架构09-可靠通信

零、文章目录

架构09-可靠通信

1、零信任网络

（1）微服务与分散治理

• **定义：**微服务不追求统一的技术平台，而是提倡让团队有自由选择的权利，不受制于语言和技术框架。
• **优点：**在开发阶段，分散治理打破了由技术栈带来的约束，带来了更大的灵活性。
• **挑战：**在运维阶段，尤其是考虑安全问题时，多种语言和框架（如 Java、Golang、Python、Node.js）共同组成的微服务系统，出现安全漏洞的概率更高。

（2）传统的基于边界的安全模型

• **定义：**根据宿主机的特征（如位置、IP 地址、子网等）将网络划分为不同区域，不同区域对应不同的风险级别和访问权限，安全防护措施集中在区域边界上。
• 优点：
  • 减少安全设施对应用系统复杂度的影响。
  • 降低网络传输性能的额外损耗。
• 局限性：
  • 无法防止内网中某台服务器被攻陷后，攻击者以该服务器为跳板侵入整个内网。
  • 固有缺陷：边界安全措施无法防止内网中的"猪队友"。

（3）零信任安全模型

• **定义：**不以某种固有特征自动信任任何流量，除非明确得到了能代表请求来源的身份凭证。
• **中心思想：**假设服务总是会出错，承认一定会有被攻陷的服务。
• 具体落地原则：
  • **身份只来源于服务：**服务间通信的身份凭证必须明确，不再依赖 IP 地址、主机名等。
  • **服务之间没有固有的信任关系：**每个服务节点都需要进行身份验证和授权。
  • **集中、共享的安全策略实施点：**安全需求下沉至云原生基础设施，实现集中管理和自动化。
  • **受信的机器运行来源已知的代码：**确保代码和配置经过认证，运行在认证过的环境中。
  • **自动化、标准化的变更管理：**通过基础设施实现安全功能，确保变更的自动化和标准化。
  • **强隔离性的工作负载：**使用轻量级虚拟化方案（如 gVisor、Kata Containers）提高隔离性。

（4）Google 的零信任安全实践

• **Google Front End：**边缘代理，保护内部服务免受 DDoS 攻击。
• **Application Layer Transport Security (ALTS)：**服务认证机制，实现双向认证和传输加密。
• **Service Access Policy：**管理服务间的认证、鉴权和审计策略。
• **Binary Authorization：**部署时检查机制，确保软件供应链各阶段符合安全检查策略。
• **Host Integrity：**机器安全启动程序，验证 BIOS、BMC、Bootloader 和操作系统内核的数字签名。
• **gVisor：**轻量级虚拟化方案，提高容器的隔离性。

2、服务安全

（1）建立信任

• 零信任网络的基本概念
  • **核心原则：**零信任网络中不存在默认的信任关系。
  • **信任建立：**所有服务调用和资源访问的成功与否，都需以调用者与提供者间已建立的信任关系为前提。
• 信任建立方式
  • 真实世界：
    • 基于共同私密信息的信任：例如共享密码或生物识别信息。
    • 基于权威公证人的信任：例如证书颁发机构（CA）。
  • 网络世界：
    • 基于权威公证人的信任：公开密钥基础设施（PKI）。
    • PKI 的作用：构建传输安全层（TLS）的必要基础。
• 传输安全层（TLS）
  • 目的：防止中间人攻击，确保通信过程的安全。
  • 传输路径风险：DNS 服务器、代理服务器、负载均衡器和路由器等节点可能监听或篡改传输信息。
  • 解决方案：启用 TLS 对传输通道进行加密，确保只有接收者可以解密发送者发出的内容。
• TLS 的实现
  • 基本步骤：
    • 预置 CA 根证书：在部署服务器时预置好 CA 根证书。
    • 签发 TLS 证书：用该 CA 为部署的服务签发 TLS 证书。
  • 实际操作挑战：
    • 运维压力：面对大量且动态扩缩的服务节点，手动部署和轮换根证书难以持续。
    • 自动化需求：必须集中在基础设施中自动进行的安全策略实施点。
• 单向 TLS 认证 vs 双向 TLS 认证
  • 单向 TLS 认证：
    • 特点：只需服务端提供证书，客户端验证服务端身份。
    • 适用场景：公开的服务，任何客户端均可访问。
    • 保护重点：防止客户端连接到冒牌服务器。
  • 双向 TLS 认证（mTLS）：
    • 特点：客户端和服务端均需提供证书，互相验证对方身份。
    • 适用场景：私密的服务，仅特定身份的客户端可访问。
    • 保护重点：防止客户端连接到冒牌服务器，同时防止服务端被非法用户越权访问。

（2）认证

• **认证概述：**在微服务架构中，认证是指验证服务调用者身份的过程，确保只有合法的调用者才能访问服务。认证可以分为两类：服务认证和请求认证。
• **服务认证 **
  • Istio 版本的 Fenix's Bookstore
    • 双向 TLS 认证（mTLS）：
      • 实现机制：Istio 提供了基础设施支持，可以在不修改代码的情况下启用 mTLS。
      • 配置示例：

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication 
metadata:
  name: authentication-mtls
  namespace: bookstore-servicemesh 
spec:
  mtls:
    mode: STRICT 

        + 宽容模式（Permissive Mode）：允许同时接受纯文本和 mTLS 流量，方便逐步迁移。

mode: PERMISSIVE

- **Spring Cloud 版本的 Fenix's Bookstore**
    * OAuth 2.0 客户端模式：
        + 实现机制：每个客户端与认证服务器约定密钥，通过 JWT 令牌进行身份验证。
        + 代码示例：

private static final List clients = Arrays.asList(
    new Client("bookstore_frontend", "bookstore_secret", new String[]{GrantType.PASSWORD, GrantType.REFRESH_TOKEN}, new String[]{Scope.BROWSER}),
    new Client("account", "account_secret", new String[]{GrantType.CLIENT_CREDENTIALS}, new String[]{Scope.SERVICE}),
    new Client("warehouse", "warehouse_secret", new String[]{GrantType.CLIENT_CREDENTIALS}, new String[]{Scope.SERVICE}),
    new Client("payment", "payment_secret", new String[]{GrantType.CLIENT_CREDENTIALS}, new String[]{Scope.SERVICE}),
    new Client("security", "security_secret", new String[]{GrantType.CLIENT_CREDENTIALS}, new String[]{Scope.SERVICE})
);

        + 资源服务器配置：

public ClientCredentialsResourceDetails clientCredentialsResourceDetails() {
    return new ClientCredentialsResourceDetails();
}

        + JWT 令牌验证：

@Named
public class RSA256PublicJWTAccessToken extends JWTAccessToken {
    RSA256PublicJWTAccessToken(UserDetailsService userDetailsService) throws IOException {
        super(userDetailsService);
        Resource resource = new ClassPathResource("public.cert");
        String publicKey = new String(FileCopyUtils.copyToByteArray(resource.getInputStream()));
        setVerifierKey(publicKey);
    }
}

• 请求认证
  • Istio 版本的 Fenix's Bookstore
    • JWT 令牌验证：
      • 实现机制：Istio 自动验证 JWT 令牌，提取用户身份。
      • 配置示例：

apiVersion: security.istio.io/v1beta1 
kind: RequestAuthentication
metadata:
  name: authentication-jwt-token
  namespace: bookstore-servicemesh
spec:
  jwtRules:
    - issuer: "icyfenix@gmail.com"
      fromHeaders:
        - name: Authorization
          prefix: "bearer "
      jwks: |
        {
          "keys": [
            {
              "e": "AQAB",
              "kid": "bookstore-jwt-kid",
              "kty": "RSA",
              "n": "i-htQPOTvNMccJjOkCAzd3YlqBElURzkaeRLDoJYskyU59JdGO-p_q4JEH0DZOM2BbonGI4lIHFkiZLO4IBBZ5j2P7U6QYURt6-AyjS6RGw9v_wFdIRlyBI9D3EO7u8rCA4RktBLPavfEc5BwYX2Vb9wX6N63tV48cP1CoGU0GtIq9HTqbEQs5KVmme5n4XOuzxQ6B2AGaPBJgdq_K0ZWDkXiqPz6921X3oiNYPCQ22bvFxb4yFX8ZfbxeYc-1rN7PaUsK009qOx-qRenHpWgPVfagMbNYkm0TOHNOWXqukxE-soCDI_Nc--1khWCmQ9E2B82ap7IXsVBAnBIaV9WQ"
            }
          ]
        }
      forwardOriginalToken: true

- **Spring Cloud 版本的 Fenix's Bookstore**
    * JWT 令牌验证：
        + 实现机制：Spring Security 自动验证 JWT 令牌，提取用户身份。
        + 代码示例：

@Named
public class RSA256PublicJWTAccessToken extends JWTAccessToken {
    RSA256PublicJWTAccessToken(UserDetailsService userDetailsService) throws IOException {
        super(userDetailsService);
        Resource resource = new ClassPathResource("public.cert");
        String publicKey = new String(FileCopyUtils.copyToByteArray(resource.getInputStream()));
        setVerifierKey(publicKey);
    }
}

（3）授权

• **授权的基本概念：**授权是在认证之后的一个步骤，确保合法的调用者能够访问其被允许的资源。在微服务架构中，授权通常基于角色（Role-Based Access Control, RBAC）进行控制，无论调用者是机器（服务）还是人类（最终用户）。
• Istio 版本的授权实现
  • Istio 提供了一种在基础设施层面上实现授权的方法，通过 AuthorizationPolicy CRD（Custom Resource Definition）来配置授权规则。
  • 示例配置

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: authorization-peer
  namespace: bookstore-servicemesh
spec:
  action: ALLOW 
  rules:
    - from:
        - source:
            namespaces: ["bookstore-servicemesh"]
      to:
        - operation:
            paths:
              - /restful/accounts/*
              - /restful/products*
              - /restful/pay/*
              - /restful/settlements*
            methods: ["GET", "POST", "PUT", "PATCH"]
    - from:
        - source:
            namespaces: ["istio-system"]

- 外部请求的控制 

apiVersion: security.istio.io/v1beta1 
kind: AuthorizationPolicy
metadata:
  name: authorization-request
  namespace: bookstore-servicemesh
spec:
  action: DENY
  rules:
    - from:
        - source:
            notRequestPrincipals: ["*"]
            notNamespaces: ["bookstore-servicemesh"]
      to:
        - operation:
            paths:
              - /restful/accounts/*
              - /restful/pay/*
              - /restful/settlements*

- **优点**
    * **便捷性：**通过配置文件实现，无需修改应用代码。
    * **安全性：**集中管理，减少代码中的安全漏洞。
    * **无侵入：**对现有应用的影响最小。
    * **统一管理：**可以在一个地方集中管理所有服务的授权规则。

• Spring Cloud 版本的授权实现
  • Spring Cloud 版本的授权控制是通过应用程序代码来实现的，主要使用 Spring Security 提供的工具。
  • 第一种方法：ExpressionUrlAuthorizationConfigurer

http.authorizeRequests()
    .antMatchers("/restful/accounts/").hasScope(Scope.BROWSER)
    .antMatchers("/restful/pay/").hasScope(Scope.SERVICE);

- 第二种方法：全局方法级安全 

@GET
@Path("/{username}")
@Cacheable(key = "#username")
@PreAuthorize("#oauth2.hasAnyScope('SERVICE', 'BROWSER')")
public Account getUser(@PathParam("username") String username) {
    return service.findAccountByUsername(username);
}
 
@POST
@CacheEvict(key = "#user.username")
@PreAuthorize("#oauth2.hasAnyScope('BROWSER')")
public Response createUser(@Valid @UniqueAccount Account user) {
    return CommonResponse.op(() -> service.createAccount(user));
}

- **优点 **
    * **灵活性：**可以对每个方法进行细粒度的控制。
    * **功能强大：**支持 SpEL 表达式，可以实现复杂的授权逻辑。
- **缺点**
    * **侵入性：**需要在代码中添加注解，增加了代码的复杂性。
    * **维护成本：**随着服务数量的增加，维护授权规则的成本会增加。