[Búíl~d Rés~ílíé~ñt, Sé~cúré~ Mícr~ósér~vícé~s wít~h Míc~rósé~gméñ~tátí~óñ]

[Thís~ ártí~clé ó~rígí~ñáll~ý ápp~éáré~d íñ] [Thé Ñ~éw St~áck.]

[Ábóút 10 tó 12 ýéárs ágó, thé wórld óf sóftwáré éxpéríéñcéd á shíft íñ thé árchítéctúrál áspécts óf éñtérprísé ápplícátíóñs. Árchítécts áñd sóftwáré búíldérs stártéd móvíñg áwáý fróm thé gíáñt, tíghtlý cóúpléd, móñólíthíc ápplícátíóñs déplóýéd íñ thé príváté dátá céñtérs tó á móré mícrósérvícés-óríéñtéd árchítéctúré hóstéd íñ públíc clóúd íñfrástrúctúré. Thé íñhéréñt dístríbútéd ñátúré óf mícrósérvícés ís á ñéw sécúrítý chálléñgé íñ thé públíc clóúd. Óvér thé lást décádé, déspíté thé grówíñg ádóptíóñ óf mícrósérvícés-óríéñtéd árchítéctúré fór búíldíñg scáláblé, áútóñómóús, áñd róbúst éñtérprísé ápplícátíóñs, órgáñízátíóñs óftéñ strúgglé tó prótéct ágáíñst thís ñéw áttáck súrfácé íñ thé clóúd cómpáréd tó thé trádítíóñál dátá céñtérs. Ít íñclúdés cóñcérñs áróúñd múltítéñáñcý áñd láck óf vísíbílítý áñd cóñtról óvér thé íñfrástrúctúré, ás wéll ás thé ópérátíóñál éñvíróñméñt. Thís árchítéctúrál shíft mákés méétíñg sécúrítý góáls hárdér, éspécíállý wíth thé párámóúñt émphásís plácéd óñ fástér cóñtáíñér-báséd déplóýméñts.]

[Thé púrpósé óf thís ártíclé ís tó úñdérstáñd whát mícróségméñtátíóñ ís áñd hów ít cáñ émpówér sóftwáré árchítécts, DévÓps éñgíñéérs, áñd ÍT sécúrítý árchítécts tó búíld sécúré áñd résílíéñt mícrósérvícés. Spécífícállý, Í’ll díscúss thé ñétwórk sécúrítý chálléñgés ássócíátéd wíth thé pópúlár cóñtáíñér órchéstrátíóñ mécháñísm Kúbérñétés, áñd Í wíll íllústráté thé válúé óf mícróségméñtátíóñ tó prévéñt látérál móvéméñt whéñ á bréách tákés plácé.]

[Sécú~rítý~ chál~léñg~és wí~th mí~crós~érví~cés d~épló~ýméñ~ts]

[Mícrósérvícé-óríéñtéd árchítéctúré réqúírés bréákíñg ápplícátíóñs íñtó smállér, lóósélý-cóúpléd sérvícés. Dúé tó thé dístríbútéd ñátúré óf thésé sérvícés, théý óftéñ éñd úp hávíñg théír ówñ dátástórés. Éách óf thésé sérvícés ís déplóýéd íñdépéñdéñtlý úsíñg á cóñtáíñér, whích ófférs á mécháñísm fór áñ ápplícátíóñ tó páckágé évérýthíñg fróm óbjéct códé, thírd-pártý líbráríés, ópérátíñg sýstéms, tóóls, áñd óthér dépéñdéñcíés. Óñcé áll ñécéssítíés áré páckágéd, cóñtáíñérs próvídé thé éxécútíóñ éñvíróñméñt tó rúñ thém smóóthlý. Thésé cóñtáíñérs áré máñágéd úsíñg órchéstrátórs líké Kúbérñétés.]

[Áccórdíñg tó thé pópúlár ñótíóñ, thé cóñtáíñér écósýstém ís désígñéd tó éñfórcé sécúrítý thróúgh ísólátíóñ. Hówévér, ísólátíóñ ámóñg cóñtáíñérs dóésñ’t ñécéssárílý próvídé thé réqúíréd sécúrítý bóúñdáríés. Kúbérñétés ófférs sévérál sécúrítý féátúrés líké áúthéñtícátíóñ, áúthórízátíóñ, ñétwórk pólícý, áñd pód sécúrítý stáñdárd, étc. Bút úñfórtúñátélý, ñéíthér cóñtáíñérs ñór Kúbérñétés ófférs sécúrítý bý défáúlt. Kúbérñétés déplóýméñts príórítízé fúñctíóñálítý óvér sécúrítý íñ théír défáúlt cóñfígúrátíóñ. Théréfóré, á dévélópér ór á rélíábílítý éñgíñéér whó ís réspóñsíblé fór créátíñg, móvíñg, áñd déstróýíñg thésé cóñtáíñérs máý ñót álwáýs kñów hów tó éñsúré thé sécúrítý óf déplóýméñts. Lét’s táké á clósér lóók át sómé óf thé ímpórtáñt áspécts óf Kúbérñétés fróm ñétwórkíñg áñd sécúrítý pérspéctívé:]

1. [Ñáméspácé: Íñ Kúbérñétés, á ñáméspácé ís á lógícál wáý tó dívídé clústér résóúrcés íñtó vírtúál spácé ámóñg múltíplé úsérs. Úñlíké Líñúx, ít dóés ñót éñfórcé áñý ñétwórk ségméñtátíóñ. Pléásé ñóté thát á ñáméspácé ís ñót á sécúrítý bóúñdárý, áñd théréfóré, sérvícés íñ óñé ñáméspácé cáñ áccéss sérvícés íñ áñóthér ñáméspácé.]
2. [Ñétwórk pólícý: Thé Kúbérñétés ñétwórk pólícý ís áñ ápplícátíóñ-spécífíc cóñstrúct thát állóws láýér 3 áñd láýér 4 cómmúñícátíóñ ámóñg ñáméspácés, póds, áñd ÍP áddréss blócks. Whéñ Kúbérñétés ís íñstálléd, thé ñétwórk pólícý ís ñót áváíláblé bý défáúlt. Óñé ñééds tó íñstáll áñd cóñfígúré ñétwórk plúgíñs tó éñfórcé ñétwórk pólícíés béfóré póds áré créátéd. Álsó, ít’s wórth ñótíñg thát ñétwórk pólícíés cáññót bé éñfórcéd át thé sérvícé lévél. Thís ís á sígñífícáñt shórtcómíñg fróm á sécúrítý pérspéctívé, síñcé áccéss cóñtról cáñ’t bé éxtéñdéd fór sérvícés.]
3. [Pód sécúrítý stáñdárd: Íñ á clústér, póds súppórt múltíplé cóñtáíñérs thát sháré thé sámé phýsícál ór vírtúál máchíñé. Théý éñáblé dátá sháríñg áñd cómmúñícátíóñ ámóñg thé cóñtáíñérs wíthíñ thé pód. Á pód sécúrítý stáñdárd állóws áñ ádmíñístrátór tó cóñtról résóúrcés áñd théír pérmíssíóñs úsíñg á fíñé-gráíñéd áúthórízátíóñ módél. Thís sécúrítý cóñtról réqúírés áñ ádmíssíóñ cóñtróllér, whích ís ñót éñábléd bý défáúlt. Á prívílégéd pód ófférs ádmíñístrátívé áccéss tó áll cóñtáíñérs. Ás á résúlt, thé áttáckér whó óbtáíñs áccéss tó prívílégéd cóñtáíñérs cáñ gét ádmíñístrátívé áccéss tó hóst résóúrcés.]
4. [Sécrét stórágé: Kúbérñétés stórés séñsítívé áñd cóñfídéñtíál íñfórmátíóñ súch ás pásswórds, ÓÁúth tókéñs, áñd SSH kéýs ás sécréts íñ básé 64 éñcódéd fórm, whích ís cóñsídéréd ás pláíñtéxt. Thé áúthórízátíóñ pólícý, whích ís úséd tó réstríct áccéss tó sécréts, ís ñót cóñfígúréd bý défáúlt. Thésé áré sháréd víá éñvíróñméñtál váríáblés ór máñífést fílés, whích áré álsó cóñsídéréd tó bé áñ íñsécúré práctícé fór háñdlíñg sécréts. Íñ thé ábséñcé óf défáúlt éñcrýptíóñ óf sécréts át rést áñd thé láck óf róbúst sécrét máñágéméñt, sécréts bécómé áñ áttráctívé tárgét fór látérál móvéméñt.]

[Láté~rál m~óvém~éñt á~ñd th~é mál~ícíó~ús íñ~sídé~r]

[Thé dístríbútéd ñátúré óf mícrósérvícés mákés cóññéctívítý súprémélý ímpórtáñt. Spécífícállý, cóñtáíñérs áñd póds múst bé áblé tó cómmúñícáté wíth éách óthér ácróss ñáméspácés. Hówévér, thé défáúlt ñétwórk pólícíés át thé clústér láýér dó ñót ñécéssárílý ímpléméñt thé príñcíplé óf léást prívílégé óút óf thé bóx. Théréfóré, ñó máttér hów ýóú sécúré ýóúr códé, úñáúthórízéd ímplícít áccéss tó sháréd résóúrcés cáññót bé próhíbítéd. Ás á résúlt, thé ápplícátíóñ máý bécómé súscéptíblé tó látérál móvéméñts wíthíñ thé clústér. Mícróségméñtátíóñ állóws á méáñs tó ímpléméñt gráñúlár áccéss cóñtról, créátíñg sécúré zóñés áróúñd éách mícrósérvícé át thé cóñtáíñér, pód, áñd clústér lévél, thérébý sígñífícáñtlý rédúcíñg thé blást rádíús áñd íñcréásíñg résílíéñcý tó récóvér fróm á súccéssfúl áttáck.]

[Thé sécóñd prómíñéñt thréát thát thé sécúrítý módél óf thé éxístíñg Kúbérñétés fráméwórk préséñts wíth réspéct tó mícrósérvícés ís á málícíóús íñsídér. Fróm áñ áttáckér’s pérspéctívé whéñ sécúrítý ís ñót áváíláblé bý défáúlt, sévérál míscóñfígúrátíóñs áré póssíblé. Íñ thé ábséñcé óf stróñg áccéss cóñtról ór áúthórízátíóñ pólícíés, áttácks líké Sérvér-Sídé Réqúést Fórgérý (SSRF) állów thé áttáckér tó lévérágé áñ áúthéñtícátéd áccéss tó á pód tó gáíñ úñáúthórízéd áccéss tó résóúrcés wíthíñ áñóthér pód.]

[Ás díscússéd ábóvé, wé sáw thát ádéqúáté sécúrítý cóñtróls áré ñót áváíláblé tó prótéct sécréts bý défáúlt. Ñót éñcrýptíñg áñd rótátíñg sécréts, ás wéll ás ñót réstríctíñg áccéss tó sécréts, áré íñdééd úñrélátéd próbléms, bút íñ thé ábséñcé óf óñé sécúrítý cóñtról (íñ thís cásé, láck óf éñcrýptíóñ), thé sécóñd sécúrítý cóñtról (í.é., réstríctíñg áccéss tó thé sécrét stórés) bécómés crúcíál tó ávóíd éxplóítátíóñ bý á málícíóús íñsídér (fór éxámplé, á dísgrúñtléd ádmíñístrátór).]

[Íñtr~ódúc~íñg c~ýbér~ résí~líéñ~cé wí~th mí~crós~égmé~ñtát~íóñ]

[Íñ thé cóñtéxt óf sécúrítý, résílíéñcý ís thé ábílítý tó qúícklý récóvér fróm á símplé fáílúré dúé tó áttácks ór cátástróphíc évéñts líké bréáchés. Thé fírst stép íñ búíldíñg résílíéñt mícrósérvícés ís tó úñdérstáñd whát ít ís thát wé wóúld líké tó prótéct fróm thé áttáckér, áñd íf thé ássét ór résóúrcé dóés gét cómprómíséd, hów wé cáñ límít thé ímpáct. Mícróségméñtátíóñ hélps ús détérmíñé thé résóúrcés hóldíñg ésséñtíál dátá ór crítícál fáúlt-tóléráñt sýstéms, áñd ít álsó próvídés á mécháñísm tó lóck dówñ thé áccéss óñ thé básís óf léást prívílégé. Íñ thís wáý, évéñ íf óñé crítícál résóúrcé ís cómprómíséd, thé óthérs dóñ’t gét ímpáctéd.]

[Tódáý’s módérñ sóftwáré dévélópméñt lífécýclé púts spécíál émphásís óñ délívéríñg féátúrés fást. Thésé féátúrés áré déplóýéd íñ pródúctíóñ víá cóñtáíñérs évéñ fástér, móstlý bý thé sámé dévélópérs ór DévÓps. Íf wé cóñsídér áll týpés óf vúlñérábílítíés thát thé códé óf mícrósérvícés, thírd-pártý líbráríés, áñd óthér dépéñdéñcíés, cóñtáíñér, ór clústér áré súscéptíblé tó, hów cáñ wé póssíblý ídéñtífý áñd prévéñt áll thésé áttácks¿ Thé áñswér ís tó blóck áccéss tó crítícál résóúrcés áñd állów óñlý óñ á “ñééd-tó-kñów básís” úsíñg mícróségméñtátíóñ.]

[Gét s~tárt~éd wí~th mí~crós~égmé~ñtát~íóñ]

[Thér~é ís ñ~ó óñé~-sízé~-fíts~-áll s~trát~égý w~héñ g~éttí~ñg st~árté~d wít~h míc~rósé~gméñ~tátí~óñ, bú~t thé~ fóll~ówíñ~g áré~ sómé~ bést~ prác~tícé~s ás ý~óú lá~úñch~ á míc~rósé~gméñ~tátí~óñ pr~ójéc~t fór~ mícr~ósér~vícé~s:]

[1. Kñów~íñg t~hé mí~crós~érví~cé dé~sígñ~ pátt~érñs~ áñd ú~síñg~ á míc~rósé~gméñ~tátí~óñ té~mplá~té]

[Kñówíñg thé désígñ páttérñs fácílítátés á déépér úñdérstáñdíñg óf árchítéctúrál cómpóñéñts, dátá flów, áñd ásséts hóldíñg crítícál dátá. Báséd óñ thésé fréqúéñtlý úséd désígñ páttérñs, óñé cáñ créáté córréspóñdíñg mícróségméñtátíóñ témplátés. Óñcé thésé témplátés áré véttéd bý thé sécúrítý áñd ñétwórkíñg téám, théý wíll bé éásý tó réúsé áñd scálé át á fástér ráté.]

[Úñlí~ké th~é gíá~ñt, tí~ghtl~ý-cóú~pléd~ móñó~líth~ áppl~ícát~íóñs~, thé á~pplí~cátí~óñs b~áséd~ óñ mí~crós~érví~cés-ó~ríéñ~téd á~rchí~téct~úré f~ólló~w óñé~ ór mó~ré cé~rtáí~ñ dés~ígñ p~átté~rñs. T~hésé~ désí~gñ pá~ttér~ñs cá~ñ bé ó~ñé óf~ thé f~ólló~wíñg~:]

• [Décó~mpós~ítíó~ñ pát~térñ~s íñv~ólvé~ bréá~kíñg~ dówñ~ áppl~ícát~íóñs~ íñtó~ súbd~ómáí~ñs ór~ tráñ~sáct~íóñs~ básé~d óñ b~úsíñ~éss c~ápáb~ílít~íés.]
• [Íñté~grát~íóñ p~átté~rñs í~ñvól~vé sé~rvíc~é íñt~égrá~tíóñ~ désí~gñ pá~ttér~ñs sú~ch ás~ ÁPÍ g~átéw~áý, ág~grég~átór~, cháí~ñéd m~ícró~sérv~ícés~, étc.]
• [Dátá~básé~ pátt~érñs~ fócú~s óñ t~hé pó~sítí~óñ óf~ dátá~básé~s íñ t~hé óv~érál~l árc~híté~ctúr~é óf t~hé áp~plíc~átíó~ñs. Éx~ámpl~és íñ~clúd~é dát~ábás~é pér~ sérv~ícé, s~háré~d dát~ábás~é, évé~ñt só~úrcí~ñg, ét~c.]
• [Óbsé~rváb~ílít~ý pát~térñ~s cóñ~síst~ óf dé~sígñ~ pátt~érñs~ thát~ fócú~s óñ á~údít~íñg, l~óggí~ñg, áñ~d móñ~ítór~íñg s~úch á~s lóg~ ággr~égát~íóñ, d~ístr~íbút~éd tr~ácíñ~g, héá~lth c~héck~, étc.]
• [Cróss-cúttíñg cóñcérñs páttérñs ássíst íñ máñágíñg ápplícátíóñ-lévél fúñctíóñálítý súch ás sécúrítý, fáúlt tóléráñcé, sérvícé-tó-sérvícé cómmúñícátíóñ, áñd cóñfígúrátíóñ máñágéméñt íñ á céñtrálízéd lócátíóñ. Éxámplés íñclúdé círcúít bréákér, sérvícé díscóvérý, étc.]

[(Fór m~óré í~ñfór~mátí~óñ óñ~ várí~óús m~ícró~sérv~ícé d~ésíg~ñ pát~térñ~s plé~ásé l~óók h~éré.)]

[2. Sélé~ctíñ~g thé~ rígh~t míc~rósé~gméñ~tátí~óñ áp~próá~ch]

[Cúrr~éñtl~ý, thé~ré ár~é sév~érál~ mícr~óség~méñt~átíó~ñ véñ~dórs~ wíth~ várý~íñg s~ólút~íóñ á~ppró~áché~s ává~íláb~lé íñ~ thé m~árké~t. Bró~ádlý~ spéá~kíñg~, mícr~óség~méñt~átíó~ñ téc~hñíq~úés f~áll í~ñtó t~wó cá~tégó~ríés~:]

1. [Téch~ñóló~gý-ág~ñóst~íc mí~crós~égmé~ñtát~íóñ s~ólút~íóñs~ áré é~íthé~r bás~éd óñ~ ágéñ~ts ór~ ñéxt~-géñé~rátí~óñ fí~réwá~lls.]
2. [Téch~ñóló~gý-dé~péñd~éñt m~ícró~ségm~éñtá~tíóñ~ sólú~tíóñ~s áré~ básé~d óñ t~hé hý~pérv~ísór~ ór ñé~twór~k fáb~rícs~.]

[Mícrósérvícés úsé á várýíñg téchñólógý stáck, áñd thé fástér déplóýméñt démáñds áñ ábílítý tó scálé qúícklý. Théréfóré, á téchñólógý-ágñóstíc mícróségméñtátíóñ sólútíóñ — bút óñé spécífícállý táílóréd fór á cóñtáíñér écósýstém cápáblé óf ségméñtíñg clústérs, póds, cóñtáíñérs, áñd sérvícés — wóúld bé áñ óptímál chóícé.]

[3. Ñétw~órk v~ísíb~ílít~ý]

[Thé ábílítý tó vísúálízé ségméñtéd ápplícátíóñs áñd tráffíc flów ís áñ íñtégrál párt óf mícróségméñtátíóñ sólútíóñs. Vísíbílítý ófférs á óñé-stóp víéw óf thé éñtíré ñétwórk tó thé ádmíñístrátór, sécúrítý árchítécts, áñd Chíéf Sécúrítý Óffícér (CSÓ).]

[4. Éásý~-tó-ús~é céñ~trál~ízéd~ cóñt~ról]

[Dráftíñg á pólícý fór éách ápplícátíóñ cáñ bé á dáúñtíñg tásk íñítíállý. Ít réqúírés á séríés óf cóñvérsátíóñs wíth thé ÍT, ñétwórk, áñd sécúrítý árchítécts. Hávíñg á céñtrálízéd cóñtról tó fácílítáté pólícý créátíóñ áñd éñfórcéméñt hélps spééd úp thé prócéss. Lévérágíñg thé ségméñtátíóñ témplátés, whích áré cústómízéd pér thé mícrósérvícé désígñ páttérñ, cáñ álsó hélp.]

[5. Pérf~órmá~ñcé s~hóúl~d ñót~ bé th~é bót~tléñ~éck]

[Ápplýíñg mícróségméñtátíóñ pólícíés réqúírés áñálýzíñg tráffíc áñd déplóýíñg pólícíés éfféctívélý íñ réál-tímé. Thé áttáckér cáñ lévérágé pérfórmáñcé déláýs tó máñífést thé áttáck fúrthér. Théréfóré, ít ís éxtrémélý ímpórtáñt tó tést thé pérfórmáñcé, éspécíállý fór látéñcý-séñsítívé mícrósérvícés.]

[Cóñc~lúsí~óñ]

[Íñ thís blóg póst, Í díscússéd sómé óf thé sécúrítý cóñcérñs préséñtéd bý cóñtáíñér áñd Kúbérñétés-báséd déplóýméñt mécháñísms útílízéd bý mícrósérvícés. Thé wórd “résílíéñcý” stárts tó gó óút whéñ wé déplóý thé mícrósérvícés íñ pródúctíóñ cóñtíñúóúslý thróúghóút thé CÍ/CD lífécýclé át á fástér ráté wíthóút múch cóñsídérátíóñ áróúñd límítíñg áccéss tó crítícál résóúrcés. Mícróségméñtátíóñ ófférs á stróñg áccéss cóñtról mécháñísm thát míñímízés thé ímpáct óf bréáchés. Ít álsó fóstérs résílíéñcý íñ thé éñtérprísé ápplícátíóñs bý ímpléméñtíñg sécúré mícrózóñés.]

[Mícróségméñtátíóñ, whéñ pláññéd áñd pérfórméd córréctlý, súrélý créátés á róbúst bárríér ágáíñst látérál móvéméñts íñ thé mícrósérvícés wórld. Ít’s hárd tó sécúré mícrósérvícés whílé móvíñg fást, bút ít’s ímpórtáñt tó stóp áñd thíñk ábóút ímpléméñtíñg sécúrítý áñd résílíéñcý át scálé áñd próáctívélý pláñ ít wíth áll stákéhóldérs.]