O complemento Confluent para Ockam Orchestrator permite fluxos de mensagens criptografadas de ponta a ponta e invioláveis ​​por meio do Confluent Cloud, sem alterações de código. A solução drop-in permite que as empresas excedam os requisitos comuns de segurança e conformidade sem a necessidade de rearquitetura ou trabalho de desenvolvimento dispendiosos.  As implantações do Kafka geralmente combinam tokens de autenticação e Transport Layer Security (TLS) para proteger os dados que entram e saem dos tópicos do Kafka. Embora isso proteja os dados em trânsito pela Internet, não fornece uma solução completa para proteger os dados enquanto eles trafegam   Kafka. O corretor Kafka poderá ver temporariamente os dados de texto sem formatação. pelo  A criptografia de comunicação dentro e fora do seu agente Kafka combinada com a criptografia de dados em repouso, dentro do Kafka, não será proteção suficiente contra uma violação de dados se o agente Kafka ou a infraestrutura em que está sendo executado estiver comprometido, pois os dados de texto simples e as chaves para descriptografar os dados estão disponíveis na memória. A Ockam resolve esses problemas, ao mesmo tempo em que oferece benefícios adicionais de mitigação de risco e garantias de integridade de dados, por meio do complemento Confluent para Ockam Orchestrator.   Confie nos seus dados em movimento  Sua equipe decidiu que integrar uma plataforma de processamento de fluxo em seus sistemas é a melhor maneira de atender às necessidades de escala e agilidade de seus negócios, e o Apache Kafka foi a escolha óbvia para a plataforma a ser usada. Você também decidiu aproveitar o uso de uma plataforma gerenciada experiente no Confluent Cloud para que sua equipe possa se concentrar em agregar valor em vez de executar a infraestrutura. O desenvolvimento está completo, a equipe tem uma solução funcional onde os produtores podem enviar dados para o Confluent Cloud e os consumidores podem recebê-los do outro lado. A comunicação entre seus produtores, consumidores e o Confluent Cloud é criptografada e segura usando o Transport Layer Security (TLS), então você está prestes a mover as coisas para o uso de produção.  Uma análise de segurança e conformidade revelou um problema. Embora   confie na Confluent Cloud, o foco maior na redução do risco da cadeia de suprimentos significa que a movimentação de dados pelos sistemas sem criptografia não atende mais aos seus requisitos de segurança. Como você reduz o risco para o seu negócio caso algum outro fornecedor em sua cadeia de suprimentos tenha uma violação de segurança? Você precisa ser capaz de garantir que: você  Não há possibilidade de terceiros lerem os dados enquanto estão em trânsito  Um terceiro não pode modificar os dados enquanto estão em trânsito  Somente partes autenticadas e autorizadas podem produzir dados  Sem soluções para ambos, existe o risco de que uma violação de segurança em sua própria cadeia de suprimentos possa não apenas expor seus dados confidenciais, mas também causar escalações descendentes inesperadas.   Integre sem alterações de código  Deixe-me levá-lo através de um exemplo de trabalho completo de como, em apenas alguns minutos, você pode configurar e integrar uma solução completa de ponta a ponta que garante que seus dados sejam sempre criptografados e à prova de adulteração durante o movimento por meio de Kafka e Confluent .   Observação: os exemplos de código abaixo podem mudar à medida que continuamos a melhorar a experiência do desenvolvedor. Verifique   para obter a documentação mais atualizada. https://docs.ockam.io/   Configuração inicial de Ockam  Se você já configurou o Ockam anteriormente, pode pular esta seção e ir direto para os dois exemplos abaixo.   brew install build-trust/ockam/ockam     (se você não estiver usando o brew para gerenciamento de pacotes, temos   instruções de instalação para outros sistemas em nossa documentação)  Depois de instalado, você precisa registrar sua identidade local no Ockam Orchestrator, execute o comando abaixo e siga as instruções fornecidas:   ockam enroll   Configurar o complemento Confluent  Estamos assumindo aqui que você já tem um cluster de trabalho no Confluent Cloud (e as ferramentas de linha de comando Kafka que vêm com o  ), portanto, a primeira etapa é configurar seu projeto Ockam para usar o complemento Confluent, apontando-o para o endereço do servidor de bootstrap:   distribuição Kafka mais recente   ockam project addon configure confluent \ --bootstrap-server YOUR_CONFLUENT_CLOUD_BOOTSTRAP_SERVER_ADDRESS  Em seguida, precisaremos salvar nossa configuração do projeto Ockam para que possamos usá-la posteriormente para registrar nossos produtores e consumidores, portanto, salve a saída em um arquivo com o nome   : project.json   ockam project information default --output json > project.json  Como administrador do projeto Ockam, você pode controlar quais outras identidades podem se inscrever em seu projeto, emitindo tokens de registro de uso único exclusivos. Vamos começar criando um para o nosso consumidor:​   ockam project enroll --project-path project.json --attribute role=member > consumer.token  ... e depois um para o primeiro produtor:   ockam project enroll --project-path project.json --attribute role=member > producer1.token  O último arquivo de configuração que precisamos gerar é   , que será onde você armazena o nome de usuário e a senha que você usa para acessar seu cluster no Confluent Cloud: kafka.config   cat > kafka.config <<EOF request.timeout.ms=30000 security.protocol=SASL_PLAINTEXT sasl.mechanism=PLAIN sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required \ username="YOUR_CONFLUENT_CLOUD_USER_NAME" \ password="YOUR_CONFLUENT_CLOUD_PASSWORD"; EOF   Configurar consumidores para receber mensagens criptografadas  Em seu nó consumidor, você começará criando uma nova identidade (você precisará do Ockam Command instalado, então repita as instruções de instalação se estiver fazendo isso em um host separado):   ockam identity create consumer  Copie os arquivos   e   da seção anterior e use-os para autenticar e registrar essa identidade em seu projeto Ockam: project.json consumer.token   ockam project authenticate \ --project-path project.json \ --identity consumer \ --token $(cat consumer.token)  Um nó Ockam é uma maneira de conectar com segurança diferentes serviços entre si, então vamos criar um aqui que usaremos para nos comunicarmos através do cluster Confluent Cloud usando a identidade que acabamos de criar:   ockam node create consumer \ --project project.json --identity consumer  Uma vez concluído, agora podemos expor nosso servidor de inicialização Kafka. É como se o servidor de bootstrap Kafka remoto e os corretores se tornassem virtualmente adjacentes em   : localhost:4000   ockam service start kafka-consumer \ --node consumer \ --project-route /project/default \ --bootstrap-server-ip 127.0.0.1 \ --bootstrap-server-port 4000 \ --brokers-port-range 4001-4100  Copie o arquivo   e use-o para criar um novo tópico que usaremos para enviar mensagens entre o produtor e o consumidor nesta demonstração (neste caso, chamamos o tópico   ) kafka.config demo-topic   kafka-topics.sh \ --bootstrap-server localhost:4000 \ --command-config kafka.config \ --create \ --topic demo-topic \ --partitions 3  A etapa final é iniciar nosso script de consumo, apontando-o para   como nosso servidor de inicialização: localhost:4000   kafka-console-consumer.sh \ --topic demo-topic \ --bootstrap-server localhost:4000 \ --consumer.config kafka.config  O código do consumidor enviará toda a comunicação para o processo do nó Ockam que está sendo executado no host local. Esse processo Ockam local gerenciará automaticamente a geração de chaves criptográficas, estabelecendo um canal seguro para comunicação com quaisquer nós produtores e, posteriormente, recebendo, descriptografando e encaminhando quaisquer mensagens recebidas do corretor em execução em nosso cluster Confluent Cloud.   Envie mensagens criptografadas de vários produtores  Para ter mensagens para nosso consumidor processar, precisamos ter algo que as produza. Passaremos por um processo muito semelhante agora, mas criaremos as peças necessárias para um produtor. Começamos mais uma vez criando uma identidade no host do produtor (novamente, instale o comando Ockam nesse host, se necessário):   ockam identity create producer1  Copie os arquivos   e   da seção anterior e use-os para autenticar e se inscrever em nosso projeto Ockam: project.json producer1.token   ockam project authenticate \ --project-path project.json \ --identity producer1 \ --token $(cat producer1.token)  Crie um nó e vincule-o ao projeto e à identidade que criamos:   ockam node create producer1 \ --project project.json \ --identity producer1  E exponha nosso servidor de inicialização Kafka na porta   para que possamos começar a enviar mensagens por meio do Confluent Cloud: 5000   ockam service start kafka-producer \ --node producer1 \ --project-route /project/default \ --bootstrap-server-ip 127.0.0.1 \ --bootstrap-server-port 5000 \ --brokers-port-range 5001-5100  Certifique-se de copiar o arquivo   e iniciar seu produtor: kafka.config   kafka-console-producer.sh \ --topic demo-topic \ --bootstrap-server localhost:5000 \ --producer.config kafka.config  Seu código de produtor existente agora estará em execução, comunicando-se com o agente por meio do portal seguro que criamos que expôs o servidor de inicialização Kafka e os agentes Kafka em portas locais e enviando mensagens para o consumidor que foi configurado na etapa anterior. No entanto, todas as cargas de mensagem serão criptografadas de forma transparente quando entrarem no nó do produtor e não serão descriptografadas até que saiam do nó do consumidor. Em nenhum ponto do trânsito, o intermediário pode ver a carga útil da mensagem de texto sem formatação que foi inicialmente enviada pelo produtor.  Para aprofundar este exemplo, você pode repetir esta etapa para o número   de produtores, gerando um novo token de inscrição para cada um e, em seguida, repetindo as etapas desta seção. N  Se você observar as mensagens criptografadas dentro do Confluent Cloud, elas serão processadas como caracteres irreconhecíveis, como na captura de tela a seguir:   Fluxos de mensagens criptografadas de ponta a ponta  Um exemplo que leva apenas alguns minutos para ser implementado significa que pode ser fácil perder uma série de importantes melhorias de segurança e integridade que vêm dessa abordagem:    : cada consumidor e produtor gera suas próprias chaves criptográficas e recebe suas próprias credenciais exclusivas. Eles então os usam para estabelecer um canal seguro mutuamente confiável entre si. Ao remover a dependência de um serviço de terceiros para armazenar ou distribuir chaves, você pode reduzir sua área de superfície de vulnerabilidade e eliminar pontos únicos de falha. Chaves exclusivas por identidade    : ao empurrar o controle das chaves para as bordas do sistema, onde ocorre a criptografia e descriptografia autenticada, nenhuma outra parte na cadeia de suprimentos é capaz de modificar os dados em trânsito. Você pode ter certeza de que os dados que você recebe no consumidor são exatamente os que foram enviados por seus produtores. Você também pode ter certeza de que apenas produtores autorizados podem gravar em um tópico, garantindo que os dados em seu tópico sejam altamente confiáveis. Se você tiver requisitos ainda mais rigorosos, poderá assumir o controle de sua autoridade de credencial e aplicar políticas de autorização granulares. Transferência de dados à prova de adulteração    : os canais seguros da Ockam alternam regularmente chaves de autenticação e segredos de sessão. Essa abordagem significa que, se um desses segredos de sessão for exposto, sua janela total de exposição de dados será limitada à pequena duração em que o segredo estava em uso. A rotação das chaves de autenticação significa que, mesmo quando as chaves de identidade de um produtor são comprometidas, nenhum dado histórico é comprometido. Você pode remover seletivamente o produtor comprometido e seus dados. Com abordagens centralizadas de distribuição de chaves compartilhadas, existe o risco de que todos os dados atuais e históricos não sejam confiáveis ​​após uma violação porque podem ter sido adulterados ou roubados. A abordagem da Ockam elimina o risco de dados históricos comprometidos e minimiza o risco de dados futuros usando chaves de rotação automática. Janela de exposição reduzida  Todos esses benefícios são possíveis, hoje, sem alterações de código e alteração mínima de configuração nas implantações existentes.   Próximos passos  Se você ainda não seguiu o exemplo deste guia, você pode  gratuitamente seguindo as instruções em nossa documentação.   começar a usar Ockam  Se você quiser falar especificamente sobre este ou outros possíveis casos de uso para Ockam, a equipe ficará feliz em  .   Conversar com você  Como alternativa, você pode se juntar a nós e a uma comunidade cada vez maior de desenvolvedores que desejam criar confiança criando aplicativos seguros por design, no  ou em  .   Construa um servidor Trust Discord   GithubGenericName  Publicado também   . aqui

Build Applications That Trust Data-in-Motion

Este áudio é produzido no idioma original da história!

Como mover dados criptografados de ponta a ponta por meio do Kafka

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Modelo Bitcoin UTXO, alimentando um ecossistema único

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Modelo Bitcoin UTXO, alimentando um ecossistema único

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps