Projetando uma Arquitetura Segura para Sistemas Distribuídos

Proteger sistemas distribuídos é um desafio complexo devido à diversidade e escala dos componentes envolvidos. Com múltiplos serviços interagindo através de redes potencialmente não seguras, o risco de acesso não autorizado e violações de dados aumenta significativamente. Este artigo explora uma abordagem prática para proteger sistemas distribuídos usando um projeto de código aberto. O projeto demonstra como integrar vários mecanismos e tecnologias de segurança para enfrentar desafios comuns de segurança, como autenticação, autorização e comunicação segura.

Entendendo os Desafios de Segurança em Sistemas Distribuídos

Sistemas distribuídos envolvem múltiplos serviços ou microsserviços que devem se comunicar de forma segura através de uma rede. Os principais desafios de segurança em tais arquiteturas incluem:

1. Comunicação segura: Garantir que os dados transmitidos entre serviços estejam criptografados e protegidos contra espionagem ou adulteração
2. Autenticação: Verificar as identidades de usuários e serviços para prevenir acesso não autorizado
3. Autorização: Controlar o que usuários e serviços autenticados têm permissão para fazer, com base em seus papéis e permissões
4. Aplicação de políticas: Implementar controles de acesso detalhados e políticas que governam interações entre serviços e usuários
5. Gestão de certificados: Gerenciamento de certificados digitais para criptografar dados e estabelecer confiança entre serviços

Este projeto de código aberto aborda estes desafios usando várias tecnologias e soluções integradas.

Configuração e instalação do projeto

O projeto começa com a configuração de um ambiente seguro usando scripts de shell e Docker. A configuração envolve a provisionação de certificados digitais e o início dos serviços necessários para garantir que todos os componentes estejam prontos para comunicação segura.

Passos para a configuração do ambiente

1. Provisionamento de Certificados

O projeto usa um script de shell (provisioning.sh) para simular uma Autoridade de Certificação (CA) e gerar os certificados necessários para os serviços.

   ./provisioning.sh

2. Iniciando Serviços

Docker Compose é usado para iniciar todos os serviços definidos no projeto, garantindo que eles estejam configurados corretamente para operação segura.

   docker-compose up

3. Testando Comunicação Serviço-a-Serviço

Para validar a comunicação de serviço para serviço usando certificados e tokens JWT, o script test_services.sh está fornecido. Este script demonstra como diferentes serviços interagem de forma segura usando seus certificados atribuídos.

Resolvendo Desafios de Segurança em Sistemas Distribuídos

O projeto integra várias tecnologias chave para abordar os desafios de segurança primários mencionados anteriormente. Aqui está como cada desafio é abordado:

1. Comunicação Segura com Mutual TLS (mTLS)

Desafio

Em um sistema distribuído, os serviços devem se comunicar de forma segura para evitar acesso não autorizado e brechas de dados.

Solução

O projeto usa Mutual TLS (mTLS) para segurar a comunicação entre serviços. O mTLS garante que ambos, o cliente e o servidor, autentiquem um ao outro usando seus respectivos certificados. Esta autenticação mútua evita que serviços não autorizados comunique com serviços legítimos.

Implementação

O Nginx está configurado como um proxy inverso para tratar de mTLS. Ele exige que ambos os certificados de cliente e de servidor sejam usados para estabelecer uma conexão segura, garantindo que os dados transmitidos entre serviços permaneçam confidenciais e impeditos de ser adulterados.

2. Autenticação com Keycloak

Desafio

A autenticação adequada de usuários e serviços é crítica para evitar acesso não autorizado.

Solução

O projeto utiliza o Keycloak, uma solução de gerenciamento de identidade e acesso de código aberto, para gerenciar a autenticação. Keycloak suporta múltiplos métodos de autenticação, incluindo OpenID Connect e credenciais de cliente, tornando-o adequado para ambas as autenticações de usuários e serviços.

• Autenticação de Usuários:
  Os usuários são autenticados usando OpenID Connect. O Keycloak é configurado com um cliente (appTest-login-client) que gerencia os fluxos de autenticação de usuários, incluindo o login, a emissão de tokens e o tratamento do callback.
• Autenticação de Serviços:
  Para a autenticação de serviço a serviço, o projeto utiliza um cliente Keycloak (client_credentials-test) configurado para o tipo de concessão de credenciais de cliente. Este método é ideal para autenticar serviços sem a intervenção de usuários.

Exemplo de Fluxo de Autenticação

1. Os usuários navegam até a página de login.
2. Após o sucesso do login, Keycloak redireciona o usuário para uma página de callback com um código de autorização.
3. O código de autorização é então trocado por um token JWT, que é usado para as solicitações subsequentes. O arquivo authn.js no diretório nginx/njs fornece uma implementação detalhada deste fluxo.

Exemplo de Autenticação de Serviço Usando Credenciais do Cliente

curl -X POST "http://localhost:9000/realms/tenantA/protocol/openid-connect/token" \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "grant_type=client_credentials" \
     -d "client_id=client_credentials-test" \
     -d "client_secret=your-client-secret-here"

3. Autorização do Usuário com Open Policy Agent (OPA) e JWT

Desafio

Aplicação de controles de acesso granulares para garantir que usuários e serviços autenticados apenas tenham acesso a recursos autorizados

Solução

O projeto utiliza uma combinação de Open Policy Agent (OPA) e tokens JWT para aplicar políticas de autorização. O projeto demonstra três estratégias diferentes de validação de JWT para garantir uma robusta segurança:

1. Recuperando certificados de Keycloak: Faz a recuperação dinâmica de certificados de Keycloak para validar o token.
2. Usando x5t (Impressão digital): Utiliza a impressão digital embutida no token para recuperar a chave pública de um gerenciador de confiança local.
3. Validação de certificado embutida: Valida o token usando um certificado embutido, garantindo que o certificado é validado contra uma Autoridade de Certificação (CA) confiável.

Consulte o arquivo nginx/njs/token.js para a implementação detalhada destas estratégias.

4. Aplicação de Política com Open Policy Agent (OPA)

Desafio

Implementar políticas de controle de acesso dinâmicas e flexíveis para ambos os serviços e usuários

Solução

O OPA é usado para aplicar políticas de acesso com detalhes. As políticas são escritas em uma linguagem declarativa (Rego) e armazenadas no diretório opa/. Essas políticas determinam as condições sob as quais os serviços podem se comunicar e os usuários podem acessar recursos, garantindo que o controle de acesso é aplicado de forma consistente em todo o sistema.

5. Gerenciamento de Certificados

Desafio

Gerenciar certificados digitais para serviços para estabelecer confiança e garantir comunicações seguras.

Solução:
O projeto inclui um robusto sistema de gerenciamento de certificados. Um script de shell (provisioning.sh) é usado para simular uma Autoridade de Certificação (CA) e gerar certificados para cada serviço. Esta abordagem simplifica o gerenciamento de certificados e garante que todos os serviços tenham as credenciais necessárias para a comunicação segura.

Nós também adicionamos um ponto final para atualizar o certificado de serviço sem a necessidade de reiniciar o nginx.

curl --insecure  https://localhost/certs  --cert certificates/gen/serviceA/client.crt --key certificates/gen/serviceA/client.key -F cert=@certificates/gen/serviceA/client.crt -F key=@certificates/gen/serviceA/client.key

Conclusão

Construir um sistema distribuído seguro requer consideração cuidadosa de vários aspectos de segurança, incluindo comunicação segura, autenticação, autorização, aplicação de políticas e gerenciamento de certificados. Este projeto de código aberto fornece um exemplo abrangente de como integrar vários mecanismos de segurança para abordar esses desafios com eficácia.

Ao seguir as configurações e o setup demonstrados neste projeto, os desenvolvedores podem aproveitar o TLS muto, Keycloak, Open Policy Agent e Nginx para construir uma arquitetura de segurança robusta. Essas tecnologias, quando combinadas, fornecem uma forte base para proteger sistemas distribuídos contra uma ampla gama de ameaças, garantindo tanto a proteção de dados quanto o controle de acesso seguro.