保护微服务架构的10个有效方式

微服务是一种创新的方式来加速和改进软件开发。该术语是指可以单独开发的应用程序子组件，并且通常专注于一个特定功能。例如，用于在线购物的电子商务应用需要具备订单收集、账户访问、库存管理和运输的几个微服务。很多知名的电子商务或社交媒体组织，如Twitter、PayPal、亚马逊、eBay和Netflix都依赖于微服务。

微服务与容器类似，但不完全相同。我们将微服务看做分子，容器看做原子；微服务可以在容器中运行，反之亦然。微服务经由应用程序编程接口（API）实现通信，作为应用程序的整个生态系统或架构的一部分。

微服务有几个优点：快速启动，可以重复使用，提高可扩展性，甚至可以包含不同的编码语言。只需要调整一个或两个微服务，而不是整个程序，更新应用程序很容易。微服务可以帮助促进和跟踪更改、解决问题、提高容错并提高性能。

与其他技术一样，微服务也存在安全风险，以及适当的使用方法。看起来微服务是分子内的原子这样的关系，但是漏洞仍然存在，即便只有一个微服务可能被破坏，仍然是一种风险。此外，过多的微服务也可能增加复杂性，并且使安全难以实现，特别是不同的开发人员和开发方法在整个应用程序中的应用。

NGINX产品主管Owen Garrett谈及微服务安全时表示：“微服务具有不同于单片架构的安全风险，主要包括：

通信变化：单片应用程序使用进程之间的内存通信，而微服务通过网络通信。移动到网络通信引起了速度和安全性的问题。

数据存储：微服务使用很多数据存储，这提供了微服务和紧耦合的服务之间的隐式服务的机遇。

技术专长：如果现有团队没有适当的管理微服务的经验，微服务会造成额外的复杂性，反过来又会造成安全漏洞。”

以下将介绍10个保护微服务架构的途径：

1、在开发微服务时，建立通用的可重复编码标准，可以在其他地方重复使用，减少可能导致可利用漏洞或升级特权的差异。

2、将渠道控制在最低限度，考虑每个特定的微服务被损害之后会造成什么后果，并且注意如何调整并保护微服务。

3、使用访问控制向进程或个人提供数据。尽可能在单独的功能和环境中使用分段，例如，如果没有必要创建或更改现有信息，那么仅仅检查清单可用性的微服务应该被授予数据库的读取权限，而不是读/写权限。

4、在微服务的代码中使用安全规则，而不是通过外部方法在实现之后应用。

5、尽可能使用集中的安全或配置策略，可以跨平台应用，以建立一致性并减少人员分析或交互的必要性。

6、多人审查微服务的代码，以减少人为错误，以及提供对代码可行性的洞悉。

7、完全记录每个微服务以说明其服务的功能，可以暴露出潜在的弱点

8、完全映射微服务之间的通信方法，以便识别潜在的问题区域以及可能表示漏洞或劫持的不规则行为

9、当使用外部访问时，对传输中的数据和禁止时使用加密

10、对微服务进行定期代码和使用评审，并删除过时或未使用的服务。