微服務(wù)帶來了許多好處：靈活性、易于升級(jí)應(yīng)用程序的各個(gè)部分等等。然而，它們并不是所有問題的黃金解決方案，它們也有自己的缺點(diǎn)。其中之一是復(fù)雜的網(wǎng)絡(luò)連接。當(dāng)擁有復(fù)雜的網(wǎng)絡(luò)時(shí)，就會(huì)出現(xiàn)另一個(gè)問題：安全性。

網(wǎng)絡(luò)越復(fù)雜，安全性也就越困難。微服務(wù)越多，網(wǎng)絡(luò)就越復(fù)雜。但網(wǎng)絡(luò)只是一方面。在保護(hù)微服務(wù)方面，您還需要注意一些事項(xiàng)。在這篇文章中，將從六個(gè)方面來幫助您保護(hù)微服務(wù)。

如何保護(hù)微服務(wù)，你需要知道什么？

在深入探討保護(hù)微服務(wù)時(shí)不能忘記的六件事之前，我們需要先了解一些有關(guān)保護(hù)微服務(wù)的一般信息。這很重要，因?yàn)槟荒? 100% 地專注于微服務(wù)本身。在保護(hù)微服務(wù)方面，您需要考慮整個(gè)微服務(wù)生態(tài)系統(tǒng)。這意味著您需要保護(hù)CI/CD管道、容器編排器以及構(gòu)建微服務(wù)的方式。

1. 從安全基礎(chǔ)鏡像開始

當(dāng)您構(gòu)建微服務(wù)時(shí)，Docker容器的基礎(chǔ)鏡像起著至關(guān)重要的作用，這不足為奇。實(shí)際上，精心挑選的基礎(chǔ)鏡像不僅從安全角度來看是好的，而且總體上也是一種很好的做法。

那么，“好”的基本鏡像是什么意思呢？

首先，僅選擇來自知名公司的經(jīng)過驗(yàn)證的鏡像。例如，如果您需要一個(gè) Ubuntu 鏡像，請(qǐng)直接從官方 Docker 鏡像中獲取一個(gè)。使用內(nèi)置了一些額外工具的第三方鏡像很誘人，但最好自己添加這些工具，而不是冒險(xiǎn)使用來自不受信任來源的鏡像。

但是使用官方鏡像并不會(huì)自動(dòng)為您帶來更高的安全性。它們極大地增加了您的安全態(tài)勢(shì)，但它們并非萬(wàn)無一失。您需要問自己是否真的需要一個(gè)實(shí)際的基于發(fā)行版的鏡像(如 Ubuntu 或 CentOS 鏡像)。嘗試使用更簡(jiǎn)約的鏡像，例如Alpine或Distroless。

2. 掃描您的鏡像

即使你選擇了一個(gè)相對(duì)安全的基礎(chǔ)鏡像，也并不意味著你的 Docker 鏡像是安全的。您將自己為該鏡像添加相當(dāng)多的圖層。當(dāng)然，你不會(huì)故意在自己的鏡像中引入漏洞，但不要忘記依賴關(guān)系。您甚至可能沒有意識(shí)到您安裝的幾乎任何東西都會(huì)帶來一些(有時(shí)是隱藏的)依賴關(guān)系。這就是為什么對(duì)鏡像執(zhí)行漏洞掃描很重要的原因，特別是因?yàn)檫@是一件非常容易做的事情，而且一些鏡像注冊(cè)表甚至內(nèi)置了該功能。

3. 容器運(yùn)行時(shí)分析

如果您想更進(jìn)一步，您可以對(duì)微服務(wù)進(jìn)行的最佳安全改進(jìn)之一就是實(shí)施運(yùn)行時(shí)掃描。運(yùn)行時(shí)分析是一個(gè)監(jiān)控容器中發(fā)生的每一個(gè)動(dòng)作的過程。尤其是在微服務(wù)環(huán)境中，它確實(shí)非常高效，因?yàn)槟偸谴_切地知道應(yīng)該在特定容器中運(yùn)行什么。

因此，任何不尋常的事情通常都意味著麻煩。有人在您的容器中執(zhí)行了 shell 腳本嗎？curl或wget命令？黑客通常會(huì)做的幾乎所有事情都與普通微服務(wù)的行為方式大不相同。因此，運(yùn)行時(shí)分析掃描器在它們的工作中非常有效，并且是一個(gè)巨大的安全改進(jìn)。

4. 保護(hù)好你的 Secrets

在 Kubernetes 環(huán)境中，我們傾向于認(rèn)為我們已經(jīng)涵蓋了密碼和令牌，因?yàn)?Kubernetes 提供了內(nèi)置的“Secrets”資源。他們的目的正是：將秘密安全地存儲(chǔ)在 Kubernetes 中，因此您無需將它們以純文本形式傳遞給您的容器。但是有一個(gè)問題!首先，您需要先將您的秘密帶到您的 Kubernetes 集群中。它們一旦進(jìn)入就受到保護(hù)，但是在將它們部署到 Kubernetes 時(shí)如何確保它們不是純文本形式？

這是一個(gè)常見的問題。由于 Kubernetes 中的所有內(nèi)容都定義為 YAML 文件，因此我們傾向于將所有這些 YAML 定義存儲(chǔ)在 Git 中。但是，您在 YAML 文件中(在應(yīng)用于集群之前)中的實(shí)際密碼、令牌和其他 Secrets 是純文本格式的。因此，您不能將這些文件存儲(chǔ)在 Git 中。即使你的 Git 存儲(chǔ)庫(kù)是私有的也不要這樣做。

沒有通用的解決方案，因?yàn)樗Q于您的基礎(chǔ)設(shè)施和您使用的云提供商。但只要有可能，請(qǐng)嘗試使用像HashiCorp Vault這樣的安全秘密存儲(chǔ)。許多安全商店都有插件或其他機(jī)制來安全地將您的 Secrets 傳輸?shù)?Kubernetes 集群。

5. 網(wǎng)絡(luò)

最后但同樣重要的是：網(wǎng)絡(luò)。如果您使用的是 Kubernetes，默認(rèn)情況下您的所有微服務(wù)都可以相互通信。這意味著攻擊者只需要訪問其中一個(gè)，就可以連接到集群中的任何東西。雖然您的核心后端微服務(wù)可能得到很好的保護(hù)(就代碼本身而言)，但總會(huì)有一些被遺忘的、不重要的輔助服務(wù)在整個(gè)系統(tǒng)中不起任何重要作用，因此沒有人關(guān)心它們。但黑客就喜歡這類服務(wù)。

解決方案很簡(jiǎn)單：在集群中實(shí)施一些網(wǎng)絡(luò)策略甚至加密。Kubernetes內(nèi)置網(wǎng)絡(luò)策略對(duì)象，可讓您實(shí)現(xiàn)簡(jiǎn)單的網(wǎng)絡(luò)隔離和規(guī)則。但是還有很多其他工具，其中一些甚至可以實(shí)現(xiàn)第7層網(wǎng)絡(luò)策略。

另一種可能性是加密。有一些工具可以讓您加密集群內(nèi)所有 Pod 之間的所有流量。加密所有流量并不會(huì)自動(dòng)使其安全，但肯定會(huì)使黑客更加困難。

6. 監(jiān)控所有層

另一個(gè)與安全相關(guān)的重要任務(wù)是確保您擁有云原生安全監(jiān)控系統(tǒng)。這意味著您的監(jiān)控系統(tǒng)能夠監(jiān)控和關(guān)聯(lián)來自基礎(chǔ)設(shè)施所有層(微服務(wù)、容器編排器和云服務(wù))的數(shù)據(jù)。

這很重要，因?yàn)閭鹘y(tǒng)的本地系統(tǒng)很容易在多層云環(huán)境中混淆。您的工具了解云服務(wù)以及它們之間的依賴關(guān)系至關(guān)重要。例如，當(dāng)您在云中創(chuàng)建 DNS 服務(wù)器時(shí)，您可能找不到實(shí)際的 DNS 服務(wù)器。您會(huì)發(fā)現(xiàn)一項(xiàng)服務(wù)與其類似，但您不會(huì)找到一臺(tái)作為您的 DNS 服務(wù)器的實(shí)際機(jī)器。這對(duì)于傳統(tǒng)工具來說可能是個(gè)問題，因?yàn)樗鼈兺ǔＴ诜?wù)器上運(yùn)行。黑客喜歡利用這一點(diǎn)并在未被發(fā)現(xiàn)的層之間導(dǎo)航。

概括

本文討論了簡(jiǎn)單易懂的分步指南來保護(hù)微服務(wù)，但事實(shí)是基于微服務(wù)的環(huán)境通常很復(fù)雜。保護(hù)此類環(huán)境的安全也因云提供商而異，但我們嘗試結(jié)合最通用的技巧，希望能幫助您保持相對(duì)安全。