微服務(wù)應(yīng)用安全分析獲獎(jiǎng)科研報(bào)告_第1頁(yè)
微服務(wù)應(yīng)用安全分析獲獎(jiǎng)科研報(bào)告_第2頁(yè)
微服務(wù)應(yīng)用安全分析獲獎(jiǎng)科研報(bào)告_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

微服務(wù)應(yīng)用安全分析獲獎(jiǎng)科研報(bào)告摘

要:隨著軟件的不斷發(fā)展,軟件的開(kāi)發(fā)技術(shù)也在不斷地提高,如今的軟件開(kāi)發(fā)者所使用的開(kāi)發(fā)技術(shù)不再是以前的那種單一整體架構(gòu)了,更多使用的是分布式的微服務(wù)架構(gòu)。使用微服務(wù)架構(gòu)的方式來(lái)開(kāi)發(fā)軟件確實(shí)降低了軟件開(kāi)發(fā)過(guò)程中的復(fù)雜性,但同時(shí)也給軟件帶來(lái)了更多的安全隱患。本文針對(duì)微服務(wù)架構(gòu)應(yīng)用中存在的一些安全漏洞,簡(jiǎn)單介紹了一些開(kāi)發(fā)者進(jìn)行軟件開(kāi)發(fā)時(shí)需要考慮到的攻擊方式和應(yīng)對(duì)策略。

關(guān)鍵詞:微服務(wù);安全漏洞;應(yīng)對(duì)策略

1微服務(wù)的興起

什么是微服務(wù)?微服務(wù)就是將單個(gè)應(yīng)用程序拆分成多個(gè)小的服務(wù)的集群,每個(gè)微服務(wù)都圍繞具體業(yè)務(wù)進(jìn)行實(shí)現(xiàn),相互之間通過(guò)輕量級(jí)通信機(jī)制,有著極少的統(tǒng)一管理。每個(gè)微服務(wù)可以獨(dú)立部署,使用不同的編程語(yǔ)言,使用不同的數(shù)據(jù)存儲(chǔ)技術(shù)。[1,2]從上面這段話我們可以知道,微服務(wù)的思想就是使用一個(gè)個(gè)獨(dú)立的微服務(wù)來(lái)構(gòu)成整個(gè)系統(tǒng)。

為什么我們不再趨向于使用以前的單一整體架構(gòu)來(lái)開(kāi)發(fā)?單體架構(gòu)在系統(tǒng)規(guī)模較小時(shí)的效果確實(shí)很不錯(cuò),但隨著系統(tǒng)規(guī)模的不斷擴(kuò)大,出現(xiàn)的問(wèn)題就越來(lái)越多,舉一個(gè)簡(jiǎn)單的例子,技術(shù)是在不斷發(fā)展的,可以說(shuō)是日新月異,我們通常都會(huì)使用新的技術(shù)來(lái)更新項(xiàng)目,但在使用單體架構(gòu)實(shí)現(xiàn)的項(xiàng)目中,各個(gè)功能模塊之間是有著復(fù)雜的聯(lián)系,你想用新的技術(shù)來(lái)更新項(xiàng)目非常困難,你必須更改每一個(gè)模塊的代碼,需要付出的時(shí)間和精力實(shí)在是太大了。而微服務(wù)架構(gòu)恰好解決了這個(gè)問(wèn)題,每個(gè)微服務(wù)都是獨(dú)立的,想用什么技術(shù)就用什么技術(shù),并且微服務(wù)的體積通常都是很小的,即使需要使用新的技術(shù)來(lái)更新也不會(huì)太過(guò)復(fù)雜。除此之外,微服務(wù)還解決了單體架構(gòu)中軟件擴(kuò)展困難、維護(hù)困難、復(fù)雜性高等問(wèn)題,這就是為什么微服務(wù)越來(lái)越受歡迎的原因。

2微服務(wù)存在的安全問(wèn)題

安全問(wèn)題是每一個(gè)應(yīng)用在開(kāi)發(fā)過(guò)程中都不能忽視的問(wèn)題,盡管微服務(wù)架構(gòu)的使用解決了單體架構(gòu)中的許多問(wèn)題,但安全問(wèn)題也會(huì)更加復(fù)雜。相比于單體架構(gòu),微服務(wù)暴露了更多的可攻擊面。[3]一個(gè)基于微服務(wù)的應(yīng)用中,存在的安全問(wèn)題可分為兩類,一類是傳統(tǒng)的安全問(wèn)題,一類是微服務(wù)架構(gòu)中存在的安全問(wèn)題。

第一類安全問(wèn)題并不是微服務(wù)架構(gòu)獨(dú)有的,它也存在于以前的單體架構(gòu)中,比較常見(jiàn)的攻擊有注入攻擊、XSS攻擊、文件上傳等。[4]但這一類的安全問(wèn)題現(xiàn)在人們已經(jīng)提出了許多相對(duì)完善的防御方法了,對(duì)于開(kāi)發(fā)者來(lái)說(shuō)不足為慮。第二類安全問(wèn)題才是使用微服務(wù)架構(gòu)時(shí)需要重視的問(wèn)題,這一類的安全問(wèn)題有很多個(gè)方面,本文主要講微服務(wù)系統(tǒng)中微服務(wù)之間訪問(wèn)這一方面的問(wèn)題。

3安全漏洞的處理

通過(guò)前面的分析,我們已經(jīng)把系統(tǒng)中存在的安全漏洞都分析出來(lái)了,下一步,我們就應(yīng)該“對(duì)癥下藥”了。在下文,我將根據(jù)現(xiàn)有的研究簡(jiǎn)述這兩類安全問(wèn)題產(chǎn)生的原因以及我們應(yīng)該用什么樣的方法來(lái)防御。

3.1傳統(tǒng)的安全問(wèn)題

首先說(shuō)一下注入攻擊,注入攻擊有分好幾類,其中我們聽(tīng)得比較多的就是SQL注入。SQL注入主要是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,實(shí)現(xiàn)無(wú)帳號(hào)登錄,甚至篡改數(shù)據(jù)庫(kù)。SQL注入的本質(zhì)實(shí)際上就是對(duì)提交數(shù)據(jù)檢查的不充分,將提交的非法數(shù)據(jù)當(dāng)成SQL語(yǔ)句來(lái)執(zhí)行。對(duì)于這種攻擊,我們常使用字符過(guò)濾和使用參數(shù)化查詢(最有效的方法)來(lái)預(yù)防。

XSS攻擊,即跨站腳本攻擊,它是一種最普遍的WEB安全漏洞,其原理是嵌入惡意代碼到WEB頁(yè)面里面,用戶一旦訪問(wèn)這個(gè)頁(yè)面就會(huì)觸發(fā)這些惡意代碼,這時(shí)攻擊者的特殊目的就可以實(shí)現(xiàn)了,他們可以竊取你的cookie、會(huì)話等私人信息,嚴(yán)重的話會(huì)造成非常大的損失。抵御這種攻擊最常用的方式就是通過(guò)添加攔截器過(guò)濾請(qǐng)求參數(shù)來(lái)阻止惡意代碼的執(zhí)行。

文件上傳與表單數(shù)據(jù)重復(fù)提交也是比較常見(jiàn)的安全問(wèn)題,前者會(huì)導(dǎo)致一些惡意腳本文件被上傳到系統(tǒng)中,而后者會(huì)增加服務(wù)器負(fù)載均衡,嚴(yán)重的時(shí)候還會(huì)造成服務(wù)器宕機(jī)。文件上傳漏洞是開(kāi)發(fā)者在開(kāi)發(fā)過(guò)程中僅設(shè)置文件后綴檢驗(yàn)產(chǎn)生的,一些惡意腳本文件可以通過(guò)修改文件后綴名等方式通過(guò)文件后綴檢驗(yàn)進(jìn)入到系統(tǒng)中,所以對(duì)付文件上傳漏洞的最好方式就是同時(shí)設(shè)置文件后綴校驗(yàn)和文件格式檢驗(yàn)。表單數(shù)據(jù)重復(fù)提交的原因有很多,可能是用戶的誤操作或者網(wǎng)絡(luò)原因,也可能是攻擊者刻意而為,但不管是什么樣的可能性我們都要考慮到這個(gè)問(wèn)題。常用的阻止表單重復(fù)提交方法有JavaScript屏蔽提交按鈕、數(shù)據(jù)庫(kù)添加唯一約束、利用session設(shè)置提交有效時(shí)間和AOP自定義切入,推薦使用后面兩種方式。

3.2微服務(wù)之間的訪問(wèn)

不管是什么樣的系統(tǒng),用戶訪問(wèn)服務(wù)前為了保證系統(tǒng)的安全性都需要對(duì)用戶進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后才能授權(quán)給用戶去訪問(wèn)這個(gè)服務(wù)。在單體架構(gòu)中,所有的服務(wù)都是部署在同一個(gè)服務(wù)器上的,用戶想訪問(wèn)另一個(gè)服務(wù)服務(wù)器可以通過(guò)本地方法調(diào)用的方式來(lái)實(shí)現(xiàn),用戶只需要進(jìn)行一次身份驗(yàn)證。但在微服務(wù)架構(gòu)里,各個(gè)微服務(wù)通常是部署在不同服務(wù)器上的,用戶想訪問(wèn)多個(gè)微服務(wù)就要進(jìn)行多次認(rèn)證,非常復(fù)雜,而且還會(huì)暴露微服務(wù)的存在,讓攻擊者有更多的機(jī)會(huì)來(lái)攻擊,安全性不夠高。有沒(méi)有什么方法可以讓微服務(wù)之間的訪問(wèn)變得更安全和更簡(jiǎn)單呢?答案是肯定的,人們提出了4種解決方法,分別是單點(diǎn)登錄(SSO)、分布式會(huì)話(Session)、客戶端令牌(Token)和API網(wǎng)關(guān)(Gateway)。我們經(jīng)常用到的解決方法就是微服務(wù)系統(tǒng)中使用API網(wǎng)關(guān)。

API網(wǎng)關(guān)為微服務(wù)系統(tǒng)提供了統(tǒng)一入口,起到了客戶端和后臺(tái)微服務(wù)應(yīng)用之間的橋接作用,是微服務(wù)架構(gòu)系統(tǒng)的重要部分。[5]API網(wǎng)關(guān)有著很多功能,認(rèn)證授權(quán)、訪問(wèn)控制、負(fù)載均衡、動(dòng)態(tài)路由、過(guò)濾、日志

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論