微服务引擎 MSE - 发布全新“安全防护”模块,简化安全配置,提升数据保护
Apr 11 2025
微服务引擎 MSE国际站产品文档
https://www.alibabacloud.com/help/mse/user-guide/safety-protection-1
适用客户
对安全能力有较高要求但是对Nacos安全体系缺少了解的客户。
新增功能/规格
安全水位展示:即时了解安全状态 为了让用户快速了解当前的安全配置状况,MSE Nacos安全防护模块提供了安全水位展示功能。用户可直接在Nacos实例的基础信息页面查看各项安全功能的开启状态。系统会突出显示尚未开启的安全功能,并提供跳转链接,帮助用户快速了解并配置认证鉴权、传输加密和存储加密等功能,从而减少大量的学习和操作时间。 一般来说,MSE Nacos的零信任安全最佳实践包括: ● 客户端与控制台的认证鉴权:基于阿里云RAM体系的无访问密钥(AK)认证鉴权 ● 存储安全:基于阿里云KMS的配置加密 ● 传输安全:基于TLS的传输加密 没有安全水位透出,用户需花费大量时间学习Nacos安全实践,缺乏认知,难以了解当前的安全状况。安全水位功能支持实例首页展示用户当前安全功能开启状态,提升用户对安全能力的认知和管理。 认证鉴权模块:直观配置自定义权限策略 MSE Nacos认证鉴权分为控制台鉴权与客户端鉴权,基于阿里云的RAM访问控制体系,该体系灵活性极高,支持多种自定义权限策略。然而用户在配置过程中常遇到以下问题: ● 自定义权限策略可读性差,配置难度大 ● 认证鉴权能力边界难理解 ● 注册鉴权与配置鉴权易混淆 为了解决这些痛点,安全防护-认证鉴权模块支持用户以白屏化方式配置自定义权限策略: ● 图形化配置:支持控制台鉴权与客户端鉴权的图形化权限策略配置并导出。 ● 授权粒度选择:支持实例级、命名空间级、Group级、服务级、配置级的授权粒度选择。 ● 灵活权限配置:通过资源列表指定授权资源的读写或只读权限,支持服务与配置前缀和后缀名称匹配。 新增客户端模拟鉴权:无损流量鉴权演练 开启客户端鉴权后,Nacos服务端会对所有不符合鉴权要求的客户端进行拦截,但贸然开启正式鉴权存在如下风险: ● 业务中断风险:由于鉴权配置的遗漏或错误导致未授权的业务客户端无法通过鉴权,可能引发业务中断和服务不可用。 ● 高排查成本:用户需手动排查未配置鉴权的客户端,过程繁琐且耗时,增加运维负担。 模拟鉴权功能允许用户在不影响现有业务的情况下预先模拟鉴权操作,对所有客户端的鉴权配置进行全面检测和统计。未通过鉴权的客户端会被记录但不会实际拦截流量。通过高效安全预检,实现业务无缝过渡,充分降低配置风险。
