今年4月,36个大型网络被由俄罗斯**控制的俄罗斯电信公司劫持。研究人员认为,BGP表被认为篡改了,可能是俄罗斯电信公司所为。让俄罗斯电信公司如此可疑的证据,是所涉技术及金融服务公司的高度集中:比如万事达卡、维萨卡、汇丰银行和赛门铁克。
虽然一直BGP滥用相对规模较小,持续时间较短,且有时候是意外,但漏洞却是真实存在的。NIST警告:“这些漏洞尚未被大幅利用的事实,不应让你觉得放松。想想我们的关键基础设施有多少依赖互联网技术——交通运输、通信、金融系统等等。总有一天,有人会有那个动机。”
RPKI允许第三方加密验证互联网地址块和互联网自治系统的所有权声明。源验证提供协议扩展和攻击,让BGP路由器可以使用RPKI数据监测并过滤未经授权的BGP路由声明。路径验证提供进一步的协议扩展,让BGP路由器可以加密验证构成BGP路由的网络序列(自治系统路径)。
源验证将遏阻简单路由劫持攻击和错误配置(无意的),而路径验证将阻止更复杂和隐秘的路由绕道攻击。二者结合,便可提供一套完整的解决方案,解决原始BGP中发现的路由漏洞。
这3个组件中的规范如今已经完成。*3个组件——路径验证,也被称为BGPsec,于9月由IETF作为 RFC 8205 发布。不过,协议的应用,又是另一回事了。
*1个组件RPKI,于2012年2月在 RFC 6480 中发布。到2016年,尽管全部5个区域互联网注册机构都支持RPKI,路由源授权(ROA)的采纳却迟缓又零散。仅不到7%的**BGP声明是ROA覆盖之下的。RPKI在欧洲(ROA覆盖的地址空间在30%以下)和拉丁美洲(13%)的采纳,要比在北美(3%)要快很多。
随着SIDR的成型,BGP这个1989年的临时解决方案终于有了安全性。该标准能否在大型BGP攻击搞摊整个互联网之前得以**部署,我们尚拭目以待。反正,总有一天,总会有人有那个动机尝试一把的。
API网关快速接入手册
API网关(API Gateway),是阿里云提供API托管服务,涵盖API发布、管理、运维、售卖的全生命周期管理的产品,辅助用户简单、快速、低成本、低风险的实现微服务聚合、前后端分离、系统集成,向合作伙伴、开发者开放功能和数据。下面将介绍API网关的快速接入流程,帮助您快速开放API。
创建分组
API分组指管理API的单元,一般将一套完整功能集合的API归为一个分组。
在特定Region(Region较好和后端服务在同一个Region)下,在API网关控制台菜单中选择“分组管理->创建分组”。
绑定域名
需要为每个分组绑定一个自定义域名,用于访问该分组下的API。
注意:该自定义域名需要先备案。
1、将自定义域名CNAME到分组二级域名上
查看分组二级域名:
2、绑定自定义域名
在分组详情页面点击“绑定域名”,输入自定义域名。
3、绑定证书(HTTPS访问需要)
在分组详情页面对应的自定义域名上添加证书绑定即可。
创建API
创建API是对某个API进行定义的过程,包含协议类型,参数映射,服务地址等。
调试API
调试API主要检测API配置是否正确。检测的是非发布环境的API。
点击"API列表"中的API名称列,进入API详情页面。
点击左侧的“调试API”
发布API
将API定义发布到对应的环境,各个环境相互隔离
每次编辑API定义后,需要重新发布后才生效。
授权给APP
APP是调用API的身份,调用前,需要先创建APP(菜单 调用API->应用管理),然后将某个环境的API授权给对应的APP,就可以用这个APP下的key和secret发起调用。