基于微服务的数据安全共享服务平台
时间:2023-06-30 19:30:04 来源:雅意学习网 本文已影响 人 
裴彦纯
数字经济时代,数据作为关键生产要素其重要性日益凸显。数字化转型使得数据流通和共享成为必需,由此也带来了愈加严峻的数据泄露风险。随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规的出台,填补了数据安全保护立法的空白,完善了网络空间安全治理的法律体系,促进了我国数据保护法律法规体系的清晰、严谨,实现了对数据监管的有法可依。在强监管趋势下,粗放型数据交易模式已游走在法律红线的边缘,对仍处于此类灰色地带的企业将造成重创,积极探索符合合规要求的业务路线是其当前唯一的出路。保障数据安全以及数据的合规合法使用成为了数据流通、共享的前提[1]。
本文从数据安全共享服务平台的设计角度切入,详细描述了平台架构和系统组成,其采用微服务架构实现了数据资源服务总线,通过任务驱动的协同机制实现了基于隐私计算的安全计算系统。最终在平台内部构建了数据安全监测和数据集中管控系统,保证系统安全稳定的运行。
平台通过终端网关支持多种数据安全接入服务,实现外部数据大批量、高并发的安全接入与传输;
通过基于微服务架构的数据资源服务总线进行安全共享,满足符合访问授权规范要求的数据共享与访问操作。在相关数据访问操作符合访问授权规范要求时,平台也可实现内部数据与其他数据的共享,可以选择通过本平台实现发布使用与访问控制[2]。
平台融入了数据安全管控系统[3],实现了智能匹配相应的安全管控策略,采用基于人工智能的用户异常行为分析,对所有数据操作进行全程安全管控和全生命周期的审计溯源,实现了对异常行为、安全风险的自动感知与处置。
1.1 数据资源服务总线
基于微服务架构的数据资源服务总线也称微服务API 网关,相对于传统的资源服务总线,具有可弹性扩展、分布式、自维护、轻量级、松耦合等特点。采用面向服务的体系结构实现数据资源应用间的数据共享和使用,主要解决数据资源的封装问题[4](如图1 所示),包括:
数据使用方:需要通过总线获取数据服务的请求程序。
数据提供方:在总线上提供数据服务的服务程序。
图1 数据服务总线
数据服务注册:数据提供方发布自己的数据服务和服务规约至服务注册中心,以便数据使用方可以发现和访问该服务。
数据服务管理:总线通过记录数据服务请求、提供的内容,了解数据服务的状况、性能,进而发现其中存在的问题,实现对数据服务的控制。
数据服务内容:包括数据服务请求内容和数据服务提供内容。
数据服务总线主要提供对接服务、级联服务、网关服务及跨网授权、权限控制、服务注册、访问审计、日志同步等功能,可满足不同业务场景下的技术要求。
(1)服务注册
服务提供者将自己的数据资源服务和服务规约依据服务资源注册信息格式要求发布到服务注册中心,生成服务目录并由服务总线统一管理和提供调用。
(2)服务请求
服务请求者按照服务文档的请求调用报文格式构造报文并发送至服务总线。服务请求主要是通过代理访问模式来实现服务调度,即将服务请求发往服务接口所挂接的移动服务总线,再由服务总线通过路由代理访问服务接口返回结果;
还可通过支持直接访问模式实现服务请求,即根据服务请求方的权限信息进行认证和授权,服务请求方获得授予访问令牌后可以向服务接口方发送请求。服务提供方通过检查访问令牌可直接向服务请求方提供服务[5-6]。
(3)异步服务请求
服务总线支持服务请求者的异步服务请求。即服务总线将返回结果缓存,当服务请求者获取异步请求时再将返回结果发回给服务请求者。
(4)服务路由
服务路由是服务总线基于服务请求进行路由匹配的核心功能。服务发起方通过权限校验后提交服务请求,服务总线在接收后开始进行路由匹配,匹配成功即开始处理该请求,并将服务响应结果传输给服务提供方。
和传统服务总线相比,数据资源服务总线需要满足海量的应用访问请求以及支持分布式的扩展。服务总线的路由支持1 个API 多个后端节点模式(即集群模式);
后端支持IP 地址注册和服务名称注册;
使用服务名称注册时,移动服务总线必须提供一种可靠的服务注册发现机制,确保后端节点地址的动态变化。
(5)服务编排
服务编排指将多个服务进行编排形成新的服务。基于服务调用方关心的是想要的结果而不是调用的复杂过程,支持直观方式定义的新组合服务流程(工作流或代码级编排),通过少量的可视化定制化开发,即可实现服务的编排功能。
(6)访问控制
对接入服务总线的服务请求方和服务接口进行身份合法性验证。对服务请求方发出的请求进行权限检查,对于越权访问予以拒绝。服务总线支持对客户端身份和用户端身份的分别进行访问控制和同时进行访问控制。访问控制既支持对应用层的权限审查,也支持对访问发起方的权限检查。
(7)流量控制
流量控制可以以分钟、小时、天为时间单位来管控API 的被访问频率、应用的请求频率、用户的请求频率等。同时支持允许设置特殊的应用或者用户作为流控例外。
(8)服务管理
①服务监控:实现对服务接口等相关资源的运行状态、性能、负载的监控,异常时自动告警;
从在线率、访问量、访问成功率、响应速度等方面对服务接口的服务质量进行评价和排名;
通过监控日志,从地区、应用、时间、频度等多个维度,对服务资源运行情况进行统计分析,并采用业务视角展现服务资源的实战成果。
② 调用链跟踪:服务总线通过识别请求方发送的跟踪信息,在日志中形成存储1 条调用链。后续可以通过直观的方式查看一个请求的每个环节的消耗时间、错误状态和采集到的关联日志,包括从客户端发起,到经过网关路由,再到后端节点,甚至到数据库的调用链。
③异常处理:服务总线支持对服务请求接收直到服务结束期间所有异常的完整处理,包括异常反馈,即让服务请求方知道服务调用失败,以及记录异常日志,即将异常情况告知网关。
(9)安全防护
支持多种认证方式,支持HMAC(SHA-1,SHA-256)算法签名,支持HTTPS 协议,支持SSL 加密.防攻击、防注入、请求防重放、请求防篡改[7]。
(10)安全审计
主要通过日志采集、分析和处理实现对服务行为进行安全审计。行为日志包括服务资源注册、授权和访问3 种类型,采集的数据项目应符合相关要求,并通过采集汇总服务总线节点和信息资源服务资源的状态和日志信息,从而实现日志查询、统计分析功能,进而为服务总线的运行维护提供数据支持。
1.2 数据安全接入服务
1.2.1 数据安全接入网关
数据安全接入服务基于代理技术开发,使用TLS 连接提供安全服务,通过重写链接和端口来处理远程用户对内网的访问请求,采用国密加密算法,进行链路数据加密[8],具有维护简单、移动性强、访问控制能力强等特点。主动采集系统自身运行状态信息、客户端访问流量信息,确保做到过程可信、结果准确、证据可查,有效实现了“主动/被动安全防御”的结合,保护内部网络不被攻击,内部资源不被窃取。
(1)数据加密传输
采用TLS 协议保证通讯双方的信息安全,通过可靠的TCP 传输层来传输和接收数据;
链路数据加密支持国产加密算法;
采取特有应答纠错机制,包括确定应答与重发、记录重组等机制,保证数据包有序、完整到达安全接入网关TLS 会话模块。
(2)日志监控审计
可视化的管理平台,配置有远程客户端和服务发布。可实时监控内网资源访问情况,并自动记录相关日志;
可实时查看所有在线客户端的情况,并随时中断可疑会话。
(3)资源服务发布
支持在安全接入平台以服务的形式发布内网资源,客户端可通过安全接入网关访问已发布的服务;
支持对发布的服务生成唯一签名;
支持服务端发布多个内网资源服务,并可对每1个服务进行独立的认证、配置与管理;
所有内网资源服务的IP、端口不会在客户端暴露[9]。
(4)远程接入管控
支持在安全接入平台管理远程接入的客户端,已在安全接入平台配置并认证的客户端方可远程访问内部资源服务;
支持配置认证多个客户端,同时可对每1 个客户端进行独立的认证、配置与管理;
支持同一客户端同时访问多个内网资源服务;
对客户端使用服务端已发布服务的签名和证书与服务端具体服务进行TLS 握手认证。
集成弹性伸缩、身份认证、通道管理、流量监控、服务管控等,支持跨区容灾和就近路由,规避单可用区可能存在的不可抗力风险,提高服务的高可用性和容灾能力[10]。线性扩展,包括本身的扩展性及业务的扩展性具有最灵活的安全接入方式,支持Web 代理、文件共享、端口转发、网络扩展、支持IPv6网络。为确保良好业务和数据应用体验,采用动态检测接入条件最优网关,智能优选接入链路。
1.2.2 API 服务接口规范
所有服务的接口均基于HTTP/HTTPS协议,符合Swagger 2.0 接口描述规范。服务提供方和服务使用方必须同时使用相同类型的技术进行开发和调用,调用的服务通过HTTP URL 中特定属性进行标识,具体详见接口协议。
服务的接口数据包含所有的业务数据,数据采用JSON格式表示,并且符合相应的JSON Schema.服务提供方和服务使用方必须同时使用相同的格式进行数据交互。
1 个服务只实现1 个业务功能。服务应是无状态的,2 次请求之间无须状态和会话的保持,并可以采用轮询的方式在负载均衡器上进行注册。
服务请求和返回的的报文应符合JSON Schema 格式,统一采用UTF-8 进行编码。服务请求方和提供方应采用通用的JSON 解析器来构造和解析数据,对JSON不同含义的段落用明确含义的字段名称来定义,对相同内容的数据应采用数组来进行描述,服务请求方和提供方应根据JSON名称和路径进行精确定位,不应根据字段的顺序来获取字段值,字段值不受字段顺序调整的影响。
为提高数据查询类服务的通用性和性能,查询类服务在入参中定义返回字段列表,服务提供方根据入参中指定的字段返回信息。
为防止非法访问和入侵,服务提供方应对请求报文格式和关键信息进行合规性和业务校验。
一般情况下,服务调用方和服务提供方进行请求采用的是同步调用的方式,如需使用异步调用则可采用消息队列,或者通过服务调用方定义异步通知接口来实现。
服务接口采用微服务架构进行开发和部署[11]。微服务是指开发一个单个、小型、具备业务功能的服务,其特点是每1 个服务都有自己的处理和轻量通讯机制,可以部署在单个或多个服务器上。微服务架构是一种松耦合的,有一定的有界上下文的面向服务架构。和单体架构和SOA 相比,微服务架构具有组件化、松耦合、自治和去中心化的优点。
1.3 数据安全管控系统
数据安全管控系统主要针对数据安全监测和数据集中管控,系统通过收集各接入系统上报的安全事件和业务运行信息,对信息进行存储、分析、展示和响应控制,从而实现安全运行集中监测和管理的目的(如图2 所示)。同时,系统还可以帮助管理人员进行线上业务的实时监控、业务异常原因的定位、应用的数据统计分析、安全数据的分析和审计。以及在出现安全事件时进行及时的相应控制,实现对终端的接入管控,主动断开存在安全威胁终端的连接[12],对内部的数据和应用服务进行保护。
(1)数据采集
数据采集作为系统安全监控的基础,主要使用采集探针技术对基础信息和运行数据进行采集。在这一过程中,采集探针安装于不同的模块中,实现获取数据的目标。数据采集探针用来探测终端、网络、应用、数据基础信息外,还负责探测安全事件和业务运行数据,并将探测结果定时上报至监控中心。
(2)数据分析
平台对数据采集的信息进行分析,并做出分类处理。一般而言采集的信息被分为统计信息和安全事件2 大类,其中统计信息包括设备信息和流量信息等,安全事件则指的是违背监测策略项的内容。平台在对采集到的监测信息进行分类、分析后,支持进行可视化展示。
(3)数据展示
通过引入安全框架对采集到的信息进行分析,并将得到的结果通过大屏进行可视化展示。展示内容包括:整体安全信息分析展示、用户信息分析展示、网络信息分析展示、终端信息分析展示、应用信息分析展示、数据信息分析展示、安全事件分析展示。
(4)响应控制
对发生的安全事件,提供具体管控能力。主要包括,告警提示、终端控制、应用控制和数据控制。同时可以在管控平台的策略模块根据安全事件的严重程度,针对用户、网络、终端、应用、数据配置不同的管控策略。
图2 数据安全管控系统
(5)平台管理
平台管理为平台的安全提供基础性保,主要负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、终端信息管理、接入设备管理、权限管理、应急处理等。平台管理符合国家相关安全规定和标准,监测内容标准化、采集数据格式标准化、设备接口标准化、违规信息处理标准化。
数据安全共享服务平台使用微服务技术,满足了跨行业、跨区域的多源数据安全对接、传输与共享需求;
采用API 网关进行安全共享,满足了符合访问授权规范要求的数据共享与访问操作,在保证数据安全前提下提供数据共享服务能力。数据安全共享服务平台基于数据安全共享节点,利用可信受控存储环境下的数据分析与计算实现了对受限数据的安全使用,解决了内外部数据不能被直接获取,甚至部分数据不能被访问的问题。
