摘要:由華為技術大咖VS派拉軟體CTO為大家詳解云原生架構下的身份管理平臺,構建云安全數字身份入口,
本文分享自華為云社區《DTSE Tech Talk | 第4期:云原生架構下的數字身份治理實踐》,作者: 華為云社區精選,
DTSE Tech Talk是華為云開發者聯盟推出的技術公開課,解讀云上前沿技術,暢聊開發應用實踐,專家團隊授課,答疑解惑,助力開發者使用華為云開放能力進行應用構建、技術創新,
在本期《身份應用云上技術架構實踐》的主題分享中,華為技術大咖VS派拉軟體CTO,帶來云原生架構下的身份管理平臺,為企業、機構、開發者構建云安全數字身份入口,賦能用戶全場景下的數字身份治理與鏈接服務,
從自動化發布、云上運維和安全,決議上云架構實踐
上圖為身份管理平臺的架構圖,平臺在架構方面大規模使用華為云云原生組件,以及網路、安全、k8s平臺、中間件等產品,通過實踐應用云原生產品,企業僅需關注業務即可,無需關注產品本身,為加速產品迭代,平臺底層由華為云提供專業的服務,如容器鏡像服務、云資料庫MySQL、分布式快取服務等,
在開發程序中,派拉采用基于Spring Cloud的微服務體系進行架構,用戶的訪問首先會經過華為云組件保障流量的安全和負載均衡,并經過K8s的Ingress組件后進入到服務空間,在微服務網關Spring Cloud Gateway組件對接用戶的訪問進行驗證并分發到具體的業務微服務中,微服務網關作為唯一對外暴露的服務,也是唯一一個有Session狀態的服務,其他都為無狀態服務,對于微服務的治理全面采用Spring Cloud體系進行統一管理,包括Nacos作為微服務注冊中心和配置中心,Spring Boot Admin對微服務進行監控,Hystrix做降級和熔斷及故障隔離,XXL-Job作為分布式任務管理,還有自研的ParaPKI服務管理證書和密鑰,
在云上自動化發布實踐方面,采用云下開發測驗,云上驗收發布模式進行產品迭代的方式,產品發布程序中全面擁抱DevOps,并融入零信任安全理念建立DevSecOps開發模式,利用自研的獨立pki服務,可以控制每一個用戶的后臺訪問權限時間,而且在整個身份安全保護開發運維的程序中,以及各種工具的使用上,派拉將安全一直貫穿整個研發體系,
云下產品開發和測驗環境運行IDC機房中,利用零信任產品,開發和測驗人員從辦公網或家庭網能安全的接入開發測驗環境,所有的代碼提交都通過流水線自動化編譯打包上傳到Nexus和Harbor中,再通過自動化發布能力在開發和測驗環境中K8s上進行版本發布,通過測驗后的產品版本根據流程觸發提交鏡像到華為云容器管理組件,保證從代碼提交后打包的制品在各個環境下的一致性,減少質量問題逃逸,另外對于K8s、微服務、中間件的管理平臺的認證和操作的安全性是一個很大的挑戰,我們通過Nginx從網路上隔離運維和開發人員直接訪問管理平臺,所有人必須通過mTLS才能連接管理平臺,并通過ParaPKI為運維開發人員分配合適權限的個人證書,從身份、權限、時效性來保護管理平臺的操作,
由于網路邊界的消失,對于傳統從內網網路邊界的安全訪問模型,已經無法適應云原生時代,在云上運維架構和安全實踐中,派拉基于零信任理念,通過先認證后鏈接的方式,保障端到服務、端到端、服務到服務的全鏈路網路安全,實作全面啟用mTLS,凡是網路傳輸的資料一律加密,通過零信任網關代理所有對外服務,基于沙箱技術保護客戶端自身安全,最終完成整合全鏈路網路、資料、身份及權限的安全一體化方案,最終保證從開發階段代碼安全、前后端除錯安全、到產品運維安全,最后到產品發布服務內部呼叫方面的一個全面防護,
在實踐應審盡審理念方面,派拉通過日志組件審計所有通過網關的用戶訪問資料,并存盤到ES中,結合大資料和AI的能力對用戶的所有訪問行為進行分析,結合用戶的權限策略來持續的控制用戶行為風險,及時發現風險并啟用二次強認證來緩解風險,另外,派拉開發了獨立的日志審計服務,完全自定義化的配置客戶實際需要的日志查詢和報表分析的業務,
上云業務實踐的4個關鍵點
多租戶能力是SaaS服務的基礎能力,通過多租戶用一套資源為多個客戶提供云上服務,進而發揮資源的重復利用產生效率,派拉從域名開始進行租戶隔離,租戶訪問進入服務開始對Redis、elastic、MySQL、物件存盤全域的多租戶隔離,最大程度保證由租戶產生的資料所有權歸于租戶,未來,派拉與華為云將一起去推動多租戶開源組件在開源社區上的貢獻,
接下來,準備進行更細粒度的多租戶隔離能力,根據租戶體量和優先級來決定租戶對于資源占用量的隔離,從網路帶寬、容器計算資源到資料庫存盤等中間件的優先回應,都可以基于租戶的優先級進行隔離和分配,不僅如此還可以對關鍵租戶提高更加高的體驗,
作為一款SaaS化的身份管理產品,充分使用了快取、佇列、事件機制保障強大的高可用高并發能力,管理所有租戶的用戶資料,是所有用戶的第一入口,
在大量的用戶注冊請求進入服務后,通過MQ佇列機制進行排隊消費,達到削峰的效果,用戶注冊完成后同樣通過佇列機制呼叫訊息通知服務來降低通用業務服務的壓力,保障各個微服務的業務處理能力,
用戶注冊完成入庫后通過Maxwell組件監聽資料庫的binlog檔案,對新創建的用戶推送到Redis快取和ES中,從而為更加高并發要求登錄業務提供保障,
在安全架構方面,利用原子化微服務架構進行設計,通過基于身份和公鑰技術設計的作業負載安全保障能力,并結合微服務的邊車模式,在不干擾業務代碼的情況下把安全能力通過Java agent技術加載到容器服務中,即使單個服務由于未知漏洞被黑客攻破后,也無法橫向移動到其他并行運行的服務,最終控制威脅最小化,
用戶的訪問首先會經過Gateway對用戶的身份和權限進行校驗,合法的用戶會被頒發一個身份Token,這個Token會附加到Http Header中透傳到后續的服務中,每個服務接受到上一個服務的請求時,必須經過兩層認證訪問,第一基于mTLS技術對請求主體的設備或服務的身份合法性校驗,第二從http請求頭中的Token來對訪問者的身份和權限校驗;并持續在呼叫鏈路中的每個服務中都會進行校驗,保障了全鏈路的身份和資料安全,
統一單點登錄,用戶只需登錄一次即可訪問多個業務系統無需重復登錄,雖然看似簡單的功能其內部邏輯極其復雜,從如何安全驗證用戶憑據,保障用戶身份不被冒用,到用戶在多個系統游走程序中,如何把合法身份和權限資訊在多個業務系統中安全傳遞,
結合產品可支持的多種認證方式和多種認證協議,以身份管理系統為IDP為各個業務系統集成完成單點授權和認證,也支持身份管理系統為SP通過認證代理到其他第三方的身份認證中心IDP去認證,實作多認證中互信能力,
當用戶登錄平臺時,平臺會記錄用戶的登錄資訊,根據用戶行為進行持續風險識別,結合不同的認證方式在不同場景或風險級別呼叫不同強度的認證能力,
統一的身份治理更加的復雜,不僅涉及到各種身份同步和權限治理的技術,還需要與客戶各種業務系統中的實際業務相結合,制定身份和權限治理的指導原則,最終才能做到在用戶只登錄一次后,完全無障礙的在各個業務系統中安全可靠的處理其業務,
相關鏈接地址:
應用開發檔案:https://support.developer.huaweicloud.com/doc/zh-cn_topic_0000001321416345-0000001321416345
參考示例代碼:https://gitee.com/HuaweiCloudDeveloper
問題咨詢和專家服務預約(需注冊華為云賬號):https://support.developer.huaweicloud.com/feedback/?ticket=ST-5385866-mPu9vjwIeAGISrz1rXBAdwt7-sso
點擊關注,第一時間了解華為云新鮮技術~
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/502942.html
標籤:架構設計
上一篇:初識設計模式 - 單例模式