阿里云云原生開源開發(fā)者沙龍-通過Dubbo構(gòu)建零信任安全體系_第1頁
阿里云云原生開源開發(fā)者沙龍-通過Dubbo構(gòu)建零信任安全體系_第2頁
阿里云云原生開源開發(fā)者沙龍-通過Dubbo構(gòu)建零信任安全體系_第3頁
阿里云云原生開源開發(fā)者沙龍-通過Dubbo構(gòu)建零信任安全體系_第4頁
阿里云云原生開源開發(fā)者沙龍-通過Dubbo構(gòu)建零信任安全體系_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

ApacheDubboPMC2024/04/12目錄目錄04如何實(shí)現(xiàn)100%操作審計(jì)01為什么需要構(gòu)建零信任安全體系合規(guī)要求、數(shù)據(jù)保密、數(shù)據(jù)授權(quán)〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》-第三級安全要求通信傳輸本項(xiàng)要求包括:a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;b)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性??苫诳尚鸥鶎νㄐ旁O(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證,在檢測到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。本項(xiàng)要求包括:a)應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對重要的用戶行為和重要安全事件進(jìn)行審計(jì);b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息;c)應(yīng)對審計(jì)記錄進(jìn)行保護(hù),定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等;d)應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。惡意代碼防范應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制及時(shí)識別入侵和病毒行為,并將其有效阻斷。訪問控制本項(xiàng)要求包括:a)應(yīng)對登錄的用戶分配賬戶和權(quán)限;b)應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令;c)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;d)應(yīng)授予管理用戶所需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離;e)應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;f)訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級,客體為文件、數(shù)據(jù)庫表級;g)應(yīng)對重要主體和客體設(shè)置安全標(biāo)記,并控制主體對有安全標(biāo)記信息資源的訪問。數(shù)據(jù)完整性本項(xiàng)要求包括:a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等;b)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。數(shù)據(jù)保密性本項(xiàng)要求包括:a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》—第三級安全要求數(shù)據(jù)加密&校驗(yàn)為什么需要構(gòu)建零信任安全體系數(shù)據(jù)加密&校驗(yàn)流經(jīng)多重公網(wǎng)運(yùn)營商,存在被監(jiān)聽&篡改的風(fēng)險(xiǎn)HTTP1/2/3流經(jīng)內(nèi)網(wǎng)機(jī)房,云原生時(shí)代基礎(chǔ)設(shè)施資產(chǎn)不再私有化歸屬0ZZ)〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云訪問控制HTTP1/2/3來自內(nèi)部/外部的惡意訪問通常會導(dǎo)致數(shù)據(jù)泄漏、遠(yuǎn)程命令執(zhí)行等嚴(yán)重后果〔-〕阿里云為什么需要構(gòu)建零信任安全體系〔-〕阿里云安全審計(jì)HTTP1/2/30ZZ)方案介紹、優(yōu)/缺點(diǎn)分析>—1.Request—Client<->—1.Request—Client<-3.RequestwithToken4.VertyServer〔-〕阿里云方案介紹(JWT)CraftadbyAlgorithmHS256eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdHMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),your-256-bit-secret)□secretbase64encoded"sub":"1234567890","name”:“JohnDoe","iat":1516239022DebuggerLibrariesIntroduetionAsk"alg":"HS256","typ":“JWT”AuthObyOkta}〔-〕阿里云〔-〕阿里云方案介紹(DubboToken)BrowserHTTP1/2/32.NotifywithToken1.2.NotifywithToken方案介紹(DubboToken)集群配置元數(shù)據(jù)過濾keyralue添加過濾端口臨時(shí)實(shí)例權(quán)重健康狀態(tài)元數(shù)據(jù)操作021side=providerrelease=3.2.6methods=sayHellodeprecated=falsedubbo=2.0.2interface=org.apache.dubbo.samples.api.GreetingServiceservice-name-mapping=trueversion=1.0.0generic=falsetoken=144ccf24-7b43-4a16-8692-176a3f03dab8下線revision=1.0.0path=org.apache.dubbo.samples.api.GreetingServiceprotocol=dubboapplication=nacos-registry-demo-providerprefer.serialization=fastjson2,hessian2dynamic=truecategory=providerstimestamp=1712799772063atorg.apache.dubbo.rpc.filter.TokenFilter.invoke(TokenFilter.java:51)~[dubbo-3.2.6.jar:3.2.6]atorg.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:334)~[dubbo-3.2.6.jar:3.2.6]atorg.apache.dubbo.rpc.filter.TimeoutFilter.invoke(TimeoutFilter.java:45)~[dubbo-3.2.6.jar:3.2.6]優(yōu)/缺點(diǎn)分析性能高明文傳輸性能高改造低身份易被偽造改造低03通過TLS構(gòu)建認(rèn)證鑒權(quán)體系方案介紹、優(yōu)/缺點(diǎn)分析方案介紹JWT+TLSmTLSJWT+TLSmTLSmTLSmTLSmTLSmTLSmTLSAPlsContentHTTP,APlsContentHTTP,gFPC,TCPIngressIngresstraffictrafficCertificateauthorizationCertificate方案介紹2頒發(fā)臨時(shí)憑證Client≤->Operator可信鏈路建立3發(fā)送TLS憑證4建立TLS單向認(rèn)證6驗(yàn)證Client健證正式簽發(fā)憑證7下發(fā)憑證ClientServerClientClientserver'scertificate→→44522337/zh-cn/learning/access-management/what-is-mutual-tls/方案介紹證書簽發(fā)與規(guī)則下發(fā)3.VerifyTokenL7層請求校驗(yàn)4.SendCertwithPermissionOpenID(i.e.Kubernetes、Zeus)App2->Resource1十App3->Resource1L4層全鏈路加密X.509CertRequestResponseRequestResponseRequestResponseResponse+App1RequestResponseRequestResponse5.RequestRequestResponseApp2優(yōu)/缺點(diǎn)分析性能低防泄漏、防篡改性能低非對稱保證可信機(jī)制實(shí)現(xiàn)復(fù)雜04如何實(shí)現(xiàn)100%操作審計(jì)方案介紹、成本與價(jià)值如何實(shí)現(xiàn)100%操作審計(jì)方案介紹SLS/ELK3.UploadConsumerIPConsumer—2.GenerateConsumer—2.GenerateSignature1.全鏈路Trace2.DubboFilter全攔截3.參數(shù)脫敏&簽名

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論