4、微服务安全：保障系统稳定与数据安全

微服务安全：保障系统稳定与数据安全

1. 微服务安全基础概念

在微服务架构中，有几个关键的安全概念需要我们深入理解，它们对于保障系统的安全运行至关重要。
- 不可抵赖性 ：这是信息安全的一个重要方面，它能防止你否认自己所做的事情或承诺。在现实生活中，比如租赁公寓时，你签署租赁协议后，就不能再对协议中的条款和条件提出异议。在数字世界里，数字签名能帮助实现不可抵赖性。以电子商务应用为例，客户下单后，订单处理微服务与库存微服务交互更新库存。如果该交易受不可抵赖性保护，订单处理微服务就不能否认更新了库存。为了实现不可抵赖性，不仅要使用数字签名，还需要记录交易的时间戳和签名，并长期保存这些记录。
- 保密性 ：保密性旨在保护系统，防止信息意外泄露。当客户端应用向订单处理微服务发送订单数据时，我们期望只有订单处理微服务能查看这些数据。但通信渠道的安全性可能会让入侵者截获数据。因此，传输中的数据和静止的数据都需要保护。
- 传输中数据的保护 ：加密是实现保密性的有效方法，TLS 是保护传输中数据保密性最常用的方式。如果一个微服务通过 HTTPS 与另一个微服务通信，实际上就是在使用 TLS，只有接收方微服务能以明文形式查看数据。不过，TLS 的保护是点对点的。如果客户端应用通过代理服务器连接到微服务，第一个 TLS 连接在代理服务器终止，新的 TLS 连接在代理服务器和微服务之间建立。此时，任何有权访问代理服务器的人都可能以明文形式记录消息。大多数代理服务器支持 TLS 桥接和 TLS 隧道两种操作模式。TLS 桥接会使消息在通过代理服务器时以明文形式传输，存在风险；而 TLS 隧道能在客户