1 數字時代的微服務安全
微服務架構已經成為構建現代應用程序的默認方式�����。要從微服務中獲得最大的收益��,需要清楚地了解微服務安全及其架構設計��。微服務安全的設計應是預設安全��,需要站在微服務架構角度進行安全治理�����,結合數字化時代及業(yè)務特性��,保證業(yè)務價值實現��。
如何保證微服務架構的安全?CSA發(fā)布《微服務架構模式》���,給出了 CSA 的最佳實踐與總結����,通過 CSA 微服務安全參考架構以及安全控制措施疊加的新思路��,保證了微服務在架構層面的安全性�。
1.1 數字化時代的網格管理
數字化轉型是全球的熱門話題,是組織應用新興技術從根本上提高組織的業(yè)績及創(chuàng)新的新興方法���。在云計算�、大數據���、物聯網(IoT)����、人工智能�、5G(6G)�,和移動應用等新興技術的應用,加速了整個社會及組織形態(tài)的變化����。這些新興技術已經改變了傳統(tǒng)的工作流程���,并使組織成為數字化時代網格模式與網格管理。
數字化時代網格模式在數字化轉型中無處不在��,在每個行業(yè)都在發(fā)生�。網格模式影響組織的所有活動、功能和流程����,也影響著組織每個部門,因為它可以影響業(yè)務模型本身�。數字化時代的網格管理是指在數字轉型背景下,業(yè)務��、功能�����、流程����、安全等都是相互關聯的,網格管理模式是數字化的核心表現。
網格管理模式下組織的生存離不開效率�����,效率是敏捷性最重要的指標�����。組織級敏捷轉型的終級目標是把敏捷應用到整個組織中��,給業(yè)務帶來創(chuàng)新與收益���。組織采用敏捷建�����?梢蕴嵘憫芰����,微服務架構是敏捷建模(AM)的應用體現���。
1.2.微服務安全是數字化成功的重要基石
數字化轉型成功的重要基石之一是業(yè)務與IT的關系��,需要縮小兩者之間的差距���,專注于相同的目標。這也是微服務可以在數字轉型過程中發(fā)揮作用的地方����。
微服務可謂當下一大熱門詞匯,與之并駕齊驅的包括物聯網��、容器化與區(qū)塊鏈等新興技術�����。微服務提供敏捷性�����、可靠性��、可維護性����、可擴展性和可部署性,幫助組織完成數字化轉型過程�����。微服務架構越來越多地用于設計和實現基于云部署的基礎設施、大型應用程序和服務中的應用程序系統(tǒng)����。
在應用微服務架構時需要解決許多安全挑戰(zhàn),這也刺激著組織思考微服務安全性在數字化轉型中的價值實現�,即業(yè)務放到云基礎設施上并不等于走入數字化時代,業(yè)務放到云基礎設施必須保證架構的安全性���,微服務安全是數字化轉型必守之城���。
2 如何設計微服務成為可信安全系統(tǒng)
2.1 CSA 微服務安全參考架構
DevSecOps模式成為DevOps最新的演進路線,幫助組織在數字化轉型過程中實現云原生的安全性�。通過將架構的使用、架構模式和安全控制措施疊加成為一個整體����,在技術上實現了網格模式,確保了組織應用的機密性��、完整性和可用性(CIA)��。
無論組織領導者傾向于購買現成解決方案還是 “內部構建”�,微服務和API消費的集成都會是一種常見的系統(tǒng)集成預期。隨著組織繼續(xù)對流程數字化����,安全團隊必須應對增加的攻擊矢量和更復雜的管理����,同時還要與越來越復雜的攻擊者保持同步���。面對這一巨大的挑戰(zhàn),安全團隊必須評估和更新他們的遺留安全過程���、工具和技能集����,以適應新的�����、可適應的組織安全方法��。
為了便于指導安全控制措施疊加對微服務的施用��,通用微服務架構模式通過兩個分支形成了兩個不同的視角�����。第一個視角著眼于組織層面。組織層面包含了可協助實現微服務架構治理的信息技術資產����。組織期望減少控制措施狀態(tài)的變數。自定義編碼��、生產狀態(tài)變通方案和一次性修改都會增加開發(fā)成本����。第二個視角著眼于軟件層面。分布式微服務應用的分解圖����,這種狀況存在于軟件層面,是最接近軟件代碼的表現方式���。該圖描述了合成的分布式微服務應用程序的一般性圖景����。
如何保證微服務架構的安全���?|CSA發(fā)布《微服務架構模式》
2.2 安全控制措施疊加
安全疊加概念:是指運用裁剪標準及指南的方法裁剪控制基線后得出的一個全套特定控制措施�����、控制措施強化和補充指南集��,幫助組織實現安全管控�����。
安全控制措施疊加可通過執(zhí)行相關業(yè)務和安全策略把風險降至一個可接受水平��������?刂铺暨x是在業(yè)務需要、投放市場時間和風險容忍度之間平衡的結果����。安全疊加包裝了一種軟件模式,盡管它可能會帶來更大的安全控制覆蓋范圍��,但是����,適合于一種模式的,只會有一個安全疊加����。在微服務架構內的不同位置和層級發(fā)揮作用的控制措施����,會產生形成軟件深度防御的累加效應���。
成功的微服務架構實踐不僅意味著組織技術架構和IT技能的革新�,還意味著在管理模式與應用模式上的改進�����。微服務安全應用安全疊加方法結合美國國家標準和技術研究所(NIST)特別出版物SP 800-53《聯邦信息系統(tǒng)和機構安全和隱私控制措施》���。
開發(fā)人員一旦掌握軟件設計模式和安全控制措施疊加�����,就可以在架構成熟度上更上一層樓���,從特定的微服務視角揭示底層服務交付框架具體方面(如數據、集成和部署架構)所需要的控制狀態(tài)�。雖然這些還不是“微服務架構”,但可以支持對于那些要求保證系統(tǒng)行為可重復性、可靠性��、準確性和完整性的架構和設計��。
如何保證微服務架構的安全���?|CSA發(fā)布《微服務架構模式》
3 總結及建議
1.微服務架構應預設安全�,在整合架構設計層面充分考慮安全性���。
2. 微服務架構應整合DevSecOps����,應用DevSecOps文化�����,實現左移(前置)����,更好地構建應用程序�。
3. 微服務架構應考慮安全工具,從技術層面可以落實DevSecOps宣言��,實現云原生安全落地。
4. 微服務架構應關注安全漏洞�,及時更新落地框架及補丁,實現管理與技術安全層面的雙同步�����。
5. 微服務架構應使用安全容器�����,保持微服務安全和云本地安全����。
6. 微服務架構應實現API安全性,防止應用程序受到攻擊���。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯網舉報中心
網絡舉報APP下載
