InfluxData与Ockam合作,为时序数据带来信任
作者:社区 / 产品,用例,开发者,公司
2021年2月22日
导航至
本文是Matthew Gregory在Ockam博客上发表的文章的重新发布。
让我们来探讨如何在零信任环境中构建使用可信时序数据的应用程序!要信任一个应用程序,我们需要信任为其提供数据的来源。越来越多地,应用程序依赖于数据中心之外、边缘或物联网中的时序数据。这意味着我们需要以新的方式考虑信任和数据。
这就是为什么InfluxData和Ockam合作,为时序数据流和数据仓库带来信任。首先,让我们来看看应用程序开发者面临的挑战:
网络边界不足以保证数据层的信任、安全和隐私。
时间序列数据通常需要穿越多个网络来连接边缘机器和云端的InfluxDB。这使得控制网络边界变得几乎不可能,尤其是对于应用程序开发者来说。
零信任网络架构原则为我们提供了如何考虑边缘和InfluxDB之间连接的指导。零信任架构基于以下假设:
- 网络始终是敌对的,
- 网络始终存在外部和内部威胁,
- 网络本地性不足以确定网络的可信度,
- 每个设备、用户和网络流都必须进行身份验证和授权,
- 安全性和隐私策略必须是动态的,并尽可能从多个数据源计算得出。
对于仅仅想要将运行在边缘设备上的代理(如Telegraf)连接到InfluxDB云端实例的应用程序架构师来说,构建一个对网络边界不信任的应用程序可能会很具挑战性。这就是为什么InfluxData与Ockam合作的原因。Ockam抽象出了构建此类分布式应用程序所需的复杂性。
让我们看看构成Ockam系统的组件,以及它们如何为时间序列数据流提供安全和隐私。
什么是Ockam?
Ockam是一个开源 工具套件、编程库和基础设施,它使得构建与云服务和其他设备安全、私密、可信通信的设备变得容易。安全、隐私和信任是应用层关注点,物联网开发者应该拥有简单的工具来细致控制这些应用程序方面的特性。
Ockam采用了经过验证的加密构建块,并将其应用于解决物联网和边缘计算中常见的通用问题,如
- 安全、快速地注册大量设备。
- 可扩展的配置、身份密钥和凭证的证明、旋转和吊销。
- 在低带宽、断断续续连接、多协议物联网和边缘网络拓扑上实现端到端加密通信。
目标是使用安全、高级的应用程序接口以多种编程语言提供这些功能,这些接口易于正确使用且难以误用。让我们来看看Ockam工具的一些核心特性
端到端加密安全通道
Ockam的安全通道提供端到端加密和相互认证的通信,这种通信可以抵御窃听、篡改和伪造跨多个应用层跳数发送的消息。这使得应用程序可以不对网络边界产生信任,而是将数据的详细控制权交给应用程序开发者,决定在系统中哪些数据在何处被揭示。
机器身份和访问管理
应用程序开发者需要对其系统中的数据访问进行精细控制,这只有在所有交互都进行相互认证的情况下才能实现。为了实现这一点,所有设备都必须具有唯一的加密可证明的身份,访问控制必须使用安全的凭证进行管理。在规模上注册大量设备和管理它们的密钥和凭证的生命周期可能相当具有挑战性。Ockam包括易于使用的加密协议,如
- 设备注册
- 策略执行
- 密钥管理、旋转和吊销
- 凭证发放...等等。
为InfluxDB开发者构建
Ockam 包含一系列强大的加密协议,通过简单易用的编程库提供访问,使应用程序开发者能够专注于其物联网和时序数据相关应用程序的信任规则和政策。
Ockam 编程库可以帮助轻松地将业务特定的细粒度访问控制逻辑编码到应用程序中,而无需处理加密协议的复杂性或退回到基于网络边界的弱、粗粒度安全机制。如果您正在构建一个使用 InfluxDB 的应用程序,使用 Ockam 增加信任非常简单。Ockam 的 InfluxDB 和 Telegraf 扩展程序易于集成。
使用 Ockam 与 InfluxDB 有两种方法。让我们从 Ockam Hub 开始。
Ockam Hub 是一个托管在云环境中的服务,它使得在边缘和 InfluxDB 之间路由无限数量的机器之间的消息变得容易。虽然它可能在原型中工作,但 TLS 并不是在规模上保护我们的数据流的正确工具。在现实世界中,控制多个网络之间的网络边界是不可能的,在企业规模上发行唯一的令牌或凭证是困难的,并且对于典型的应用程序层开发者来说并不友好。Ockam Hub 解决了所有这些问题,并更多。
如果您正在将 Telegraf 代理部署到我们的机器中,我们也有相应的解决方案。OckamD 是一个与 Telegraf 一起运行的守护程序,可以从 Github 下载。OckamD 和 Telegraf 预配置以创建一个端到端加密的消息通道,直到您在云中的 InfluxDB 实例。
就这么简单!
