阿里云云原生開(kāi)源開(kāi)發(fā)者沙龍-通過(guò)Dubbo構(gòu)建零信任安全體系

ApacheDubboPMC2024/04/12目錄目錄04如何實(shí)現(xiàn)100%操作審計(jì)01為什么需要構(gòu)建零信任安全體系合規(guī)要求、數(shù)據(jù)保密、數(shù)據(jù)授權(quán)〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》-第三級(jí)安全要求通信傳輸本項(xiàng)要求包括：a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；b)應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性?？苫诳尚鸥鶎?duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。本項(xiàng)要求包括：a)應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；d)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。惡意代碼防范應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。訪問(wèn)控制本項(xiàng)要求包括：a)應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限；b)應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；c)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在；d)應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；e)應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；f)訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；g)應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。數(shù)據(jù)完整性本項(xiàng)要求包括：a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；b)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。數(shù)據(jù)保密性本項(xiàng)要求包括：a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等?！?〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》—第三級(jí)安全要求數(shù)據(jù)加密&校驗(yàn)為什么需要構(gòu)建零信任安全體系數(shù)據(jù)加密&校驗(yàn)流經(jīng)多重公網(wǎng)運(yùn)營(yíng)商，存在被監(jiān)聽(tīng)&篡改的風(fēng)險(xiǎn)HTTP1/2/3流經(jīng)內(nèi)網(wǎng)機(jī)房，云原生時(shí)代基礎(chǔ)設(shè)施資產(chǎn)不再私有化歸屬0ZZ)〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云訪問(wèn)控制HTTP1/2/3來(lái)自內(nèi)部/外部的惡意訪問(wèn)通常會(huì)導(dǎo)致數(shù)據(jù)泄漏、遠(yuǎn)程命令執(zhí)行等嚴(yán)重后果〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云安全審計(jì)HTTP1/2/30ZZ)方案介紹、優(yōu)/缺點(diǎn)分析>—1.Request—Client<->—1.Request—Client<-3.RequestwithToken4.VertyServer〔-〕阿里云方案介紹(JWT)CraftadbyAlgorithmHS256eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdHMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),your-256-bit-secret)□secretbase64encoded"sub":"1234567890","name”:“JohnDoe","iat":1516239022DebuggerLibrariesIntroduetionAsk"alg":"HS256","typ":“JWT”AuthObyOkta}〔-〕阿里云〔-〕阿里云方案介紹(DubboToken)BrowserHTTP1/2/32.NotifywithToken1.2.NotifywithToken方案介紹(DubboToken)集群配置元數(shù)據(jù)過(guò)濾keyralue添加過(guò)濾端口臨時(shí)實(shí)例權(quán)重健康狀態(tài)元數(shù)據(jù)操作021side=providerrelease=3.2.6methods=sayHellodeprecated=falsedubbo=2.0.2interface=org.apache.dubbo.samples.api.GreetingServiceservice-name-mapping=trueversion=1.0.0generic=falsetoken=144ccf24-7b43-4a16-8692-176a3f03dab8下線revision=1.0.0path=org.apache.dubbo.samples.api.GreetingServiceprotocol=dubboapplication=nacos-registry-demo-providerprefer.serialization=fastjson2,hessian2dynamic=truecategory=providerstimestamp=1712799772063atorg.apache.dubbo.rpc.filter.TokenFilter.invoke(TokenFilter.java:51)~[dubbo-3.2.6.jar:3.2.6]atorg.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:334)~[dubbo-3.2.6.jar:3.2.6]atorg.apache.dubbo.rpc.filter.TimeoutFilter.invoke(TimeoutFilter.java:45)~[dubbo-3.2.6.jar:3.2.6]優(yōu)/缺點(diǎn)分析性能高明文傳輸性能高改造低身份易被偽造改造低03通過(guò)TLS構(gòu)建認(rèn)證鑒權(quán)體系方案介紹、優(yōu)/缺點(diǎn)分析方案介紹JWT+TLSmTLSJWT+TLSmTLSmTLSmTLSmTLSmTLSmTLSAPlsContentHTTP,APlsContentHTTP,gFPC,TCPIngressIngresstraffictrafficCertificateauthorizationCertificate方案介紹2頒發(fā)臨時(shí)憑證Client≤->Operator可信鏈路建立3發(fā)送TLS憑證4建立TLS單向認(rèn)證6驗(yàn)證Client健證正式簽發(fā)憑證7下發(fā)憑證ClientServerClientClientserver'scertificate→→44522337/zh-cn/learning/access-management/what-is-mutual-tls/方案介紹證書(shū)簽發(fā)與規(guī)則下發(fā)3.VerifyTokenL7層請(qǐng)求校驗(yàn)4.SendCertwithPermissionOpenID(i.e.Kubernetes、Zeus)App2->Resource1十App3->Resource1L4層全鏈路加密X.509CertRequestResponseRequestResponseRequestResponseResponse+App1RequestResponseRequestResponse5.RequestRequestResponseApp2優(yōu)/缺點(diǎn)分析性能低防泄漏、防篡改性能低非對(duì)稱保證可信機(jī)制實(shí)現(xiàn)復(fù)雜04如何實(shí)現(xiàn)100%操作審計(jì)方案介紹、成本與價(jià)值如何實(shí)現(xiàn)100%操作審計(jì)方案介紹SLS/ELK3.UploadConsumerIPConsumer—2.GenerateConsumer—2.GenerateSignature1.全鏈路Trace2.DubboFilter全攔截3.參數(shù)脫敏&簽名