在
完全不可信
Istio提供了大量的功能,来支持在零信任网络上安全地运行微服务的能力。
零信任模型是建立在网络和基础设施可能被恶意代码、错误配置或其他不利因素所渗透的可能性之上。这个模型仅仅是假定在用户的Kubernetes集群上,可以运行任何指定的微服务。需要说明的是:这个假定不表示所指定的微服务是合理的,或可以毫无疑问地被信任的。在一组相互调用的分布式微服务中,新服务随时可以出现,并且不需要修改配置的情况下,被其他服务使用或调用。这自然就衍生出Kubernetes集群中应用安全管理的一个关键组件,既与其他应用CI/CD和基础设施最佳实践相结合的,凭证识别和验证的零信任哲学。
在支持零信任网络的部分,Istio提供了附加的4-7层防火墙控制、传输加密、服务网格的高级服务和终端用户身份验证和授权的可选项,以及捕获详细连接日志和指标的能力。与Istio的大多数其他功能一样,这些功能都是由Envoy代理提供支持的。Envoy代理以sidecar(边车)容器的方式运行在每个应用程序的Kubernetes Pod中。
mTLS:信任与校验
mTLS(相互传输层安全性)是Istio安全工具集的一个基本部分。它不仅提供传输加密,还在服务网格中,提供服务对服务的身份验证和授权。
工作原理:网格中的每个服务都有自己的TLS证书,由Istio Citadel服务颁发和管理。