Повышение эффективности API RBAC с помощью eBPF


IAM в микросервисах является сложной задачей

Современные приложения состоят из API и сложных ограничений Identity & Access Management (IAM).

IAM включает в себя политики управления доступом на основе ролей (RBAC), которые пытаются ответить на следующие вопросы:

  • Какова личность пользователя, делающего запрос?
  • Каковы их права на роль (или область применения)?
  • Дает ли роль доступ к операции API, которую они пытаются выполнить?
  • Дает ли роль доступ к конкретным JSON-объектам, которые запрашиваются?

Неоптимальная конфигурация IAM приводит к эксплойтам авторизации

Учитывая сложность API, ролей и связанных с ними политик RBAC, очень легко неправильно настроить авторизацию, что приводит к опасным эксплойтам и утечке данных клиентов.

Предотвращение злоупотреблений IAM требует наблюдаемости API

Предотвращение злоупотреблений аутентификацией и авторизацией требует постоянного мониторинга ваших пользователей, их ролевых прав и конкретных API/JSON объектов, к которым они пытаются получить доступ.


Как минимум, вы должны быть в состоянии ответить на следующие вопросы:

  1. Кто мои пользователи?
  2. Каковы ролевые права этих пользователей?
  3. К каким именно конечным точкам API и объектам JSON осуществляется доступ с помощью ролевых прав?

Существующие методы наблюдаемости слишком навязчивы

Традиционная наблюдаемость основана на зеркалировании трафика (захват пакетов), агентах в приложениях или прокси-агентах Sidecar.

Все эти методы требуют изменения кода/конфигурации приложения, приводят к увеличению задержки приложения и увеличению эксплуатационных накладных расходов (дополнительные шаги при отладке, обновлении и т.д.).

Традиционные инструменты приводят к повышенному трению между разработчиками, операторами и службой безопасности.

eBPF обеспечивает наблюдаемость IAM без трения

eBPF — это революционная технология, которая предоставляет супервозможности для наблюдения за API.

Зонды eBPF можно использовать для пассивного инструментария современных приложений, управляемых API, и захвата полной полезной нагрузки запросов/ответов API.

Ниже перечислены основные преимущества решения для наблюдаемости API на основе eBPF:

  • Мгновенная и всеобъемлющая наблюдаемость для ваших API, ролей и пользователей.
  • Не требует агентов и не требует изменений кода или конфигурации ваших приложений.
  • Полная видимость TLS / SSL для всех приложений и служб.
  • Наблюдаемость TLS не требует обмена закрытыми ключами.
  • Полностью пассивная и не встроенная в приложение.
  • Отсутствие влияния на латентность приложения.
  • Отсутствие влияния на ежедневные рабочие процессы (отладка, обновление и т.д.).
  • Устранение трений между разработчиками, операторами и службой безопасности, которые часто возникают при использовании обычных инструментов.

Хотите узнать больше об API Observability на базе eBPF?

Вы можете узнать больше о бесконтактной API Observability & Security здесь.

Оцените статью
Procodings.ru
Добавить комментарий