譯者 | 布加迪

審校 | 重樓?

這幾年，微服務(wù)革命席卷整個(gè)IT界，71%的組織聲稱2021年之前采用了這種架構(gòu)。在討論微服務(wù)時(shí)，我們常聽到其優(yōu)勢在于可以靈活地向客戶交付創(chuàng)新成果。但有一個(gè)方面卻很少被人提及，那就是企業(yè)安全問題。?

在單體式應(yīng)用程序時(shí)代，單單一個(gè)安全問題就可能意味著要花成百上千個(gè)小時(shí)從頭重新構(gòu)建應(yīng)用程序。除了必須修補(bǔ)安全漏洞本身外，這還意味著DevOps團(tuán)隊(duì)和安全團(tuán)隊(duì)將不得不審查和重構(gòu)應(yīng)用程序以調(diào)整依賴項(xiàng)，有時(shí)不得不有效地對整個(gè)應(yīng)用程序進(jìn)行逆向工程處理。?

微服務(wù)顛覆了這種模式。它允許DevOps團(tuán)隊(duì)在不用擔(dān)心破壞整個(gè)應(yīng)用程序架構(gòu)的情況下隔離安全漏洞或問題，并解決它們。這不僅意味著可以更迅速地開發(fā)出安全補(bǔ)丁，還意味著DevOps團(tuán)隊(duì)和IT架構(gòu)整體上更有彈性、更高效。?

微服務(wù)如何幫助隔離安全漏洞？?

先有必要提醒一下什么是微服務(wù)架構(gòu)：這是一組可以獨(dú)立部署的服務(wù)，通過API等中介系統(tǒng)松散地聯(lián)系在一起。這些單獨(dú)的服務(wù)通常反映了應(yīng)用程序最基本的構(gòu)建模塊。?

實(shí)際上，容器是用于交付微服務(wù)架構(gòu)的技術(shù)。這些輕量級獨(dú)立軟件包將應(yīng)用程序代碼與輕量級操作系統(tǒng)、運(yùn)行時(shí)環(huán)境、庫和配置數(shù)據(jù)捆綁在一起。通過使用像Kubernetes這樣的編排系統(tǒng)，各個(gè)容器可以彼此交換輸出內(nèi)容，使它們能夠執(zhí)行曾經(jīng)通過單體式應(yīng)用程序才能實(shí)現(xiàn)的總體任務(wù)。?

微服務(wù)架構(gòu)通常由容器提供，通過設(shè)計(jì)來隔離許多安全風(fēng)險(xiǎn)。由于單個(gè)微服務(wù)僅通過編排它們的中介系統(tǒng)交換輸出，單個(gè)微服務(wù)被破壞或攻擊很難影響整個(gè)應(yīng)用程序。?

以日歷為例?

在實(shí)踐中，上述表述又意味著什么呢？以下是一個(gè)推演案例。?

幾年前制造商發(fā)現(xiàn)，如果將日期改為1/1/1970，許多消費(fèi)級設(shè)備就無法使用。想象一下：如果我們將該缺陷引入到用于企業(yè)環(huán)境中的日歷應(yīng)用程序?，F(xiàn)在假設(shè)黑帽攻擊者搶在安全團(tuán)隊(duì)之前發(fā)現(xiàn)了這個(gè)問題，隨后進(jìn)而獲取某人的憑據(jù)，并將日歷應(yīng)用程序中的當(dāng)前日期更改為1/1/1970。?

如果企業(yè)的DevOps團(tuán)隊(duì)在處理單體式應(yīng)用程序，他們不得不做以下工作：?

首先，他們將不得不應(yīng)對由攻擊引起的一系列廣泛的系統(tǒng)故障，除非解決了這個(gè)缺陷，否則他們無法修復(fù)這些問題。?

其次，假設(shè)他們發(fā)現(xiàn)了缺陷出在日歷應(yīng)用程序上，將不得不檢查該應(yīng)用程序的完整源代碼，并手動找到問題所在。?

最后，他們將不得不檢查整個(gè)日歷應(yīng)用程序的源代碼，以更改引用與有漏洞的代碼行相關(guān)的變量或語句的任何地方。?

如果同一個(gè)DevOps團(tuán)隊(duì)處理微服務(wù)架構(gòu)，情況又會怎樣呢？?

首先，一旦黑帽攻擊者更改了日期，他們會注意到含有缺陷的特定微服務(wù)出現(xiàn)了故障。?

其次，假設(shè)他們在使用容器，他們的Kubernetes發(fā)行版會標(biāo)記特定的容器并沒有發(fā)送有效的輸出數(shù)據(jù)。?

最后，團(tuán)隊(duì)只需將有問題的容器的設(shè)置恢復(fù)到惡意日期更改之前即可。?

一旦團(tuán)隊(duì)完成了最初的診斷并通過設(shè)置回滾來解決問題，他們可以修復(fù)導(dǎo)致漏洞的底層缺陷。綜觀整個(gè)過程，更廣泛的日歷應(yīng)用程序以及依賴它的一切都保持在線狀態(tài)。?

微服務(wù)有助于提高效率和主動性?

從上面的故事中可以得出一大啟示：在微服務(wù)架構(gòu)中，只需要替換或更新有缺陷的組件，而不是替換或更新整個(gè)應(yīng)用程序。這意味著果真出現(xiàn)問題或漏洞時(shí)，停運(yùn)時(shí)間更短，因?yàn)閳F(tuán)隊(duì)可以識別并恢復(fù)受損的單個(gè)微服務(wù)。此外，這為DevOps團(tuán)隊(duì)和安全團(tuán)隊(duì)減少了解決缺陷的工作量，因?yàn)樗麄冎恍枰?/span>改動單個(gè)微服務(wù)，需要改動的應(yīng)用程序代碼必然比完整的單體式應(yīng)用程序更少。?

此外，微服務(wù)讓團(tuán)隊(duì)可以更積極主動。微服務(wù)通過防止攻擊或級聯(lián)漏洞的隔離機(jī)制來實(shí)現(xiàn)這種主動性。這種隔離機(jī)制讓團(tuán)隊(duì)能夠不斷地改進(jìn)單個(gè)微服務(wù)，不必考慮應(yīng)用程序的其余部分。?

這意味著DevSecOps專業(yè)人員可以致力于留意漏洞或推出安全更新。不需要管理或后勤工作來阻止安全更新破壞應(yīng)用程序中的另一個(gè)微服務(wù)。說到修復(fù)零日漏洞或保護(hù)應(yīng)用程序免受新出現(xiàn)的威脅，這種靈活性和自由度大有益處。?

由于微服務(wù)，團(tuán)隊(duì)可以比以往任何時(shí)候更快速、更有效地響應(yīng)安全威脅。說到主動性方面，微服務(wù)使團(tuán)隊(duì)能夠以極快的速度加固系統(tǒng)?？傊?，這就是為什么說微服務(wù)已改變了企業(yè)IT安全界的面貌：它們讓開發(fā)團(tuán)隊(duì)、運(yùn)營團(tuán)隊(duì)和安全團(tuán)隊(duì)能夠以前所未有的靈活性更快速地工作。?

原文標(biāo)題：??How microservices have transformed enterprise security??，作者：Simon Wright