Istio中的安全策略

最新推荐文章于 2023-09-23 18:02:29 发布
最新推荐文章于 2023-09-23 18:02:29 发布
阅读量726 收藏
点赞数 1
分类专栏: Istio 文章标签: 服务网格
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JosephThatwho/article/details/114818829
版权

微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑以下安全问题:

  • 使用流量加密组织中间人攻击
  • 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略
  • 使用审计工具检索谁在什么时间做了什么操作
    Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。
    在这里插入图片描述
    Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。

上层架构

Istio的安全性涉及多个部分:

  • 用于密钥和证书管理的证书颁发机构(CA)
  • 配置API服务器分发给代理
    • 认证策略
    • 鉴权策略
    • 安全命名信息
  • 作为策略执行点的僚机和参数代理,用于客户端和服务端之间的安全通信
  • 一组用于管理遥测和审计的代理扩展
    在这里插入图片描述

Istio中的身份

在两个工作负载通信前必须先交换包含身份信息的凭证用于双向认证。客户端要验证服务器的安全命名信息,判断对方是否有工作负载授权运行。在服务端,服务器必须验证客户端有没有权限访问,以及根据审计策略,记录谁在什么时间访问,根据客户端使用的工作负载向其收费,并拒绝任何未能支付帐单的客户端访问工作负载。
Istio身份模型使用第一类服务身份判断请求的原始身份。可以更灵活,细粒度地表示用户、工作负载或一组负载。

身份和凭证管理

Istio使用X.509提供强身份识别。Istio代理,和Envoy一起运行,配合Istiod一起完成自动化大规模的密钥和证书轮换。
在这里插入图片描述

  1. istiod 提供一个gRPC服务接受凭证注册请求/certificate signing requests (CSRs)。
  2. 最开始,istio代理生成私钥,把私钥和CSR一起发送给istiod,请求注册。
  3. istiod中的CA验证CSR中携带的凭证,成功后,注册CSR,生成凭证。
  4. 工作服在启动后,Envoy通过密钥发现服务(SDS)接口请求同一个容器中的Istio代理,获取凭证和密钥。
  5. istio代理把从istiod收到的私钥和凭证通过Envoy SDS API发给Envoy。
  6. istio代理监控工作负载凭证的过期时间,定期重复上述过程。

认证

istio有两种认证类型:

  • peer authentication:同行认证用于服务见通信时认证发起连接的客户端。使用双向TLS加密作为全栈解决方案。
  • request authentication:校验请求中携带的凭证认证终端用户。Istio支持JWT认证,以及一些OIDC供应商的定制话认证。
    在所有情况下,Istio都通过自定义Kubernetes API将身份验证策略存储在Istio配置存储中。Istiod为每个代理保留最新的密钥。此外,Istio支持在许可模式下进行身份验证,以帮助您在强制执行之
最低0.47元/天 解锁文章
JosephThatwho
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Istio安全
qq_42747099的博客
04-01 319
认证 Istio授权 启用授权 使用RbacConfig对象启用Istio授权。 RbacConfig对象,可以指定mode值进行权限限制: OFF:禁用Istio授权。 ON:为网格的所有服务启用了Istio授权。 ON_WITH_INCLUSION:仅对inclusion字段指定的服务和命名空间启用Istio授权。 ON_WITH_EXCLUSION:对网格的所有服务启用Ist...
Istio 安全
Doub1's Blog
11-26 379
Istio 安全引言认证策略DestinationRule 的 TLSSettings 引言 本篇文章简单讲讲Istio安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求的服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
Istio的安全性
Linux_cui的博客
08-14 328
istio安全认证
istio服务安全
wenwenxiong的专栏
04-26 1444
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
Istio 1.0 # 基础认证策略 # 设置终端用户认证
来啊 快活啊
08-03 2387
Istio 0.8版本增强了服务间双向认证,1.0版本增加了终端用户认证的功能,这样整个服务网格的认证策略就齐全了;目前只支持JWT Authentication,可以使用authentication policy进行配置; 公司的OAuth2 Server使用的是Cloudary Foundary的UAA,Cloudary Foundary的UAA Server完全按照规范来设计的,所以跟Is...
istio 实战:JWT 认证
最新发布
01-05
在微服务架构Istio 作为一款强大的服务网格工具,提供了丰富的功能,包括服务间的通信、流量管理、安全性和遥测等。本实战主要关注的是 Istio 的安全性方面,特别是 JSON Web Token (JWT) 认证的实现。JWT 是一...
istio之流量管理能力.docx
09-03
4. 安全性:Istio还提供了强大的安全策略,包括服务之间的认证、授权和加密通信,确保微服务之间的通信安全。 总的来说,Istio通过服务网格服务代理,为微服务架构提供了强大的流量管理能力,简化了服务间通信的...
istio-1.7.3
10-26
3. **Mixer**(在较新版本已移除):在Istio早期版本,Mixer负责收集和处理服务网格的遥测数据,执行策略和配额检查。然而,从Istio 1.8版本开始,这些功能已被集成到Pilot,以简化架构。 4. **Citadel**:...
Istio网格流量治理基础
03-21
Istio网格流量治理基础是一...总的来说,Istio通过Envoy代理、Mixer策略执行、Pilot流量管理和Citadel安全机制,构建了一个全面的服务网格解决方案,帮助开发者和运维人员更好地管理和监控微服务架构的复杂网络流量。
sm3摘要算法python_Modbus TCP/IP协议安全加固关键技术研究与实现
weixin_39793189的博客
12-15 303
摘要:工业控制系统广泛应用于化工,核电,制造,交通等关键领域,其安全问题关系到国计民生.工业控制系统通信协议安全机制不健全已经成为"工业4.0","国制造2025"以及两化融合进程推进的瓶颈.因此,对工业控制系统通信协议安全性进行研究具有重要意义.本文聚焦在工业控制系统广泛应用的Modbus TCP/IP协议安全加固,对其存在的数据包缺乏完整性检测,认证,授权以及机密性保护进行研究,提出了一种...
服务网格Istio自身服务的安全风险
weixin_50205273的博客
05-11 2535
Istio是目前最受关注的服务网格之一,越来越多的公司开始落地Service Mesh架构,并将已有的系统接入Service Mesh。同时随着零信任网络的发展,东西向,南北向流量都需要提供足够的安全保护,因为Istio自身提供了多种安全特性,所以也出现不少基于Istio的零信任架构。在安全通常关注的重点是南北流量,而我们应该认识到,在云原生的环境下,东西流量安全也应该受到足够的重视。 在Istio默认的配置,其在集群内暴露了许多未授权和明文传输的服务。通常情况下,这会引起攻击者的注意,当恶意攻击者进
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2463
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1503
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
istio入门到精通【400节大课】
07-10
为什么使用istio:云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。教学内容:istio原理,envoy原理,envoy案例,envoy配置,istio crd配置,istio流量管理,istio安全配置,istio可观察性,istio策略控制,istio升级,istio常见问题,istio wasm,istio多控制面板,gateway-api,slime教学特色:a.1000多个istio实战案例,20多个envoy案例。800多个envoyfilter案例,全程已实战为主,理论相对较少,案例90%可试验b.涵盖98%以上crd字段配置c.不仅讲解yaml配置,同时结合envoy配置讲解d.不回避难点内容,深入讲解envoyfilter配置e深入讲解envoyf详细讲解额外内容,比如gateway-api,wasm,升降级,发布,灰度发布,蓝绿发布,istioctl命令,slime,多控制面板,多集群,常见问题g以一个完整案例串联所有内容h以markdown文件提供课件,内容详细,方便大家练习I有学员指出我的istio课程不够突出重点,安装80/20原则,20%内容是常用的,那我是否就讲这20%就可以了呢,其他课程确实是这么干的,他们只讲擅长的20%,我的目的不是这样的,我希望istio课程买我的一个就够了,让你全面学习istio,甚至遇到偏的问题不需要百度,课程里就有讲过,但是难免会出现一个问题,就是不够突出重点,我尽量兼顾全面的时候突出重点,讲到重点,核心功能时我会提示下。 
听GPT 讲Istio源代码--pkg(7)
techdashen的博客
09-23 63
istio项目istio/pkg/config/analysis/analyzers/util/in_mesh.go文件的作用是提供一些函数和方法,用于判断Kubernetes集群的Pod和Deployment是否在Istio服务网格。总的来说,该文件的作用是实现了一个注入分析器,用于检查Istio注入设置的合规性,并生成相应的审核结果。具体来说,该文件的代码包含了所有的配置分析器,这些配置分析器用于检查Istio的配置是否符合预期的行为和最佳实践。函数的作用是从选择器字符串提取标签。
[istio]istio学习笔记
小小李的博客
12-27 692
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
Istio 的授权策略详解
ServiceMesher
07-22 1703
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
PeerAuthentication详解
mark's technic world
05-31 910
学习目标 什么是PeerAuthentication PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar. 资源详解 Field Type Description Required selector WorkloadSelector The selector determines the workloads to apply th...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值