Google ALTS:验证Aporeto的创新安全模型

Google对其内部基础架构的安全性进行了大量投资。 他们公开谈论自己的举措,这有助于教育更广泛的社区,并且也可能对公司有利。 最近,Google发布了一份白皮书,概述了使用内部开发的协议ALTS(应用程序层传输安全性)来保护其所有内部应用程序之间的通信的方法。 制定此协议的原理反映了Aporeto保护容器和微服务的方法以及我们的开源库Trireme Project。 作为安全初创公司,这是对我们安全性方法的验证。 我将概述原因。 Aporeto的方法始终植根于将安全性与网络基础架构脱钩的过程中,从而可以在不损害应用程序安全性的情况下实现更高的自动化程度。 ALTS论文重点介绍了帮助我们实现这一目标的三个共同原则: 透明度:安全性必须对应用程序透明,从而使开发人员可以专注于应用程序开发。 这就要求能够透明地加密,认证和授权任何通信,而无需更改应用程序。 在Aporeto,我们将双向TLS与ECDSA结合使用以进行密钥交换,这是加密技术中的最先进技术。 身份模型: IP地址不再是动态公共云环境中的持久实体,这对于可见性和安全策略而言毫无意义。 使用Aporeto,所有通信身份验证,授权和可见性都是通过与容器或微服务绑定的受信任和持久身份进行的。 该模型有助于实现无缝的微服务弹性,负载平衡和重新计划,而不会影响安全性。 大规模简化:即使采用大型基础架构,Google采用的任何解决方案也必须易于操作。 以下是我们采用的几个原则,并在ALTS论文中进行了强调:…