多云平台_多云系统的授权
多云平臺
這是我目前正在使用的項目設計,用于消耗SPIFFE(
受所有人保護的安全生產身份框架( )的信任和身份識別,在WSO2的Prabath Siriwardena先生的啟發下,在Moratuwa大學的Gihan Dias教授的指導下,在動態擴展的異構系統中提供了授權。 像在混合云中一樣,跨多個云運行的企業系統就是一個明顯的例子,將從中受益。 目的是為基于SPIFFE標準的系統打開大門,使其以最小的努力與其余系統共存,而不會損害安全性,同時擁有基于SPIFFE的授權解決方案。
簡而言之,這是一個信任引導和識別框架,已作為標準提交并被CNCF(Cloud Native Computing Foundation)[1]接受。 到目前為止,該標準有兩個主要實現,分別是SPIRE和Istio [2],該平臺支持使用SPIFFE進行識別方面的服務網格體系結構。 此實現解決了跨異構系統的信任引導和標識所涉及的許多復雜問題。 有關更多詳細信息,請訪問
spiffe.io網站。
OAuth 2.0當前是API安全領域中使用最廣泛的標準,在工作負載領域中也用于訪問委派和授權。 盡管SPIFFE是目前新興的標準,但是OAuth 2.0已經存在了一段時間,可以說大多數企業系統都采用了它。 因此,如果我們可以將這兩個標準融合在一起,則可以兼具兩全其美的優勢,并具有OAuth 2.0提供的互操作性以及SPIFFE的動態信任引導和識別功能。
請注意,下圖中的SPIRE服務器可以是任何支持SPIFFE標準的實現。
–我們假設一個企業系統由兩個云中的工作負載組成,此處我們假設是AWS和GCP。 如果我們將其想象為GCP中當前正在運行的系統,且其工作負載基于OAuth 2.0范圍而受到保護,則要消耗這些工作負載的其他工作負載應帶有有效的訪問令牌和相關的范圍。
–可以想象在AWS云中運行的系統部分是新設計的,可以作為多云系統的一部分運行。 它利用SPIFFE標準來唯一地識別跨多個云的工作負載。 –作為此基于SPIFFE的信任引導和標識的一部分,每個工作負載均接收由SPIRE服務器簽名的X.509證書,并帶有其標識符,稱為SPIFFE ID。 例如。 spiffe:// localdomain / us-west / data(包含在SAN中)[3] –這是OAuth 2.0的圖片。 我們依賴于授權服務器在客戶端憑據授予類型下發出OAuth 2訪問令牌的能力。 這將處于草稿階段[4]的MTLS OAuth2.0規范之下。
這里很少有特殊的事情發生,
- 基于工作負載的SPIRE服務器簽名密鑰對創建MTLS連接。 因此,假定授權服務器和SPIRE服務器具有預先建立的信任。
- 當工作負載創建與授權服務器的MTLS連接時,它會動態地動態創建OAuth 2客戶端,生成OAuth2機密并頒發令牌。 此時,授權服務器應在發出驗證之前進行幾次驗證。
- 首先需要驗證證書,然后需要讀取證書的內容以及SAN中的SPIFFE ID。
- 僅查看SPIFFE ID并頒發令牌不足以滿足企業用例。
- 因此,我們將提供基于在使用OPA的授權服務器中定義的策略將范圍附加到這些令牌的功能。 (OPA代表開放策略代理,它非常靈活,可以像復雜策略一樣提供RBAC,ABAC或XACML。)此策略可以使用其他可用數據并做出決策。
- 驗證完成后,授權服務器將發出一個自包含的訪問令牌,包括范圍,過期時間等,這些令牌將發送到AWS工作負載,以便在調用GCP工作負載時提交。
- 除了使用其現有機制來驗證OAuth 2.0令牌并獲取其附帶的任何有用信息外,GCP工作負載此處不需要任何其他功能。
希望這能很好地解釋這種情況。 我將這個解決方案命名為Dvaara,表示可以打開更多門并控制進出。 :)
我們歡迎任何反饋,建議。
[1] – https://www.cncf.io/blog/2018/03/29/cncf-to-host-the-spiffe-project/ [2] – https://istio.io/docs/concepts/security/#istio-security-vs-spiffe [3] –樣本SVID https://gist.github.com/Pushpalanka/b70d5057154eb3c34d651e6a4d8f46ee#file-svid-cert [4] – https://tools.ietf.org/html/draft-ietf-oauth-mtls-12 [5] – https://www.openpolicyagent.org/docs/comparison-to-other-systems.html
干杯!
翻譯自: https://www.javacodegeeks.com/2019/01/authorization-multi-cloud-system.html
多云平臺
總結
以上是生活随笔為你收集整理的多云平台_多云系统的授权的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: epon上行天翼网关设置(gpon上行天
- 下一篇: wps插入project(甘特图用wps