Istio安全基础:在零可信网络上运行微服务

最新推荐文章于 2022-08-14 20:44:16 发布
最新推荐文章于 2022-08-14 20:44:16 发布
阅读量828 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M2l0ZgSsVc7r69eFdTj/article/details/102774623
版权

640?wx_fmt=jpeg

完全不可信

640?wx_fmt=png

Istio提供了大量的功能,来支持在零信任网络上安全地运行微服务的能力。

零信任模型是建立在网络和基础设施可能被恶意代码、错误配置或其他不利因素所渗透的可能性之上。这个模型仅仅是假定在用户的Kubernetes集群上,可以运行任何指定的微服务。需要说明的是:这个假定不表示所指定的微服务是合理的,或可以毫无疑问地被信任的。在一组相互调用的分布式微服务中,新服务随时可以出现,并且不需要修改配置的情况下,被其他服务使用或调用。这自然就衍生出Kubernetes集群中应用安全管理的一个关键组件,既与其他应用CI/CD和基础设施最佳实践相结合的,凭证识别和验证的零信任哲学。

在支持零信任网络的部分,Istio提供了附加的4-7层防火墙控制、传输加密、服务网格的高级服务和终端用户身份验证和授权的可选项,以及捕获详细连接日志和指标的能力。与Istio的大多数其他功能一样,这些功能都是由Envoy代理提供支持的。Envoy代理以sidecar(边车)容器的方式运行在每个应用程序的Kubernetes Pod中。

mTLS:信任与校验

640?wx_fmt=png

mTLS(相互传输层安全性)是Istio安全工具集的一个基本部分。它不仅提供传输加密,还在服务网格中,提供服务对服务的身份验证和授权。

工作原理:网格中的每个服务都有自己的TLS证书,由Istio Citadel服务颁发和管理。
最低0.47元/天 解锁文章
Docker_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 Istio 服务网格实现零信任网络
weixin_44100171的博客
09-22 731
作者:Paul Klinker 翻译:Bach(才云) 校对:星空下的文仔(才云)、bot(才云) 微服务有很多优点,包括独立的拓展、隔离的业务逻辑、独立的生命周期管理以及简易的分布式开发。这些优点同时也带来了一些弊端,例如微服务可能会增加安全漏洞,因为每个微服务都可以是攻击目标,这无形间增加了攻击面。如果入侵者进入网络,它们可以肆意地攻击单个微服务,因此仅保护网络边界(network border)是不够的,还必须保护网络内部,这就是零信任(Zero Trust)的来源。 **零信任的概念由 John.
istio流量管理和零信任安全配置
gpy1240301202的博客
08-05 242
定义:创建JWT请求认证策略,可以定义请求头中的ACCESS TOKEN,以及JWT TOKEN 生成的相关信息。定义:用于认证请求头中的ACCESS TOKEN 是否可信,并授权给来源合法的请求。使用DestinationRule来定义启用或禁用双向TLS认证。定义:开启双向TLS身份认证功能,组件之间通过密文通信。定义:在不信任的网络上建立安全。...
去中心身份与可信身份,零信任架构
Authing 身份云
04-08 1171
可信身份可以是中心化的,也可以是去中心化的,所以这里专门把可信、去中心二者并列。 中心化情况下,中心提供者无法自证清白,某些不诚实的中心提供者还会冒用用户身份作恶。 而且中心化逻辑下,中心保存了大量用户账号,中心需要承担非常高的安全压力。 比如vpn服务器被入侵就导致了用户的安全问题。防火墙/vpn是网络作为安全边界,可信身份/零信任架构是身份作为安全边界! 互联网行业,身份存在的目的是告诉特定...
Linkerd 2.3正式公布:为Kubernetes提供接触、零信任网络
Docker的专栏
04-18 479
今天,我们很高兴能够正式推出Linkerd 2.3。这套毕业版本的发布,标志着mTLS已经由实验环境正式成长为一项全面支持功能,同时带来一系列重要的安全基元。最重要的是,...
用Calico、SPIRE和Envoy实现零信任服务网格
sun007700的专栏
08-24 507
https://v.qq.com/x/page/r0877dlsl09.html
istio-mastery:本文使用Istio返回微服务的源代码
05-17
我们将向您介绍Istio的优势,以及它如何通过轻松添加以下内容来扩展Kubernetes的功能以简化微服务应用程序: 流量管理:超时,重试,金丝雀推出, 安全性:最终用户身份验证和授权, 可观察性:跟踪,监视和记录。
istio-composer:用于Istio微服务的Kubernetes环境
03-26
用于Istio微服务的Kubernetes环境 1. Kubernetes集群使用Vagrant和Ansible 2.安装Kubernetes仪表板并使用kubectl管理集群 3.在VirtualBox顶部的Kubernetes集群中使用NodePort 4.在Kubernetes中安装Istio 5. ...
istio-workspace:在任何kubernetes集群上安全地开发和测试,而不会影响其他集群
03-09
您不断在生产中看到的从未在Test或Stage上发生过的错误呢? 运输更改生产听起来很可怕而且很危险,因为很多事情都可能出错。 我们真正要避免的是以一种不好的方式影响常规应用程序用户。 幸运的是,Istio ...
istio-operator:一个管理Kubernetes上Istio部署的操作员
02-03
总览是连接,管理和保护微服务的开放平台,它正在成为在Kubernetes上构建服务网格的standard 。 它建立在多个组件和相当复杂的部署方案(20多个CRD)之上。 安装,升级和操作这些组件需要对Istio有深入的了解。 ...
k8s-flagger-istio-flux:带有Flagger,Flux和Istio的蓝绿色部署
02-01
Istio是一个强大的服务网格,能提供微服务间的通信,包括服务发现、负载均衡、安全性和流量管理。在蓝绿部署中,Istio可以精细控制新旧版本服务之间的流量切换,确保应用升级过程中服务的稳定性和可靠性。 Flux是...
k8s之Istio ServiceEntry实例(1)
jiayu的博客
04-30 832
由于默认情况下,来自 Istio-enable Pod 的所有出站流量都会重定向到其 Sidecar 代理,集群外部 URL 的可访问性取决于代理的配置。默认情况下,Istio 将 Envoy 代理配置为允许传递未知服务的请求。尽管这为入门 Istio 带来了方便,但是,通常情况下,配置更严格的控制是更可取的
使用服务网格提高安全性:Christian Posta带你探索Istio的新功能
weixin_33796205的博客
08-29 84
\主要结论\\Istio意在让“服务网格(Service Mesh)”这个概念变得更具体、更好理解,最新发布的Istio 1.0有望获得业界的广泛关注。\\tIstio试图解决通过云平台运行应用程序时可能面临的一些困难挑战:应用程序网络、可靠性以及可观测性。\\tIstio还希望解决安全性这个问题。借助Istio,网格中不同服务间的通信将更安全,并默认加密。\\tIstio还有助于解决“源头”和“...
Lync 2010 学习(七),TLS and MTLS for Lync Server 2010
weixin_34241036的博客
10-04 132
TLS:Transport Layer Security ,传输层安全协议 MTLS:Mutual Transport Layer Securit,相互传输层安全协议 OSI七层模型中网络层通过数据包的路由来进行数据包的转发,而作为网络层的上一层传输层则需要保证数据传输的完整性,同时也可以保证数据的安全性等。 TLS:安全传输层协议(TLS)用于在两个通信应用程序...
Istio安全
Linux_cui的博客
08-14 328
istio安全认证
零信任兴起:从理念到实践
H3C的博客
03-14 4058
如果要问安全行业从业者,近三年最热门的话题是什么,大家一定不约而同地选择“零信任”。随着国内各大安全厂商纷纷推出零信任安全产品及解决方案,大大小小的零信任安全初创公司层出不穷,零信任俨然已经成为当今网络安全领域最火热的明星,实属网络安全“顶流”。 一、风起微澜:从0到1的探索 2004年,一些企业安全专家在Jericho论坛上提出,在复杂的企业网络中,网络边界的概念逐渐模糊和消失。一部分人认为,以防火墙为代表的传统边界安全设备已经成为网络发展的阻碍,应该将企业网中的边界消灭,即“去边界化”;另一部分人则认为
Beyond Istio OSS——Istio服务网格的现状与未来
ServiceMesher
07-25 564
作者:宋净超(Jimmy Song),原文地址:https://jimmysong.io/blog/beyond-istio-oss/本文根据笔者在 GIAC 深圳 2022 年大会上的的演讲《Beyond Istio OSS —— Istio 的现状及未来》[1]整理而成,演讲幻灯片见腾讯文档[2]。本文回顾了 Istio 开源近五年来的发展,并展望了 Isti...
sm3摘要算法python_Modbus TCP/IP协议安全加固关键技术研究与实现
weixin_39793189的博客
12-15 303
摘要:工业控制系统广泛应用于化工,核电,制造,交通等关键领域,其安全问题关系到国计民生.工业控制系统通信协议安全机制不健全已经成为"工业4.0","中国制造2025"以及两化融合进程推进的瓶颈.因此,对工业控制系统通信协议安全性进行研究具有重要意义.本文聚焦在工业控制系统中广泛应用的Modbus TCP/IP协议安全加固,对其存在的数据包缺乏完整性检测,认证,授权以及机密性保护进行研究,提出了一种...
服务网格Istio自身服务的安全风险
weixin_50205273的博客
05-11 2535
Istio是目前最受关注的服务网格之一,越来越多的公司开始落地Service Mesh架构,并将已有的系统接入Service Mesh。同时随着零信任网络的发展,东西向,南北向流量都需要提供足够的安全保护,因为Istio自身提供了多种安全特性,所以也出现不少基于Istio零信任架构。在安全中通常关注的重点是南北流量,而我们应该认识到,在云原生的环境下,东西流量安全也应该受到足够的重视。 在Istio默认的配置中,其在集群内暴露了许多未授权和明文传输的服务。通常情况下,这会引起攻击者的注意,当恶意攻击者进
Istio Service Mesh 管理微服务.pdf
最新发布
06-27
Istio的核心理念是使开发者无需在服务代码中实现复杂的网络和治理逻辑,只需关注业务逻辑。 Istio的架构: Istio的架构由四个主要组件构成: 1. Envoy Sidecar:Envoy是一个高性能的网络代理,作为服务的sidecar...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值