Домашний рецепт межсервисной авторизации

Безопасность высоконагруженных систем

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Разработчики, архитекторы, тимлиды и все остальные, перед кем встает проблема внедрения межсервисной авторизации

Тезисы

Озон банк - это сотни микросервисов, и доступ между ними должен быть строго регламентирован: каждый сервис имеет право стучаться только в определенные ручки своих соседей.

Мы перебрали готовые решения (от OAuth2 до mTLS), но поняли, что они либо не дают нужной гранулярности, либо слишком тяжелы для внедрения в нашу инфраструктуру. Поэтому мы сделали свою распределенную систему межсервисной авторизации.

В докладе расскажу, почему мы отказались от готовых решений, как подписываем gRPC-запросы и управляем доступом без единой точки отказа (ну почти).
И да, это оказалось проще, чем мы думали вначале!

Иван Решетин

Озон Банк

Руководитель отдела банковской платформы в озон банке с 2023г. До этого работал в Яндексе, Авто.ру, VK (mail.ru) и Рамблере

Видео

Другие доклады секции

Безопасность высоконагруженных систем

Как обеспечить единую, масштабируемую и прозрачную модель авторизации в Lakehouse без даунтайма и с минимальным операционным циклом? 

Маслов Сергей

X5 Tech

Инженерный редизайн: как мы построили кроссплатформенную капчу с Low Latency и ML-ядром

Руслан Алимамадов

VK

DDoS-атаки глазами облачного провайдера

Кирилл Малеванов

Selectel

Конфигурация без конфиг-сервера: синхронизация 52 нод через pg_notify / pg_listen с гарантией доставки

Дмитрий Старов

Диасофт

52 000 RPS валидации токенов без единой базы сессий

Дмитрий Старов

Диасофт

Карта уязвимых мест PostgreSQL при аутентификации, авторизации и использовании паролей: типичные риски и готовые решения

Павел Селезнев

СберТех

Гонка интеллектов на миллионах запросов: киберзащита против адаптивных ботов

Дмитрий Конюк

WMX

Чувствительные микросервисы

Дмитрий Викулов

Мир Plat.Form (НСПК)

Антибот без боли: защита от автоматизации без вреда для пользователей

Денис Ульянов

Wildberries

Проектируем архитектуру безопасной разработки для внедрения, а не в стол. Вокршоп

Илья Шаров

MTS Web Services

Принципы DevSecOps при испольовании Kubernetes

Андрей Семенюченко

Лаборатория Касперского

Инженерные решения, которые позволяют анализировать HTTP-трафик inline с p99 < 1 мс

Яков Миренков

WMX

Аудит безопасности контейнеризированных приложений в Linux с помощью Tetragon

Виталий Шишкин

Positive Technologies

Три кита безопасной разработки и 22 слона

Андрей Карпов

PVS-Studio

Как готовить TPM 2.0

Алексей Плетнев

Базис-Центр

Практики разработки безопасных информационных систем на основе политик безопасности

Анастасия Павлова

Лаборатория Касперского

Когда API нет - данные всё равно утекут

Арсений Савин

Effective

Zero trust - trust no device (user workstations)

Антон Калугов

OZON

Атомарный аудит 95 000 событий/сек без оверхеда и потерь

Дмитрий Старов

Диасофт