云計(jì)算設(shè)計(jì)模式（十）——守門員模式

通過使用充當(dāng)客戶端和應(yīng)用程序或服務(wù)之間的代理，驗(yàn)證和進(jìn)行消毒的請(qǐng)求，并將它們之間的請(qǐng)求和數(shù)據(jù)的專用主機(jī)實(shí)例保護(hù)的應(yīng)用程序和服務(wù)。這可以提供一個(gè)額外的安全層，并限制了系統(tǒng)的攻擊面。

背景和問題

應(yīng)用程序通過接受和處理請(qǐng)求揭露它們的功能提供給客戶。在云托管方案，應(yīng)用程序暴露終端客戶機(jī)連接，一般包括代碼來處理來自客戶端的請(qǐng)求。此代碼可以執(zhí)行認(rèn)證和驗(yàn)證，一些或所有請(qǐng)求的處理，并有可能訪問存儲(chǔ)等服務(wù)代表客戶端的。

如果惡意用戶能夠危及系統(tǒng)和訪問應(yīng)用程序的托管環(huán)境，它使用安全機(jī)制，諸如憑證和存儲(chǔ)密鑰，并且該服務(wù)并訪問數(shù)據(jù)，被暴露。因此，惡意用戶可能能夠獲得無節(jié)制訪問敏感信息和其他服務(wù)。

解決方案

為了盡量減少接觸到敏感信息和服務(wù)客戶的風(fēng)險(xiǎn)，去耦，揭露出從處理請(qǐng)求并訪問存儲(chǔ)在代碼公共端點(diǎn)的主機(jī)或任務(wù)。這可以通過使用一個(gè)立面或?qū)Ｓ萌蝿?wù)，與客戶端進(jìn)行交互，然后手拿開的請(qǐng)求（可能通過一個(gè)去耦接口）連接到主機(jī)或任務(wù)將要處理的請(qǐng)求來實(shí)現(xiàn)。圖1示出了這種方法的一個(gè)高層視圖。

圖1 - 這種模式的高級(jí)概述

守門員模式可以簡單地用來保護(hù)存儲(chǔ)，或者它可被用作一個(gè)更全面的立面，以保護(hù)所有的應(yīng)用程序的功能。的重要因素是：

• 控制驗(yàn)證。守門員驗(yàn)證所有請(qǐng)求，并拒絕那些不符合驗(yàn)證要求。
• 有限的風(fēng)險(xiǎn)和曝光。守門員不具有訪問所使用的可信主機(jī)訪問存儲(chǔ)和服務(wù)的憑證或密鑰。如果關(guān)守被攻破，攻擊者無法獲得訪問這些憑據(jù)或密鑰。
• 適當(dāng)?shù)陌踩浴Ｊ亻T員運(yùn)行在一個(gè)有限的特權(quán)模式，而應(yīng)用程序的其余部分在訪問存儲(chǔ)和服務(wù)所需要的完全信任模式下運(yùn)行。如果關(guān)守被破壞，它不能直接訪問應(yīng)用程序的服務(wù)或數(shù)據(jù)。

此圖案有效地作用就像一個(gè)防火墻在一個(gè)典型的網(wǎng)絡(luò)拓?fù)洹Ｋ试S關(guān)守來檢查請(qǐng)求并做出關(guān)于是否將請(qǐng)求傳遞到可信主機(jī)決定（有時(shí)也被稱為鑰匙之王），執(zhí)行所需的任務(wù)。這一決定通常需要守門員來驗(yàn)證并將其傳遞到受信任主機(jī)前消毒要求的內(nèi)容。

問題和注意事項(xiàng)

在決定如何實(shí)現(xiàn)這個(gè)模式時(shí)，請(qǐng)考慮以下幾點(diǎn)：

• 確保受信任主機(jī)到網(wǎng)守請(qǐng)求通過僅暴露內(nèi)部或保護(hù)端點(diǎn)，只有連接到守門員。受信任主機(jī)不應(yīng)該暴露任何外部端點(diǎn)或接口。
• 關(guān)守必須在有限的特權(quán)模式下運(yùn)行。通常，這意味著運(yùn)行守門員和獨(dú)立的托管服務(wù)或虛擬機(jī)的可信主機(jī)。
• 關(guān)守不應(yīng)該執(zhí)行相關(guān)的應(yīng)用程序或服務(wù)，或訪問任何數(shù)據(jù)的任何處理。它的功能是純粹的驗(yàn)證和消毒要求。受信任的主機(jī)可能需要執(zhí)行的請(qǐng)求額外的驗(yàn)證，但核心的驗(yàn)證應(yīng)該由守門員進(jìn)行。
• 使用守門員和信任的主機(jī)或任務(wù)，如果這是可能的之間的安全通信通道（HTTPS，SSL或TLS）。然而，一些托管環(huán)境可能不支持HTTPS內(nèi)部端點(diǎn)。
• 添加額外的層，以實(shí)現(xiàn)守門員模式的應(yīng)用有可能對(duì)應(yīng)用程序的性能造成一定影響，由于它需要額外的處理和網(wǎng)絡(luò)通信。
• 關(guān)守實(shí)例可能是一個(gè)單點(diǎn)故障。為了最大限度地減少故障的影響，考慮部署其他實(shí)例，并使用自動(dòng)縮放機(jī)制，以確保有足夠的能力來保持可用性。

何時(shí)使用這個(gè)模式

這種模式非常適合于：

• 應(yīng)用程序，處理敏感信息，揭露必須具有高一定程度的保護(hù)免受惡意攻擊，或執(zhí)行不得破壞關(guān)鍵業(yè)務(wù)服務(wù)。
• 分布式應(yīng)用中，有必要從主要任務(wù)分別執(zhí)行請(qǐng)求驗(yàn)證，或集中此驗(yàn)證，以簡化維護(hù)和管理。

例子

在一個(gè)云托管的情況下，該模式可以通過使用一個(gè)內(nèi)部端點(diǎn)，一個(gè)隊(duì)列，或存儲(chǔ)作為中間通信機(jī)制解耦從受信任的角色和服務(wù)應(yīng)用程序中的關(guān)守角色或虛擬機(jī)來實(shí)現(xiàn)。圖 2 示出了使用內(nèi)部的端點(diǎn)時(shí)的基本原則。

圖 2 - 的模式使用云服務(wù)的網(wǎng)絡(luò)和輔助角色的一個(gè)例子