gRPC 通信框架实现存在数据泄露等安全挑战
gRPC 是一个高性能、开源和通用的 RPC 框架,面向移动和 HTTP/2 设计。目前提供 C、Java 和 Go 语言版本,分别是:grpc, grpc-java, grpc-go. 其中 C 版本支持C, C++, Node.js, Python, Ruby, Objective-C, PHP 和 C# 支持。 当前企业正在慢慢改用微服务架构来构建面向未来的应用程序,微服务使企业能够有效管理基础架构,轻松部署更新或改进,并帮助IT团队的创新和学习。它还可以帮助企业能够设计出可以轻松按需扩展的应用程序,此外,随着企业转换架构(从传统的单片式服务过渡到微服务),出现了在微服务之间进行有效通信的需求。客户端和服务器应用程序之间的这种关键而复杂的通信可以通过gRPC来处理,该框架促进了已连接系统之间的透明和高效的通信。尽管它很新(仅在2015年由Google开发),但它很快就获得了普及和采用。 在此文中,趋势科技将讨论开发人员在转向gRPC并在其项目中实现gRPC时可能面临的安全隐患。由于安全的gRPC API在整个应用程序安全中起着至关重要的作用,因此趋势科技提供了有关如何保护gRPC实施免受威胁并缓解风险的建议。 什么是gRPC? gRPC可用于设计要求准确性、效率和语言独立性的新协议,因为它支持服务器和客户端的多种语言。这是一个云原生计算(CNCF)项目,并已被各大公司采用,例如流行的视频流网站Netflix,金融服务公司Square和平台即服务(PaaS)公司Docker。 将gRPC与其他RPC框架(例如SOAP和REST)进行了比较,尽管RESTful API被广泛使用,并且通常使用HTTP在应用程序或服务与JavaScript Object Notation(JSON)数据格式之间交换信息,但是它们具有性能和基于文本的方向限制。 许多组织已经将其API从REST迁移到gRPC,以利用更适合于服务间通信的gRPC二进制协议。默认情况下,gRPC使用HTTP / 2(基于二进制的协议)作为底层, HTTP / 2在一个TCP连接中支持多个流和请求,与其之前的HTTP / 1.0不同,HTTP / 1.0被设计为具有“单一请求,单一应答”方案。HTTP/1.1中的HTTP管道解决了这个问题,HTTP 2.0仍然具有更好的性能和更受支持。 (编辑:ASP站长网) |