今日动态 返回首页
会员注册 登录 生物通快讯免费订阅

  • 生物通官微
    陪你抓住生命科技
    跳动的脉搏

生物通首页  >  今日动态  >  正文

SafeTree:微服务的表达式树策略

《Proceedings of the ACM on Programming Languages》:SafeTree: Expressive Tree Policies for Microservices

【字体: 时间:2025年11月07日 来源:Proceedings of the ACM on Programming Languages

编辑推荐:

  微服务安全控制中,现有部署工具仅支持有限单跳策略,无法利用服务树结构进行精细管控。本文提出一种基于可见ably pushdown自动机(VPA)的政策语言与动态执行机制,通过在服务网格(如Istio)上构建运行时监控器,在不修改服务代码的前提下实现多跳通信策略的细粒度控制,实验验证其毫秒级低延迟特性。

  

摘要

基于微服务的应用程序由多个称为微服务的独立组件组成,控制服务之间的通信对于确保安全性至关重要。目前,服务间的通信是通过微服务部署工具来配置的。然而,这些工具仅支持有限类别的单跳策略,这些策略可能过于宽松,因为它们忽略了微服务调用中的复杂服务树结构。能够表达服务树结构的策略可以为开发团队和安全团队提供更细粒度的通信模式控制。
为此,我们设计了一种表达能力强的策略语言来描述服务树结构,并开发了一种基于可视化下推自动机的动态执行机制来强制执行这些策略。我们的技术是非侵入式的:它不需要对服务实现进行任何修改,也不需要访问微服务代码。为了实现我们的方法,我们在服务网格(一种新兴的网络基础设施层)之上构建了一个运行时监控器,该监控器可以在部署过程中控制服务间的通信。具体来说,我们利用了Istio(一种流行的服务网格实现)的可编程网络流量过滤功能来实现在线且分布式的监控。实验表明,我们的监控器能够在几乎不增加毫秒级延迟开销的情况下确保丰富的安全性特性。
相关新闻
生物通微信公众号
微信
新浪微博
我要投稿
  • 搜索
  • 国际
  • 国内
  • 人物
  • 产业
  • 热点
  • 科普
  • 急聘职位
  • 高薪职位

知名企业招聘

热点排行

    新闻专题

    今日动态 | 人才市场 | 新技术专栏 | 中国科学人 | 云展台 | BioHot | 云讲堂直播 | 会展中心 | 特价专栏 | 技术快讯 | 免费试用

    版权所有 生物通

    Copyright© eBiotrade.com, All Rights Reserved

    联系信箱:

    粤ICP备09063491号