликацијама које су 3рдпартијске пријаве. 3рдпарти апликације користе АПИ токен који је генерисао корисник у апликацији за приступ потребним ресурсима. Дакле, апликације независних произвођача могу приступити подацима тих одређених корисника, а не акредитиви других корисника. Па, ово се односило на једног корисника. Али шта ако апликације требају приступити подацима више корисника? Како мислите да је удовољено таквом захтеву?
Употреба ОАутх-а
Решење је коришћење ОАутх-а. Када користите ОАутх, апликација тражи од корисника да одобри 3рдстраначких апликација, да користе потребне информације и генеришу токен за њих. Обично се ауторизациони код користи за тражење токена како би се осигурало да УРЛ адреса повратног позива корисника није украдена.
пасс би валуе вс пасс би референце јава
Дакле, док помиње приступни токен, клијент комуницира са сервером за ауторизацију, а овај сервер овлашћује клијента да спречи друге да фалсификују идентитет клијента. Дакле, када користите Мицросервицес са ОАутх, услуге делују као клијент у ОАутх архитектури, да би поједноставиле безбедносна питања.
Па, народе, не бих рекао да су то једини начини на које можете осигурати своје услуге. Микросервисе можете осигурати на више начина на основу архитектуре апликације. Дакле, ако сте неко ко жели да изгради апликацију засновану на микросервисима, имајте на уму да је безбедност услуга један важан фактор на који морате бити опрезни. У тој белешци смо завршили овај чланак о безбедности микросервиса. Надам се да вам је овај чланак био информативан.
Ако желите да научите микросервисе и направите сопствене апликације, погледајте нашу која долази са обуком уживо коју воде инструктори и искуством у стварном животу. Овај тренинг ће вам помоћи да дубље разумете микросервисе и да вам помогне да савладате тему.
Имате питање за нас? Молимо вас да то поменете у одељку за коментаре „ Безбедност микросервиса ”И јавићу вам се.