Bir API Ağ Geçidinin arkasındaki Mikro Hizmetlerin Erişim Jetonunu doğrulaması gerekiyor mu?

10

Yalnızca bir API Ağ Geçidi üzerinden harici olarak erişilebilen bir grup mikro hizmetim var.

API Ağ Geçidim bir OAuth Kaynağı olarak ayarlandı ve isteği bir veya daha fazla mikro hizmete aşağı akışa iletmeden önce belirteci (İmzayı kontrol eder vb.) Doğrular.

Mikro hizmetlerimin kapsamları ve talepleri doğrulamak için jetona ihtiyacı olsa da, şimdi bu hizmetin jetonu doğrulaması için herhangi bir ihtiyaç var mı?

Biraz abartılı görünüyor, ancak bu senaryo hakkında çevrimiçi herhangi bir tavsiye bulamıyorum.

Simgeyi API ağ geçidinde doğrulamak yeterince iyi mi? Yoksa daha sonra tekrar doğrulamak en iyi yöntem midir?

microservices 
fml
kaynak
1
Ağ geçidini dahili olarak atlarken aynı hizmetlere erişilebilir mi?
Greg Burghardt
I cannot find any advice online about this scenario.Çünkü projeden projeye değişen çeşitli faktörlere bağlıdır. Muhtemelen MS mimarisi olduğunu iddia eden gelişmelerin çoğunda buna ihtiyaçları yoktur. Ayrıca, bu tür mimarilerde, hizmetler yerine (ve elbette ağ geçidi yerine) bunu yapacak bir kimlik doğrulama sunucusu bulunmalıdır. İsteğin geçmesine izin verilip verilmeyeceği yetkilendirme sunucusudur.
Laiv

Yanıtlar:

3

Herhangi bir dahili çağrı ağ geçidini atlayabilirse, her mikro hizmette jetonu doğrulayın veya tüm dahili ve harici çağrıları ağ geçidinden geçmeye zorlayın.

Şahsen ben de iç aramalara güvenmezdim. Güvenlik duvarı kuralları aracılığıyla trafiği sınırlama noktasına kadar ağ geçidinden geçmelerini sağlayın. Kimin kiminle ve neden konuştuğunu bilin. Bu, birisi ağınızı ihlal ederse saldırı yüzeyinizi sınırlamanıza yardımcı olur.

Bu, tek bir hata noktası sağlar, ancak bu risk, yük dengeleme sunucuları ve yıkıcı sorunlar durumunda yük devretme sunucularının el altında olmasıyla azaltılabilir.

Öte yandan, her hizmet belirteci doğrularsa ve doğrulama işlemi değişiklikleriyle ilgili her şey güncelleştirilecek N + 1 hizmetleriniz vardır.

Greg Burghardt
kaynak
"İç trafiğe de güvenemezsin" iddiasını duydum. Ancak bir uygulamayı intranetteki (göreceli olarak) az sayıda kullanıcıya maruz bırakmak, aynı uygulamayı genel Internet'e göstermekten çok uzaktır. Esasen bir hoparlör mıknatısı ile bir siklotron arasındaki farkla aynıdır.
Robert Harvey
2
@RobertHarvey: Sanırım "iç trafiğe güvenme" için duyduğum gerekçe, izinsiz girişler durumunda ağdan çıktığı kadar meşru trafik değil. Özellikle sisteminiz PII, sağlık, finansal veya hassas bilgileri işliyorsa. Eğer biri içeri girerse, konuşabilecekleri başka şeyle sınırlıdır.
Greg Burghardt
Birisi sisteminize girerse, jeton doğrulaması sorunlarınızdan daha az olacaktır. Jetonu güvenilir bir ağ içinde doğrulayıp onaylamamanız ya da onaylamamış olmanız (ve ön planlarla erişilemiyorsa), yaptığımız doğrulama türlerine ve doğrulamayı yapmayan herhangi bir tekrar olup olmadığına bağlı olabilir. Örneğin, performans. Akıl yürütmenize geri dönün. TLS'yi özel bir ağda uygular mısınız? Yan yana çalışan iki bileşen arasındaki iletişimi şifrelemek ister misiniz? Olası cevap bağlıdır .
Laiv
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.