以下是 NIST SP 800-204 的摘錄:
典型的基於微服務的應用程序的部署堆棧中存在六層,如硬體、虛擬化、雲、通信、服務/應用程序和編排。本文件將這些層視為威脅來源,下面描述了與它們相關的幾個安全問題,以概述基於微服務的應用程序中的威脅背景。重要的是要記住,許多可能的威脅對於其他應用程序環境來說是常見的,而不是特定於基於微服務的應用程序環境。
硬體層(Hardware layer):雖然已經報告了諸如 Meltdown 和 Spectre 等硬體缺陷,但此類威脅很少見。在本文檔的上下文中,假定硬體是可信的,並且不考慮來自這一層的威脅。
虛擬化層(Virtualization layer):在這一層中,對微服務或託管容器的威脅來源自受損的虛擬機管理程序以及惡意或易受攻擊的容器映像和 VM 映像的使用。這些威脅在其他 NIST 文件中得到解決,因此這裡不討論。
雲環境(Cloud environment):由於虛擬化是雲提供商使用的主要技術,因此同樣存在對虛擬化層的威脅。此外,雲提供商的網路基礎設施存在潛在威脅。例如,將所有微服務託管在單個雲提供商中可能會導致進程間通信的網絡級安全控制減少,而不是外部客戶端和雲中託管的微服務之間的通信控制。雲基礎設施中的安全威脅在其他幾個 NIST 文檔中都有考慮,因此這裡沒有討論。
通信層(Communication layer):由於微服務數量眾多、採用的設計範式(鬆散耦合和 API 組合)以及它們之間不同的交互方式(同步或異步),這一層是基於微服務的應用程序所獨有的。微服務的許多核心特性都與這一層有關,對這些核心特性的威脅在 “第3.2節” 中的微服務特定威脅下確定。
服務/應用層(Service/application layer):在這一層,威脅是惡意或錯誤代碼的結果。由於這屬於安全應用程序開發方法,因此超出了本文檔的範圍。
編排層(Orchestration layer):如果微服務實現涉及容器等技術,編排層可能會發揮作用。這一層的威脅與自動化或配置功能的顛覆有關,特別是與託管服務的服務器、容器或 VM 的調度和集群有關,因此超出了本文件的範圍。
參考
. NIST SP 800-204
資料來源: Wentz Wu QOTD-20211004
My Blog: https://choson.lifenet.com.tw/