Geekflare
In Desarrollo y Seguridad  |  Última actualizaciónated:
Comparte en:
Software de Jira es la herramienta de gestión de proyectos número uno utilizada por equipos ágiles para planificar, rastrear, lanzar y respaldar software excelente.

13 mejores prácticas para proteger microservicios

By

La arquitectura de microservicios proporciona flexibilidad, escalabilidad y la capacidad de modificar, agregar o eliminar componentes de software sin afectar otras partes de la aplicación.

Además de ciclos de desarrollo de software más cortos, equipos más pequeños y opciones de lenguaje de programación flexibles, le permite escalar o solucionar problemas de ciertas funciones o servicios sin interferir con los otros componentes.

eneroally, los microservicios permiten dividir grandes aplicaciones monógamas en servicios distintos que se pueden implementar de forma independiente. Sin embargo, estos servicios independientes más pequeños aumentan el número de componentes, de ahí la complejidad y dificultad para asegurarlos.

Arquitectura monolítica frente a microservicios
Imagen de arquitectura monolítica frente a microservicios Sombrero rojo

Usúally, una implementación típica de microservicios tendrá las capas de hardware, servicio o aplicación, comunicación, nube, virtualización y orquestación. Cada uno de estos tiene requisitos, controles y desafíos de seguridad específicos.

Desafíos de seguridad asociadosated con Microservicios

Los microservicios son habituales.ally sistemas ampliamente distribuidos con reglas de acceso complejas, más tráfico a monitory una mayor superficie de ataque. Sumaally, la mayoría de los microservicios en la nube se ejecutan en entornos de nube, que también tienen diferentes configuraciones y controles de seguridad.

Debido a la gran cantidad de API, puertos y componentes que se expuesto, es posible que los cortafuegos tradicionales no proporcionen la información adecuada.ate seguridad. Estos problemas hacen que las implementaciones de microservicios sean más vulnerables a diversas amenazas cibernéticas como el intermediario, ataques de inyección, secuencias de comandos entre sitios, DDoS, Y otros.

La seguridad de la red es otro desafío con los microservicios. En particular, la identidad y el control de acceso asumen un nuevo nivel de complejidad. Otras vulnerabilidades incluyen código inseguro y fallas en los sistemas de descubrimiento de servicios.

Aunque proteger los microservicios es más difícil que las aplicaciones monolíticas, puedes protegerlos de manera efectiva estableciendo una buena cadena.ategy y siguiendo las mejores prácticas.

Ideally, la arquitectura requiere un enfoque distribuido que debería cubrir todos los diferentes componentes.

Las áreas típicas a abordar incluyen

  • Protección de aplicaciones, microservicios y usuarios
  • Asegurar la gestión de identidades y accesos
  • Protección de datos
  • Mejorar la seguridad de las comunicaciones de servicio a servicio
  • Monitoring los microservicios y sistemas de seguridad

Mejores prácticas para proteger microservicios

Uno de los mejores strategies es utilizar una combinación de mejores prácticas, herramientas y controles para proteger todo ecossistema. El enfoque real puede diferir según el tipo de servicios, aplicaciones, usuarios, factores ambientales y otros.

Si decide utilizar microservicios, debe asegurarse de cumplir con todas las demandas de seguridad para los servicios, las conexiones y los datos.

Veamos ahora algunas prácticas de seguridad de microservicios efectivas.

#1. Desarrolle seguridad desde el principio 👮

Haga que la seguridad sea parte del ciclo de desarrollo. ideaally, integrarate seguridad en el desarrollo e implementación de microservicios desde el principio. Abordar la seguridad de esta manera es un enfoque fácil, efectivo y más económico que esperar para agregarlo cuando el desarrollo del software está a punto de completarse.

#2. Utilice el mecanismo de defensa en profundidad

La Defensa en profundidad (DiP) es una técnica en la que aplica varias capas de seguridad a sus servicios y datos. La práctica hace que sea más difícil para los atacantes penetrarate a través de múltiples capas, brindando así una sólida seguridad para sus servicios y datos.

A diferencia de las soluciones de seguridad perimetral como la cortafuegos, el concepto de Defensa en profundidad es diferente. Se basa en una combinación de herramientas como antivirus, firewall, administración de parches, software anti-spam y otros para proporcionar múltiples capas de seguridad distribuidas por todo el sistema.

seguridad multicapa de defensa en profundidad
Imagen de seguridad multicapa de defensa en profundidad: Imperva

Con este enfoque, primero debe identificar los servicios sensibles, después de lo cual aplica las medidas apropiadas.ate capas de seguridad a su alrededor.

#3. Implementar la seguridad a nivel de contenedor

Muy a menudo, los microservicios se basan en envase tecnología. Por lo tanto, asegurar los contenedores, tanto internally y externoally, es una forma de reducir la superficie de ataque y los riesgos. ideaally, apuntar al principio de seguridad de privilegio mínimo es una buena práctica y requiere una combinación de estrategiasateservicios que incluyen, entre otros;

  • Limitar el permiso al mínimo requerido
  • Evite ejecutar servicios y cualquier otra cosa utilizando el sudo o cuentas privilegiadas.
  • Limitar o controlar el acceso y consumo de los recursos disponibles. Por ejemplo, limitar el acceso a los recursos del sistema operativo por parte de los contenedores ayuda a prevrobo o compromiso de datos personales.
  • No guarde secretos en el disco contenedor.
  • Utilice apropiadamenteate reglas para aislarate acceso a los recursos.

También es vital asegurarse de que las imágenes de los contenedores no tengan vulnerabilidades o problemas de seguridad. Un escaneo regular de seguridad y vulnerabilidad de los contenedores ayudará a identificar los riesgos.

Las herramientas típicas de escaneo de imágenes incluyen Clair, ancla, y más.

#4. Implementar una autenticación multifactor 🔒

La habilitación de la autenticación multifactor mejora la seguridad del front-end.

Los usuarios que accedan deberán proporcionar los detalles de su nombre de usuario y contraseña además de otra forma de verificación, como un código enviado a sus teléfonos o una dirección de correo electrónico específica. La técnica dificulta que los atacantes, que pueden estar utilizando credenciales robadas o pirateadas, accedan a los microservicios, ya que no tendrán una forma de proporcionar la segunda autenticación.

#5. Usar tokens de acceso e identidad de usuario

En la implementación de microservicios, una gran cantidad de aplicaciones y servicios requerirán autorización y control de acceso seguros. Un marco de autorización como OAuth 2.0 y OpenID le permite process los tokens de forma segura, protegiendo así sus microservicios. En consecuencia, esto permite thirdAplicaciones de terceros para acceder a otros servicios o datos de los usuarios.

En una implementación típica, la aplicación principal solicitará al usuario que autorice la third servicio de fiesta. Al aceptar esto, el generador de aplicacionesateEs un token de acceso para la sesión.

En particular, OAuth es una de las estrategias más efectivas.ategies para la identidad del usuario y el control de acceso. Aunque existen otros protocolos de autorización y usted también puede crear el suyo propio, es una buena práctica utilizar el OAuth ya que es más estándar, estable y ampliamente aceptado.

#6. Create una API GateManera

eneroally, los microservicios constan de varios componentes distribuidos en diferentes redes y accesibles desde una amplia gama de sistemas y clientes. Exponer los microservicios aumenta las vulnerabilidades y los riesgos de seguridad. Una forma de protegerlos es crearate un punto de entrada único y seguro que le ayuda a centralizar todo el acceso desde sistemas y clientes externos.

Para lograr esto, implemente una API gateforma de examinar todas las solicitudes entrantes en busca de problemas de seguridad antes de enviarlas a la instancia apropiadaate microservicios. La API gateEl camino se encuentra entre las aplicaciones cliente y los microservicios. Luego limita la exposición de los microservicios al tiempo que proporciona funciones adicionales de gestión de solicitudes, como autenticación, terminación SSL, traducción de protocolos, monitoring, enrutamiento de solicitudes, almacenamiento en caché y más.

Con este enfoque, la API gateDe esta manera enruta todos los servicios externos a los microservicios y al mismo tiempo respalda el principio de seguridad de defensa en profundidad.

API de microservicios gateImagen del camino libro vivo

API típico gateformas incluyen Nginx, Kong, Tipo, Marca Virtual, API de AWS gateManera, y más.

Para obtener más información sobre la seguridad de la API, consulte nuestra guía sobre Por qué y cómo proteger el punto final de la API.

#7. Profile API basadas en la zona de implementación

Implemente restricciones basadas en roles asegurándose de que los usuarios solo tengan acceso a las API y servicios que necesitan. Dado que la mayoría del software malicioso suele exponer un servicio a más personas, limitar el acceso sólo a usuarios autorizados reduce los riesgos. Una técnica para reducir la exposición es etiquetar las API según los usuarios que deberían tener acceso a ellas. géneroally, las API pueden ser;

  • API de Ethernet: para servicios expuestos al mundo externo fuera del centro de datos.
  • corporaciónate API de zona: están destinadas a internal private tráfico
  • API DMZ: para manejar el tráfico desde el origenatees de internet
  • API de zona híbrida: para implementaciones de centros de datos

#8. Asegure las comunicaciones de servicio a servicio

Las prácticas efectivas implican autenticar y autorizar solicitudes cuando dos microservicios se comunican.

eneroally, existen tres técnicas principales que puede utilizar para proteger las comunicaciones entre servicios. Estos son los Confía en la red, Token web JSON (JWT), y Seguridad de la capa de transporte mutua (mTLSor TLS mutuo). 

Asegurar la comunicación entre servicios con JWT
Asegurar las comunicaciones entre servicios con JWT Image libro vivo

De los tres, el más popular es mTLS. En este enfoque, cada microservicio debe llevar un público/privado.ate Par de claves. Luego, el microservicio del cliente utiliza el par de claves para autenticarate itself al microservicio receptor a través de mTLS.

Durante la autenticación, cada microservicio generaatesa certificadoate. Posteriormente, cada microservicio utilizará el certificado.ate del otro al autenticoate itself.

Si bien TLS proporciona integridad y confidencialidad a los datos en tránsito, también permite al cliente identificar un microservicio. El microservicio del cliente usually Conoce el otro microservicio. Sin embargo, dado que TLS es unidireccional, un microservicio receptor no puede verificar el microservicio del cliente y los atacantes pueden aprovechar esta falla. Por otro lado, mTLS proporciona un medio en el que cada uno de los microservicios puede identificar al otro.

#9. Rate limitar 🚏 tráfico de clientes

Limitar el tráfico externo prevProblemas importantes, como ataques de denegación de servicio (DoS), así como casos en los que algunos clientes consumen la mayor parte de la aplicación. bandwidth. Un enfoque consiste en aplicar varias reglas que puedan monitor y controlar el rate del tráfico enviado o recibido de un cliente en función de la IP, hora, etc.

Configure sus servicios para que se ralenticen si detectan varios intentos fallidos de inicio de sesión en sus API o cualquier otra actividad sospechosa.

Un sistema lento desanimaría a los atacantes y probablemente abandonarían su intento de acceder a los servicios. tu puedesate limitar el uso de la API gatemanera, a través del código, o cualquier otra técnica. usúally, la mayoría de los entornos SaaS tienen API rate limitando para minimizar el abuso por parte de los usuarios así como los ataques.

#10. Usar administradores de orquestación

Los gestores de orquestaciones te permiten automatizarate la configuración, coordinación y otras tareas de gestión de microservicios además de mejorar la seguridad. usúally, las herramientas le permiten administrar múltiples contenedores, limitar el acceso a metadatos, segregarate cargas de trabajo, recopilar registros y más.

Algunas herramientas de orquestación tienen funciones adicionales que permiten a los desarrolladores almacenar y compartir información confidencial, como el certificado SSL.atepecadocryption claves, contraseñas y tokens de identidad.

Los dos métodos más utilizados para la orquestación de microservicios eficaz son;

  • Codificar la orquestación como un microservicio
  • Usando la API gateFormas de proporcionar una capa de orquestación.

Orquestación a través de la API gateNo se recomienda este método debido a los desafíos cuando es necesario escalar los servicios.

Capa de orquestación de microservicios
Capa de orquestación de microservicios - Imagen Lógica global

Las herramientas típicas de administración de orquestación incluyen Kubernetes, Istio, Azure Servicio Kubernetes (AKS), etc.

Para obtener más información, explore el Orquestación de contenedores para DeOps.

#11. Monitor todos tus sistemas y servicios

Dado que los microservicios dependen de sistemas distribuidos, es necesario contar con un sistema confiable y eficaz. monitoring strategy para todos los componentes individuales.

Implementación continua monitoring le permite detectar y abordar los riesgos de seguridad a tiempo. Para ello existe una amplia gama de microservicios. monitorsoluciones innovadoras, incluidas Prometeo, Estadísticas, Influjo DB, Logstash, etc.

Visualización de grafana prometheus

Monitoring dentro de la arquitectura de microservicios

Utilice el apropiadoate herramientas a monitor internal sistemas y servicios. Algunas mejores prácticas incluyen;

  • Habilite el registro en la capa de la aplicación. Usted puede Splunk, grafana, Pila de ELKy otras herramientas que recopilan registros en los niveles de aplicación, contenedor, red e infraestructura.
  • Monitor las métricas de uso
  • Utilice las tendencias en métricas como CPU, memoria, tiempos de respuesta, errores, notificaciones y otros para detectar actividades inusuales indicativas de un ataque existente o potencial.
  • Audite los registros en áreas tales como solicitudes de clientes entrantes, registros de bases de datos, contenedores y otras para identificar inconsistencias o actividades inusuales.

#12. automate actividades de seguridad

automate seguridad processes como implementar updates, escaneo de vulnerabilidades, monitoreo, hacer cumplir políticas y otras actividades. Sumaally, revisa la actualizaciónates para garantizar que sean seguros y que no introduzcan nuevas vulnerabilidades.

después de la actualizaciónates, el software de seguridad debe ideally Realice pruebas en todos los contenedores y microservicios para ver si podrían haber habido algunas vulnerabilidades o problemas de seguridad que ocurrieron antes.

#13. Proteja los datos de 🛡️ en todo momento

Proteja los datos en tránsito y en reposo. ideaally, hacer cumplir el uso de HTTPS para todas las comunicaciones, para proteger los datos en tránsito, y encryption para todos los datos confidenciales en reposo. Evite transmitir y almacenar contraseñas, claves, credenciales y datos confidenciales en texto sin formato que residan fuera del código.

La mejor calleategy es utilizar tecnologías estándar para cifrar todos los datos confidenciales lo antes posible. Además, descifre los datos como l.ate lo más posible para reducir la exposición.

Para Concluir

Los microservicios dependen de componentes distribuidos para brindar beneficios como más flexibilidad y opciones de implementación. Sin embargo, al utilizar los microservicios, las organizaciones deben ajustar internal políticas de seguridad y strategias hacia un enfoque más distribuido y nativo de la nube.

Ideally, apuntan a reducir la superficie de ataque, protegiendo el entorno de microservicios, API, aplicaciones y datos.

Comparte en:
  • Amos Kingatúa
    Autor
    Amos Kingatua es consultor y técnico en TIC. writer que ayuda a las empresas a configurar, proteger y administrar de manera eficiente una amplia gama de centros de datos, sistemas de TI y redes internos y virtuales.

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre el desarrollo

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • Murf AI

    La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Datos brillantes

    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com

    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder

    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder