Sam Newman, der er udvikler og forfatter til bogen "Building Microservices", er en hyppig gæst på konferencer som GOTO og Øredev. Hans oplæg "Securing Microservices" var et godt eksempel på, at spørgsmålet om sikkerhed nødvendigvis må komme på banen, når relativt nye og hypede teknologier for alvor er blevet taget i brug i konkrete anvendelser.
Sam Newmans hovedbudskab var, at enhver udvikler bør have en helt grundlæggende forståelse af applikationssikkerhed – også og måske ikke mindst i et miljø, hvor mange microservices og en omfattende tool stack er involveret.
– I modsætning til monolitiske systemer har vi i et microservices-miljø mange grænseflader og dermed mulighed for at begrænse skaderne ved et angreb. På den anden side har vi øget "the surface area of attack" inklusive mere trafik ud over netværket og flere involverede maskiner og applikationer – så der er simpelthen flere ting, vi skal være opmærksomme på, når vi etablerer sikkerheden i vores løsninger, forklarede han.
Vigtigt med risikovurdering
Sam Newman gennemgik en for en de klassiske sikkerhedselementer i en kvadrant. Man kender en konsulent på, at han har en kvadrant, som han sagde: Prevention, detection, response og recovery kom vi igennem – og hele tiden relateret til et microservices-miljø.
– Det er vigtigt ikke bare at tænke på at forhindre angrebet. Man skal have en plan for de tre andre elementer i sikkerhedskvadranten. Og i bund og grund er det et spørgsmål om risikovurdering, ved at man sætter ind der, hvor man får mest sikkerhed for indsatsen.
Sikkerheden i forhold til netværkstrafikken var et af eksemplerne. Man kan lægge ud med at lade al intern kommunikation mellem services foregå via HTTPS. Det giver garanti for, at man snakker med den rigtige server. Men hvad med klient-siden, og hvad hvis man vil validere service to service-kommunikationen?
– Man kan anvende certifikater, men desværre er de stadig temmelig besværlige at administrere, så mange steder bliver det ikke gjort, fortalte Sam Newman. Han så dog tegn på, at der var ved at ske forbedringer på området og pegede blandt andet på projekterne "Let's Encrypt" og "Lemur".
Se Sam Newmans oplæg her: vimeo.com/144796652 eller goo.gl/SR1p3h
