Как обезопасить вход в систему в Cloud Foundry?

Question

Я видел, что одним из наиболее рекомендуемых шаблонов управления журналами в Cloud Foundry является использование предоставляемой пользователем службы в качестве приемника журналов.

Однако в документации PCF нет указаний на то, какзащитить эту службу или как предоставить информацию для проверки подлинности, чтобы клиент мог использовать эту службу для ведения журнала.

Что мешает другим вредоносным программам использовать мою службу ведения журнала, если у них есть URL-адрес для моей службы ведения журнала?

Answer 1

Это на самом деле не то, что делается со стороны клиента, и это будет зависеть от вашего сервиса / провайдера журналов.

Обычно есть что-то уникальное, что вы должны предоставить через утечку журналов.Я считаю, что некоторые сервисы позволяют вам иметь случайно сгенерированное имя хоста, куда вы отправляете логи.Сервисы, которые используют HTTPS для транспорта, по-видимому, требуют, чтобы вы указали токен в URL, где токен является уникальным UUID, который предоставляет вам сервис.

Со стороны Cloud Foundry вы должны поместить любую информацию,Журнал сервис / провайдер выдает в сервис предоставляемый пользователем.Вы могли бы защитить это, контролируя, кто имеет доступ к организации / пространству, где предоставляется услуга, и ограничивая роли, предоставляемые тем, у кого есть доступ.

Помимо этого, обратитесь к поставщику услуг регистрации, чтобы увидетькакие дополнительные меры безопасности или меры фильтрации они обеспечивают, чтобы кто-то не мог отправлять нежелательные журналы в вашу службу.