微服務帶來了許多好處：靈活性、易于升級應用程序的各個部分等等。然而，它們并不是所有問題的黃金解決方案，它們也有自己的缺點。其中之一是復雜的網絡連接。當擁有復雜的網絡時，就會出現另一個問題：安全性。

網絡越復雜，安全性也就越困難。微服務越多，網絡就越復雜。但網絡只是一方面。在保護微服務方面，您還需要注意一些事項。在這篇文章中，將從六個方面來幫助您保護微服務。

如何保護微服務，你需要知道什么？

在深入探討保護微服務時不能忘記的六件事之前，我們需要先了解一些有關保護微服務的一般信息。這很重要，因為您不能 100% 地專注于微服務本身。在保護微服務方面，您需要考慮整個微服務生態系統。這意味著您需要保護CI/CD管道、容器編排器以及構建微服務的方式。

1. 從安全基礎鏡像開始

當您構建微服務時，Docker容器的基礎鏡像起著至關重要的作用，這不足為奇。實際上，精心挑選的基礎鏡像不僅從安全角度來看是好的，而且總體上也是一種很好的做法。

那么，“好”的基本鏡像是什么意思呢？

首先，僅選擇來自知名公司的經過驗證的鏡像。例如，如果您需要一個 Ubuntu 鏡像，請直接從官方 Docker 鏡像中獲取一個。使用內置了一些額外工具的第三方鏡像很誘人，但最好自己添加這些工具，而不是冒險使用來自不受信任來源的鏡像。

但是使用官方鏡像并不會自動為您帶來更高的安全性。它們極大地增加了您的安全態勢，但它們并非萬無一失。您需要問自己是否真的需要一個實際的基于發行版的鏡像(如 Ubuntu 或 CentOS 鏡像)。嘗試使用更簡約的鏡像，例如Alpine或Distroless。

2. 掃描您的鏡像

即使你選擇了一個相對安全的基礎鏡像，也并不意味著你的 Docker 鏡像是安全的。您將自己為該鏡像添加相當多的圖層。當然，你不會故意在自己的鏡像中引入漏洞，但不要忘記依賴關系。您甚至可能沒有意識到您安裝的幾乎任何東西都會帶來一些(有時是隱藏的)依賴關系。這就是為什么對鏡像執行漏洞掃描很重要的原因，特別是因為這是一件非常容易做的事情，而且一些鏡像注冊表甚至內置了該功能。

3. 容器運行時分析

如果您想更進一步，您可以對微服務進行的最佳安全改進之一就是實施運行時掃描。運行時分析是一個監控容器中發生的每一個動作的過程。尤其是在微服務環境中，它確實非常高效，因為您總是確切地知道應該在特定容器中運行什么。

因此，任何不尋常的事情通常都意味著麻煩。有人在您的容器中執行了 shell 腳本嗎？curl或wget命令？黑客通常會做的幾乎所有事情都與普通微服務的行為方式大不相同。因此，運行時分析掃描器在它們的工作中非常有效，并且是一個巨大的安全改進。

4. 保護好你的 Secrets

在 Kubernetes 環境中，我們傾向于認為我們已經涵蓋了密碼和令牌，因為 Kubernetes 提供了內置的“Secrets”資源。他們的目的正是：將秘密安全地存儲在 Kubernetes 中，因此您無需將它們以純文本形式傳遞給您的容器。但是有一個問題!首先，您需要先將您的秘密帶到您的 Kubernetes 集群中。它們一旦進入就受到保護，但是在將它們部署到 Kubernetes 時如何確保它們不是純文本形式？

這是一個常見的問題。由于 Kubernetes 中的所有內容都定義為 YAML 文件，因此我們傾向于將所有這些 YAML 定義存儲在 Git 中。但是，您在 YAML 文件中(在應用于集群之前)中的實際密碼、令牌和其他 Secrets 是純文本格式的。因此，您不能將這些文件存儲在 Git 中。即使你的 Git 存儲庫是私有的也不要這樣做。

沒有通用的解決方案，因為它取決于您的基礎設施和您使用的云提供商。但只要有可能，請嘗試使用像HashiCorp Vault這樣的安全秘密存儲。許多安全商店都有插件或其他機制來安全地將您的 Secrets 傳輸到 Kubernetes 集群。

5. 網絡

最后但同樣重要的是：網絡。如果您使用的是 Kubernetes，默認情況下您的所有微服務都可以相互通信。這意味著攻擊者只需要訪問其中一個，就可以連接到集群中的任何東西。雖然您的核心后端微服務可能得到很好的保護(就代碼本身而言)，但總會有一些被遺忘的、不重要的輔助服務在整個系統中不起任何重要作用，因此沒有人關心它們。但黑客就喜歡這類服務。

解決方案很簡單：在集群中實施一些網絡策略甚至加密。Kubernetes內置網絡策略對象，可讓您實現簡單的網絡隔離和規則。但是還有很多其他工具，其中一些甚至可以實現第7層網絡策略。

另一種可能性是加密。有一些工具可以讓您加密集群內所有 Pod 之間的所有流量。加密所有流量并不會自動使其安全，但肯定會使黑客更加困難。

6. 監控所有層

另一個與安全相關的重要任務是確保您擁有云原生安全監控系統。這意味著您的監控系統能夠監控和關聯來自基礎設施所有層(微服務、容器編排器和云服務)的數據。

這很重要，因為傳統的本地系統很容易在多層云環境中混淆。您的工具了解云服務以及它們之間的依賴關系至關重要。例如，當您在云中創建 DNS 服務器時，您可能找不到實際的 DNS 服務器。您會發現一項服務與其類似，但您不會找到一臺作為您的 DNS 服務器的實際機器。這對于傳統工具來說可能是個問題，因為它們通常在服務器上運行。黑客喜歡利用這一點并在未被發現的層之間導航。

概括

本文討論了簡單易懂的分步指南來保護微服務，但事實是基于微服務的環境通常很復雜。保護此類環境的安全也因云提供商而異，但我們嘗試結合最通用的技巧，希望能幫助您保持相對安全。