آموزش هوش تجاری از ۰ تا ۱۰۰

آموزش هوش تجاری از ۰ تا ۱۰۰

کلمات کلیدی

وبلاگ نویسی حرفه ای

وبلاگ نویسی

وبلاگ

بیان

بلاگ بیان

بلاگ

blog.ir

بایگانی
آخرین مطالب
پیوندهای روزانه
پیوندها
  • ۰
  • ۰

امنیت در میکروسرویس ها

۲۸ دی۰۱

میکروسرویس ها آینده برنامه های توسعه یافته برای ابر هستند. غول تحقیقاتی IDC پیش‌بینی می‌کند که تقریباً 90 درصد از برنامه‌های جدید که تا سال 2022 مستقر شده‌اند، دارای معماری‌های مبتنی بر میکروسرویس‌ها خواهند بود. مزایای اصلی میکروسرویس ها، بهبود توانایی طراحی، اشکال زدایی، به روز رسانی و استفاده از کدهای شخص ثالث است.

در حالی که بسیاری از سازمان‌ها از ریزسرویس‌ها برای مزایای شگفت‌انگیز روی میز استفاده می‌کنند، اما برخی از چالش‌های امنیتی در مسیر موفقیت وجود دارد. شما باید این چالش ها را از ابتدا بررسی کنید تا مطمئن شوید داده ها خصوصی و ایمن هستند و سیستم در صورت نیاز فعال می ماند.

 

امنیت میکروسرویس ها
این مقاله امنیت در میکروسرویس ها بهترین الگوهای امنیتی و بهترین روش ها برای تضمین امنیت در میکروسرویس ها را فهرست می کند.

  در ادامه به موضوعاتی می پردازیم که در این مقاله به آنها خواهیم پرداخت

  • میکروسرویس چیست؟
  • امنیت در میکروسرویس ها
  • بهترین شیوه ها و الگوهای امنیت در معماری میکروسرویس ها

 

اول از همه، قبل از اینکه در مقاله به ادامه مطلب برویم، متوجه خواهیم شد که میکروسرویس ها چیست.

میکروسرویس چیست؟
Microservices یا Microservices Architecture یک سبک معماری است که یک مدل یکپارچه سنتی را به سرویس‌های مستقل و توزیع‌شده تقسیم می‌کند که می‌توانند به صورت جداگانه استقرار و مقیاس شوند. هر سرویس در سراسر قابلیت های تجاری سازماندهی شده و به صورت جداگانه توسط ماشین آلات استقرار کاملاً خودکار قابل استقرار است.

 

امنیت در میکروسرویس ها
رویکرد Microservices توسعه یک برنامه واحد به عنوان مجموعه‌ای از سرویس‌ها است که هر کدام فرآیند خاص خود را اجرا می‌کنند و با مکانیسم‌های سبک، که به طور منظم یک API منبع HTTP است، تعامل دارند. برنامه های کاربردی ساخته شده بر اساس معماری مبتنی بر میکروسرویس ها پیچیده هستند و به دلیل ماهیت ماژولار خود دارای چندین آسیب پذیری منحصر به فرد هستند. آنها نسبت به مدل های کاربردی سنتی مساحت سطح حمله بسیار بیشتری دارند.

سرویس هایی که از طریق API ها ارتباط برقرار می کنند مستقل از معماری ماشین و حتی زبان برنامه نویسی هستند. به همین دلیل، سطح نوردهی بیشتری نسبت به مدل‌های سنتی دارند که به طور خاص با سایر بخش‌های همان برنامه تعامل دارند. این منجر به تعداد بیشتری از حملات احتمالی می شود.

همچنین، در طول چرخه توسعه سریع و فرآیندهای یکپارچه سازی/تحویل مداوم، توسعه دهندگان تست کد را به عنوان یک رویداد واحد پس از مرحله توسعه انجام نمی دهند، بلکه این یک فرآیند مداوم در میکروسرویس ها است. این فرآیند تست باید به طور مناسب برای بهبود امنیت مدیریت شود.

در نهایت، مجموعه ای منحصر به فرد از تهدیدات، راه حلی مبتنی بر کانتینر را هدف قرار می دهد که در آن میکروسرویس ها پیاده سازی می شوند. این از یکپارچگی خود تصاویر کانتینر، سطح ایزوله بین آنها، نحوه مدیریت آنها، آسیب پذیری های درون کانتینرها مانند امنیت سیستم عامل، کتابخانه های همراه و موارد دیگر ناشی می شود.

 

ایمن سازی معماری میکروسرویس ها
معماری میکروسرویس مجموعه جدیدی از خطرات امنیتی بالقوه را در اختیار تیم ها قرار می دهد که باید به آنها رسیدگی شود. بهترین راه برای ایمن سازی راه حل های مبتنی بر میکروسرویس، پیاده سازی بهترین شیوه ها و الگوهای امنیتی در الگوهای معماری و طراحی و ادغام آنها در چرخه عمر توسعه است تا داده ها و برنامه ها محافظت شوند.

 

چگونه Microservices را ایمن کنیم - بهترین الگوها برای امنیت Microservices
تعدادی از بهترین شیوه‌ها برای یکپارچه‌سازی مدل‌های امنیتی میکروسرویس وجود دارد که به تیم‌ها کمک می‌کند تا APIها، نقاط پایانی و داده‌های برنامه خود را به‌روزرسانی کنند. در اینجا 8 روش و الگوی برتر برای تضمین امنیت میکروسرویس ها آورده شده است.

#1. با طراحی ایمن باشید
اولین قدم برای ایمن سازی یک راه حل مبتنی بر میکروسرویس، اطمینان از گنجاندن امنیت در طراحی است. Secure by design به معنای ایجاد امنیت در طراحی نرم افزار شما از طراحی است.

برخی از اصول اساسی برای همه طرح ها عبارتند از:

  • همه درخواست های دسترسی را تأیید اعتبار کنید
  • رمزگذاری تمام ارتباطات (با استفاده از امنیت لایه انتقال یا HTTPS)
  • از ابزار DevSecOps برای اسکن کدها در معماری های میکروسرویس استفاده کنید
  • از گواهی کدهای سخت، رمز عبور یا هر نوع محرمانه ای در کد خودداری کنید
  • API ها را تعریف کنید

اقدامات امنیتی نیاز به این نوع اقدامات احتیاطی در سطح طراحی دارند.

#2. اسکن وابستگی ها
اجزای شخص ثالث و منبع باز بیشتر نرم افزاری را که امروزه ایجاد می کنیم تشکیل می دهند. بسیاری از کتابخانه‌هایی که برای توسعه نرم‌افزار استفاده می‌کنیم، به وابستگی‌های دیگری متکی هستند. وابستگی‌های گذرا ممکن است منجر به مجموعه بزرگی از وابستگی‌ها شوند که برخی منجر به آسیب‌پذیری‌های امنیتی می‌شوند.

ردیابی وابستگی های شخص ثالث برای ردیابی و اصلاح آسیب پذیری های امنیتی در اسرع وقت بسیار مهم است.

از برنامه های اسکن در مخزن کد منبع برای پیدا کردن وابستگی های آسیب پذیر استفاده کنید. باید آسیب‌پذیری‌ها را در خط لوله استقرار، نسخه‌های کد منتشر شده، مشارکت‌های کد جدید و در خط اصلی کد اسکن کند.

#3. دروازه های API
یکی از آسیب پذیرترین حوزه های معماری میکروسرویس ها API ها هستند. یک API ایمن فرآیندهای اطلاعاتی را با قابل مشاهده کردن فقط برای کاربران، برنامه‌ها و سرورهایی که مجاز به دسترسی به آن هستند، پنهان می‌کند. فقط در صورتی باید داده‌های مشتریان و سرورها را پردازش کند که شناسایی کند داده‌ها توسط شخص ثالث تبدیل نشده‌اند.

بهترین راه برای ایمن سازی API ها و مدیریت احراز هویت کاربران و فرآیندها، استفاده از دروازه های API است. آنها به عنوان یک نقطه ورودی عمل می کنند که درخواست های خارجی را مدیریت می کند، دسترسی مستقیم کاربران به میکروسرویس ها را مسدود می کند و از حملات احتمالی کاربران مخرب جلوگیری می کند.

مزیت دیگر استفاده از دروازه‌های API، مدیریت خدمات فراخوانی فرامین خارجی است که سرویس‌های Fail-over و سایر خدمات متعادل کننده بار را ارائه می‌دهد. همچنین گزارش‌گیری را فراهم می‌کند و یک سرویس اطلاعات امنیتی و مدیریت رویداد/مرکز عملیات امنیتی (SIEM/SOC) را قادر می‌سازد تا برنامه‌ها را نظارت کند و رفتارهای غیرمنتظره را پیدا کند.

#4. انزوا
جداسازی اصل کلیدی میکروسرویس ها است. هر سرویس باید یک قطعه مستقل از برنامه کلی باشد. یک میکروسرویس بدون تأثیر بر سایر سرویس‌های اطراف خود، مستقر، مدیریت و مقیاس می‌شود.

Isolation توابع پشتیبانی را در زیر معماری، مانند سطح پایگاه داده، گسترش می دهد. یکی دیگر از زمینه های حیاتی که در آن ایزوله نقش مهمی ایفا می کند، حالت شکست است. اگر هر میکروسرویس خاصی از کار بیفتد، نباید دیگران را نیز پایین بیاورد.

#5. نشانه های دسترسی و هویت کاربر
اکثر برنامه های کاربردی امروزه برخی از سطوح کنترل دسترسی و مدیریت مجوز را انجام می دهند. کارشناسان صنعت OAuth/OAuth2 را به عنوان استاندارد مجوز کاربر پیشنهاد می کنند. هنگام استفاده از این، برنامه از کاربران می‌خواهد تا برنامه‌های شخص ثالث را مجاز کنند، از اطلاعات مورد نیاز استفاده کنند و یک توکن برای آن ایجاد کنند. به طور کلی، یک کد مجوز برای درخواست رمز استفاده می شود تا اطمینان حاصل شود که URL بازگشت به تماس کاربر به سرقت نرود.

بنابراین هنگامی که ما از میکروسرویس ها با OAuth استفاده می کنیم، سرویس ها به عنوان یک مشتری در معماری OAuth برای پیاده سازی ارتباط امن سرور به سرور عمل می کنند. مزایای استفاده از آن این است که می توانید به کتابخانه ها و پلتفرم هایی تکیه کنید که مرحله توسعه شما را تا حد زیادی تسریع می کنند.

#6. از دفاع در رویکرد عمقی استفاده کنید
یکی از حیاتی ترین استراتژی هایی که باید اتخاذ شود، رویکرد دفاعی در عمق است. باور داشتن یک دیوار آتش در محیط شبکه شما از نرم افزار شما محافظت می کند یک تصور اشتباه بزرگ است. رویکرد دفاع در عمق به عنوان یک مفهوم تضمین اطلاعات تعریف می شود که در آن کنترل های امنیتی لایه های مختلف از طریق سیستم های نرم افزاری سازمان اضافه می شود. در زمینه میکروسرویس‌ها، سرویس‌هایی که حساس‌ترین داده‌ها را دارند، خدماتی هستند که به لایه‌های حفاظتی متعددی نیاز دارند. مهاجم نمی تواند با یک بار تلاش امنیت را بشکند و باید به جلو برود و تمام مکانیسم دفاعی لایه را بشکند.

همچنین، مهاجمی که در بهره برداری از یکی از خدمات شما موفق است، ممکن است از سرویس دیگری سوء استفاده نکند.

شماره 7. ابزارهای تست امنیت برنامه
در حالی که در مورد وابستگی های آسیب پذیر صحبت می شود، هر روز تعداد آسیب پذیری های امنیتی افزایش می یابد. ادغام ابزارهای تست امنیتی برنامه جعبه سفید و جعبه سیاه در سراسر خط لوله DevSecOps ضروری است.

برخی از آنها DAST (تست امنیت برنامه کاربردی پویا)، SAST (تست امنیت برنامه استاتیک)، SCA (ابزار تجزیه و تحلیل ترکیب نرم افزار) و RASP (محافظت از خود برنامه در زمان اجرا) در خطوط لوله DevSecOps شما هستند.

#8. امنیت کانتینر
امنیت کانتینر در محیط‌های بومی ابری که میکروسرویس‌ها در آن قرار دارند بسیار مهم است. خطرات امنیتی کانتینر می تواند تصاویر کانتینر، رجیستری ها، ارکستراسیون، سیستم عامل میزبان و موارد دیگر را در معرض خطر قرار دهد.

1.تصاویر
در محیط کانتینر، تصاویر برنامه آسیب پذیرترین مناطق هستند. آنها شامل تصاویر قدیمی، برنامه های دارای اشکال، تصاویر با پیکربندی ضعیف و نسخه های نرم افزار ناامن هستند. شما باید ظروف شخص ثالثی را که استفاده می‌کنید گسترش دهید که دارای خط‌مشی‌های مناسب باشند تا مطمئن شوید که تصاویر را به‌طور مرتب بازخوانی و بازبینی می‌کنند.

2.تنظیم و ارکستراسیون
حفظ تصاویری که استفاده می کنید و نحوه ارتباط آنها بسیار مهم است. بنابراین، برای مدیریت کنترل دسترسی، روش‌های احراز هویت مؤثر مانند احراز هویت چند عاملی را بر روی حساب‌های مدیریتی در کلستر پیاده‌سازی کنید.

3.ثبت
رجیستری بخش کلیدی کشف سرویس است. رجیستری باید تحت نظارت مستمر قرار گیرد تا اطمینان حاصل شود که تمام تصاویر قدیمی که خطرات را دارند واضح هستند.

4.سیستم عامل میزبان
در نهایت، سیستم عامل میزبان برای یک محیط کانتینر پر رونق حیاتی است. این در پایین ترین سطح معماری کانتینر قرار دارد و یک هدف حیاتی برای مهاجمان است. به خطر افتادن سیستم عامل میزبان می تواند منجر به به خطر افتادن کانتینرهایی شود که روی آن اجرا می شوند.

 

جمع بندی:

میکروسرویس ها به سرعت در حال تکامل هستند و گرایش های زیادی را به دنیای نرم افزار معرفی می کنند. این مقیاس پذیری و چابکی آسان را به دنیای دیجیتال پر سرعت امروزی ارائه می دهد. اجازه ندهید با استفاده از میکروسرویس‌ها، سیستم‌های خود را افزایش دهیم، امنیت از بین برود. الگوهای امنیتی و بهترین شیوه‌های مورد بحث در بالا به شما کمک می‌کند تا از امنیت میکروسرویس‌ها جلوتر بمانید.

 

  • ۰۱/۱۰/۲۸
  • sahar saha sql

نظرات (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم