首页 > 其他分享 >APISIX 是怎么保护用户的敏感数据不被泄露的?

APISIX 是怎么保护用户的敏感数据不被泄露的?

时间:2023-04-12 14:57:23浏览次数:151  
标签:插件 Apache API 敏感数据 foo 泄露 APISIX

本文以 APISIX 作为例子,为大家介绍了如何借助 Global Data Encryption 功能来保护敏感数据,确保不会有任何敏感数据进行明文存储,这样即使 etcd 中所有存储的数据都被盗取,也不会造成敏感数据泄露,从而有效提升了 APISIX 的安全性。

作者刘维,API7.ai 技术工程师,Apache APISIX Contributor。

原文链接

什么是敏感数据

敏感数据,又称隐私数据,主要是指泄露后可能会给个人或者公司带来严重危害的数据,包括但不限于个人身份信息,企业经营数据等。

为什么要保护敏感数据

对于个人来说,如果敏感数据被泄露,轻则可能受到无止尽的广告骚扰,重则可能导致人格尊严受到侵害,或者人身、财产安全受到危害。

对于企业来说,敏感数据直接关系企业的信息安全。例如密钥,证书等敏感信息,一旦遭受泄露,企业将会遭受信任损失和财务损失,甚至可能面临法律责任。

在 API 网关中有哪些敏感数据

API 网关作为业务流量的入口,往往包含了大量的敏感数据,例如 API 密钥、用于鉴权认证的 token 等,除了基本的负载均衡、流量管理等功能外,提升安全、防止敏感信息泄露,也至关重要,因此对 API 网关中的敏感数据进行保护具有重要意义。

Sensitive Data

API 网关怎么保护隐私数据

大致思路一般如下:

  1. 将敏感数据置于保护区内,对访问权限进行严格的控制

  2. 增加风控系统,对异常行为和业务合规进行风险控制

  3. 对敏感数据进行脱敏处理或加密存储

下面将以 Apache APISIX 为例,展示如何在 API 网关中对敏感数据进行保护。

Apache APISIX 在保护隐私数据中的实践

Apache APISIX 是 Apache 软件基金会的顶级开源项目,也是当前最活跃的开源网关项目。作为一个动态、实时、高性能的开源 API 网关,Apache APISIX 提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。

用户可以通过编写插件来对 Apache APISIX 功能进行扩展,得益于成熟的社区和越来越多的活跃开发者,Apache APISIX 的插件数量在日益增多,其中有些插件携带敏感信息,例如 jwt-auth 插件的配置项 secretprivate_key,为了防止这些数据被非法获取,我们有必要对其进行加密存储。

为了增强 APISIX 的安全性,更好的保护用户的隐私,APISIX 在 3.1.0 版本中引入了 Global Data Encryption 功能,有了这个功能,开发者在开发新插件的时候,只需要在插件的 schema 中指定要加密的数据,APISIX 就能在控制面写入的时候自动进行加密存储,数据面读取的时候自动解密,对开发者完全透明。

Global Data Encryption

下面我们来看看具体的示例。

未开启数据加密功能

  1. 下发配置
curl http://127.0.0.1:9180/apisix/admin/consumers -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "username": "foo",
    "plugins": {
        "basic-auth": {
            "username": "foo",
            "password": "bar"
        }
    }
}'
  1. 确定 etcd 中的敏感数据状态
etcdctl get /apisix/consumers/foo
{"username":"foo","update_time":1675414313,"create_time":1674009211,"plugins":{"basic-auth":{"username":"foo","password":"bar"}}}

可以看到 password 字段是明文存储

开启数据加密功能

  1. config.yaml 中开启 data_encryption
apisix:
    data_encryption:
    enable: true
    keyring:
        - edd1c9f0985e76a2
  1. 启用已经支持敏感数据加密的插件,这里以 basic-auth 插件为例
curl http://127.0.0.1:9180/apisix/admin/consumers -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "username": "foo",
    "plugins": {
        "basic-auth": {
            "username": "foo",
            "password": "bar"
        }
    }
}'
  1. 验证插件功能
curl http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
    "methods": ["GET"],
    "uri": "/get",
    "plugins": {
        "basic-auth": {}
    },
    "upstream": {
        "type": "roundrobin",
        "nodes": {
            "httpbin.org": 1
        }
    }
}'

能正常访问

curl -i -ufoo:bar http://127.0.0.1:9080/get
HTTP/1.1 200 OK
...

密码错误,不能访问

curl -i -ufoo:test http://127.0.0.1:9080/get
HTTP/1.1 401 Unauthorized
...
{"message":"Invalid user authorization"}

插件功能正常

  1. 确定 etcd 中的敏感数据状态
etcdctl get /apisix/consumers/foo
{"create_time":1674009211,"update_time":1674009211,"plugins":{"basic-auth":{"password":"+kOEVUuRc5rC5ZwvvAMLwg==","username":"foo"}},"username":"foo"}

可以看到 password 字段已经被成功加密,此时就算数据被泄露,其他人也无法破解。

总结

在 API 网关中,包含了大量的敏感数据,因此需要采取有效的手段来对数据进行保护,本文以 APISIX 作为例子,为大家介绍了如何借助 Global Data Encryption 功能来保护敏感数据,确保不会有任何敏感数据进行明文存储,这样即使 etcd 中所有存储的数据都被盗取,也不会造成敏感数据泄露,从而有效提升了 APISIX 的安全性。同时除了对敏感数据进行加密以外,APISIX 还支持将敏感信息直接放到第三方服务,即Secret Manager功能,进一步提升了安全性。

希望通过上述分享,能够使大家更多的了解如何在 API 网关中保护敏感数据,从而保障企业的信息安全。

关于 API7.ai 与 APISIX

API7.ai支流科技 是一家提供 API 处理和分析的开源基础软件公司,于 2019 年开源了新一代云原生 API 网关 -- APISIX 并捐赠给 Apache 软件基金会。此后,API7.ai 一直积极投入支持 Apache APISIX 的开发、维护和社区运营。与千万贡献者、使用者、支持者一起做出世界级的开源项目,是 API7.ai 努力的目标。了解更多和产品试用

标签:插件,Apache,API,敏感数据,foo,泄露,APISIX
From: https://www.cnblogs.com/apisix/p/17309786.html

相关文章

  • 从 1 秒到 10 毫秒!在 APISIX 中减少 Prometheus 请求阻塞
    本文介绍了Prometheus插件造成长尾请求现象的原因,以及如何解决这个问题。作者屠正松,ApacheAPISIXPMCMember。原文链接现象在APISIX社区中,曾有部分用户陆续反馈一种神秘现象:部分请求延迟较长。具体表现为:当流量请求进入一个正常部署的APISIX集群时,偶尔会出现部分请......
  • WebAssembly 助力云原生:APISIX 如何借助 Wasm 插件实现扩展功能?
    本文将介绍Wasm,以及ApacheAPISIX如何实现Wasm功能。作者朱欣欣,API7.ai技术工程师原文链接什么是WasmWasm是WebAssembly的缩写。WebAssembly/Wasm是一个基于堆栈的虚拟机设计的指令格式。在Wasm未出现之前,浏览器中只能支持运行Javascript语言。当Wasm出现......
  • 为什么 APISIX Ingress 是比 Emissary-ingress 更好的选择?
    本文从可扩展性和服务发现集成等多个维度对比了APISIXIngress与Emissary-ingress的性能。作者:容鑫,API7.ai云原生技术工程师,ApacheAPISIXCommitter。原文链接背景KubernetesIngress是一种API对象,用于定义集群外部流量如何路由到集群内部服务的规则。IngressCont......
  • 景顺长城基于 Apache APISIX 在金融云原生的生产实践
    本文介绍了景顺长城在金融云原生架构演进中选择APISIX作为网关工具的技术细节,同时分享了使用APISIX的实践细节,并对APISIX的未来展望进行了探讨。作者李奕浩,景顺长城信息技术部研发工程师,负责公司网关和业务系统上云等工作。业务背景景顺长城基金管理有限公司成立于200......
  • Windows 短文件名相关 - IIS短文件名泄露
    今天接网安通告,说服务器有IIS短文件名泄露。可这短文件名是什么?拿完通告后回来一通查了个遍终于看明白了。先说短文件名是什么资料传说很久很久以前windows的文件名不能超过8个文件名和3个扩展名,也就是12345678.123就是最大长度了。但是到了windows95的时候,这个长度被扩展到......
  • 【K哥爬虫普法】12亿公民信息泄露,仅判3年,个人信息是否为爬虫“禁区”?
    我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K哥特设了“K哥爬虫普法”专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识,知晓如何合法合规利用爬虫技术,警钟长鸣,做一个守法、护法、有原则的技术人员。案情介绍出生于1983......
  • MobTech 秒验|本机号码一键登录会泄露隐私吗
    本机号码一键登录是一种新型的应用登录方式,它可以利用运营商的数据网关认证能力,实现手机号免密登录,提高用户体验和转化率,降低验证成本和流失率。本机号码一键登录支持三大运营商号码认证,3秒内完成手机号验证,无短信黑名单,无通道拥堵,验证成功计费。本机号码一键登录提供了Android和iO......
  • 为什么 APISIX Ingress 是比 Emissary-ingress 更好的选择?
    本文从可扩展性和服务发现集成等多个维度对比了APISIXIngress与Emissary-ingress的性能。作者:容鑫,API7.ai云原生技术工程师,ApacheAPISIXCommitter。原文链接背景KubernetesIngress是一种API对象,用于定义集群外部流量如何路由到集群内部服务的规则。IngressCont......
  • 什么是内存泄漏?哪些情况造成内存泄露?
    内存泄漏是指:一块被分配的内存既不能使用又不能回收,直到浏览器进程结束;以下列举内存泄漏的情况: <body>  <divclass="main">   <divclass="test">天</div>   <divclass="item">天</div>   <divclass="item">向<......
  • Go map 内存泄露
    前言在Go中,map这个结构使用的频率还是比较高的.其实在所有的语言中,map使用的频率都是很高的.之前在使用中,一直都知道map的内存在元素删除的时候不会回收,但一直......