由于涉及多种多样的大规模组件，保护分布式系统是一项复杂的挑战。鉴于多个服务在可能不安全的网络上交互，未经授权的访问和数据泄露的风险显著增加。本文探讨了一种使用开源项目保护分布式系统的实用方法，该项目演示了如何集成几种安全机制和技术来应对常见的安全挑战，比如身份验证、授权和安全通信。

理解分布式系统中的安全挑战

分布式系统涉及多个服务或微服务，这些服务或微服务必须通过网络安全地通信。这类架构中的主要安全挑战包括：

1. 安全通信：确保服务之间传输的数据经过加密、安全可靠，以免被窃听或篡改。

2. 身份验证：验证用户和服务的身份，防止未授权访问。

3. 授权：根据身份已验证的用户和服务的角色和权限，控制允许用户和服务执行的操作。

4. 策略执行：实施管理服务到服务和用户交互的细粒度访问控制和策略。

5. 证书管理：管理用于加密数据、建立服务之间信任的数字证书。

这个开源项目使用几种集成的技术和解决方案来克服这些挑战。

项目设置和配置

该项目先使用shell脚本和Docker建立一个安全的环境。设置需要提供数字证书和启动必要的服务，以确保所有组件都准备好进行安全通信。

设置环境的步骤

1. 提供证书

该项目使用shell脚本（provisioning.sh）以模拟证书颁发机构（CA），并为服务生成必要的证书。

复制

./provisioning.sh1.

2. 启动服务

Docker Compose用于启动项目中定义的所有服务，确保它们被正确配置以实现安全运行。

复制

docker-compose up1.

3. 测试服务到服务通信

为了使用证书和JWT令牌验证服务到服务通信，提供test_services.sh脚本。该脚本演示了不同的服务如何使用分配给它们的证书安全地交互。

解决分布式系统中的安全挑战

该项目集成了几项关键技术来解决前面提到的主要安全挑战。以下是应对每个挑战的方法：

1. 使用相互TLS（mTLS）的安全通信

挑战

在分布式系统中，服务必须安全地通信，以防止未经授权的访问和数据泄露。

解决方案

该项目使用相互TLS（mTLS）来保护服务之间的通信。mTLS确保客户端和服务器都使用各自的证书对彼此进行身份验证。这种相互验证可以防止未经授权的服务与合法服务进行通信。

实施

Nginx被配置为反向代理来处理mTLS。它需要客户端证书和服务器证书来建立安全连接，确保服务之间传输的数据保持机密和防篡改。

2. 使用Keycloak的身份验证

挑战

正确地验证用户和服务的身份对于防止未经授权的访问至关重要。

解决方案

该项目利用开源身份和访问管理解决方案Keycloak来管理身份验证。Keycloak支持多种身份验证方法，包括OpenID Connect和客户端凭据，既适合用户身份验证，又适合服务身份验证。

• 用户身份验证：

使用OpenID Connect对用户进行身份验证。Keycloak配置了客户端（appTest-login-client），该客户端处理用户身份验证流，包括登录、令牌颁发和回调处理。

• 服务身份验证：

针对服务到服务的身份验证，项目使用为客户端凭据授予类型配置的Keycloak客户端（client_credentials-test）。这种方法非常适合在没有用户干预的情况下对服务进行身份验证。

身份验证流示例

• 用户导航到登录页面。

• 成功登录后，Keycloak将用户重定向到带有授权码的回调页面。

• 然后将授权码交换为JWT令牌，用于后续请求。nginx/njs目录中的authn.js文件提供了该流程的详细实施。

使用客户端凭据的服务身份验证示例

复制

curl -X POST "http://localhost:9000/realms/tenantA/protocol/openid-connect/token" \
 -H "Content-Type: application/x-www-form-urlencoded" \
 -d "grant_type=client_credentials" \
 -d "client_id=client_credentials-test" \
 -d "client_secret=your-client-secret-here"1.2.3.4.5.

3. 使用开放策略代理（OPA）和JWT的用户授权

挑战

实施细粒度的访问控制，以确保身份已验证的用户和服务只能访问授权的资源。

解决方案

该项目结合使用开放策略代理（OPA）和JWT令牌来执行授权策略。该项目演示了三种不同的JWT验证策略，以确保可靠的安全性：

• 从Keycloak获取证书：从Keycloak动态获取证书以验证令牌。

• 使用x5t（拇指纹）：使用令牌中嵌入的拇指纹，从本地信任存储中检索公钥。

• 嵌入式证书验证：使用嵌入式证书验证令牌，确保对照受信任的证书颁发机构（CA）验证证书。

有关这些策略的详细实施，请参阅nginx/njs/token.js文件：https://github.com/apssouza22/security-architecture/blob/main/nginx/njs/token.js。

4. 使用开放策略代理（OPA）的策略执行

挑战

为服务和用户实施动态灵活的访问控制策略。

解决方案

OPA用于实施细粒度的访问控制策略。策略用声明性语言（Rego）加以编写，存储在opa/目录中。这些策略规定了服务可以通信、用户可以访问资源的条件，确保在整个系统中一致地运用访问控制。

5. 证书管理

挑战

管理服务的数字证书，以建立信任和安全通信。

解决方案：

该项目包括一个强大的证书管理系统。shell脚本（provisioning.sh）用于模拟证书颁发机构（CA），并为每个服务生成证书。这种方法简化了证书管理，并确保所有服务都拥有安全通信所需的凭据。

我们还添加了一个端点来更新服务证书，不需要重启nginx。

复制

curl --insecure https://localhost/certs --cert certificates/gen/serviceA/client.crt --key certificates/gen/serviceA/client.key -F cert=@certificates/gen/serviceA/client.crt -F key=@certificates/gen/serviceA/client.key1.

结论

构建安全的分布式系统需要仔细考虑各个安全方面，包括安全通信、身份验证、授权、策略执行和证书管理。这个开源项目提供了一个全面的示例，表明如何集成多种安全机制来有效地应对这些挑战。

如果遵循本项目中演示的设置和配置，开发人员就可以利用相互TLS、Keycloak、Open Policy Agent和Nginx来构建一套稳健的安全架构。这些技术结合在一起，就可以为保护分布式系统免受各种威胁提供坚实的基础，确保数据保护和安全访问控制。

原文标题：Designing a Secure Architecture for Distributed Systems，作者：Alexsandro Souza