注册中心安全
在 Dubbo 中更安全的使用注册中心
Dubbo 支持注册中心的扩展,理论上用户可以基于该扩展机制启用任意的注册中心,这带来了极大的灵活的,但同时也要意识到其中潜藏的安全性风险。
Dubbo 2.7 官方版本提供的注册中心有如下几种:
- Zookeeper
- Redis
- Nacos
- Etcd
- Consul
- ……
从 Dubbo 3.0 开始默认仅提供以下注册中心支持:
- Zookeeper
- Nacos
对于注册中心,Dubbo 只能完全信任其推送的数据,因此如果注册中心存在安全漏洞,可能会导致 Dubbo 服务被恶意注册或者是被恶意推送数据,从而导致服务被攻击。 因此为了保证注册中心的安全性,Dubbo 官方建议您:
- 开启注册中心的鉴权机制,如 Zookeeper 的 ACL 机制、Nacos 的用户名密码机制等
- 避免将注册中心暴露在公网环境下,尽量将注册中心部署在可信内网环境下
最后修改 December 15, 2023: Update security docs (#2878) (cd1be029d5a)