MicroServices推出了隐藏的安全复杂性，分析师警告

公司匆匆爬上MicroServices Bandwagon，但他们不是为了安全原因而做的，Warns Alexei Balaganski，Lead Analyst在Kuppingercole。

“他们正在为敏捷，减少到市场的时间，简化云中的部署和可扩展性，这一切都很重要，但他们根本没有考虑安全性，”他每周告诉计算机。

谈到新业务功能或收入的开发申请，Balaganski表示，安全性不是优先或安全团队仍在孤立于开发和运营团队。

“这种孤立可能是最大的挑战，而且，让安全和生产人员共同努力，而不是相互反对的挑战，而Devsecops的概念旨在解决，而且为此，它是组织的重要方法要考虑，“他说。

问题是，很少有组织已经实施了这种方法，而且大多数人仍然专注于尽可能快地将新的应用程序获得进入生产，以为他们稍后可以处理安全影响。

“只要特定的安全挑战到达，响应通常是一个点解决方案，”他补充道。“因此，一家公司将部署一个容器安全系统，因为它们在容器中运行大部分系统，并认为工作完成，但这并不是因为它们有10个其他公开的威胁向量，他们也有10个想一下。”

在核心问题中，没有单一的设计来设计一个微服务，这意味着单个应用程序可以在不同的环境中运行的微服务组成，使用不同的通信信道，甚至以不同的编程语言编写。

“虽然这种方法可以更轻松地与应用程序的所有其他组件分开开发，部署，调试，维护和操作微服务，但也意味着介绍了几层复杂性，”巴拉哥斯基说。

“但它是分布式的，而且没有像整体开发团队那样明显，因此它很容易忽视。结果，没有足够的注意力来保护低级基础设施，例如在微服务架构中常见的虚拟机和容器。“

他说，安全复杂性进一步复杂化了每个框架开发堆栈的事实，他说。“然后有一个API [应用程序编程界面]图层，它具有自己的安全挑战，以及与微猎狼人之间的通信的通信或代替API的消息传递协议。”

并且在所有这些中，存在某种控制平面或服务网格层，可通过网络控制服务与服务通信并自动化一些基本功能，例如安全通信，服务发现和负载平衡。

“所以你在许多层面上有这种巨大的新复杂性，而且许多人 - 特别是开发人员 - 倾向于认为它会以某种方式挑选自己，”巴拉哥斯基说。“但事实是，在大多数情况下，没有人正在考虑整体。

“开发人员，安全专业人士，运营人和合规人员都有自己的地区，他们的专注，但更频繁地没有人在看大型的画面，这可能是最大的问题，因为你的一方面是最大的问题这种新的复杂程度，另一方面，您在整个系统上完全丧失了可见性。“

MicroServices安全性是迫切需要解决的东西，但这是挑战性的，因为Balaganski表示，由于设计，实施和维护的设计，实施和维护几乎没有任何建立的设计模式，最佳实践或标准。

“对于组织来说，第一次意识到他们之前没有意识到的问题是重要的，并且他们需要开始询问正确的问题并寻找答案，”他说。“如果组织不了解问题，他们将不会寻找解决方案。”

理解基础知识的基础知识如何工作和使用这种架构的安全影响是一个很好的开始，巴厘岛表示。“如果你不知道基础知识，你就无法根据知情风险评估计划进一步的策略，”他说。

“在找出要问的问题的方面，他们应该从NIST [美国国家标准和技术研究所]的特殊出版物草案关于基于微服务的应用系统的安全策略，基本上是一系列的东西需要考虑。“

Balaganski表示，该文件总结了与微服务相关的所有安全问题。“我很肯定大多数安全人员都没有想到至少四分之三的这些潜在的风险，并且每个公司都可以评估每个潜在风险的可能性，”他说。

“如果您无法评估您组织的潜在安全影响，您可能最终以错误的方式支出您的预算。”

在没有任何标准或框架的情况下，Balaganski表示，最重要的是对问题的认识，使得组织开始解决如何在提高开发人员灵活性和业务连续性方面进行安全的另一种有用的工具，而不是安全性是责任。

“对于开发人员，运营和商界人士来说，微服务很棒，因为他们似乎降低了应用程序发展的复杂性，但需要了解复杂性隐藏在其他地方，”他说。

“复杂性不会消失 - 它通常只是重新分配给像Kubernetes或第三方供应商这样的技术堆栈，而组织必须明白这一点并记住。通过使用微服务架构，组织正在添加更多层数的复杂性，有人必须管理这些层。

“有人必须考虑那些层次曝光的新风险，尽管它部分成为第三方的责任，但如果安全漏洞导致数据，则拥有将遭受的代码和数据的组织违规。“

Balaganski将在题为保护微服务的演示文稿中更详细地讨论此主题：在慕尼黑的14至17日欧洲身份和云大会上的欧洲身份和云大会上的专用微服务中，您可能预计的不容易。