Istio_03_Istio安全

最新推荐文章于 2024-10-20 22:25:21 发布
最新推荐文章于 2024-10-20 22:25:21 发布
阅读量439 收藏 15
点赞数 18
文章标签: istio 安全 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45686105/article/details/140632263
版权

Istio_03_Istio安全

Security

Security: 透明的分布式安全层

  1. 认证方式: mTLS对等身份认证、JWT令牌请求认证
  2. 零信任的安全体系(所有流量请求都必须基于认证和最小访问权)

如: Istio的安全架构

image

  1. Citadel: CA管理密钥和证书
  2. Envoy: 代理安全通信和安全策略执行
  3. Pilot: 统一管理服务网格内各安全相关配置

PeerAuthentication

PeerAuthentication(对等身份认证): 基于证书的透明双向认证

  1. 本质: 由数据面代理完成的双向TLS的服务身份认证
  2. 通过认证的身份才可进行授权策略的条件匹配
  3. 服务未配置SA时, 使用NS默认的SA

如: Istio的身份认证流量

image

  1. Istio控制面实现SPIFFE规范
    • SPIFFE ID格式(服务标识): spiffe://<trust_domain>/ns/<namespace>/sa/<service_account>
    • <trust_domain>可通过控制面的环境变量配置
  2. Istio数据面使用X.509证书提供身份信息
    • 将每个数据面代理的SPIFFE ID注入X.509证书的subjectAltName扩展
    • 数据面代理生成私钥, 并通过CSR将其和SA发送到控制面进行签名

PA常用配置清单:

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: <String>
  namespace: <String>
spec:
  selector: <Object>                  # Label匹配管理的服务
  mtls: <Object>                      # 双向认证模式(UNSET、DISABLE、PERMISSIVE、STRICT)
    mode: <String>
  portLevelMtls: <Map[Integer]Object> # 定义每个端口的双向认证模式
  1. 若省略spec.selector, 则作用于PA所在NS/全局下的所有服务
  2. spec.mtls.mode设置为UNSET时, 会继承上一级范围内的配置
  3. 定义多个全局PA时, 则仅最早定义PA生效

RequestAuthentication

RequestAuthentication(请求身份认证): 基于JWT的透明请求认证

  1. 本质: 由数据面代理管理JWT令牌和请求身份认证
  2. JWT令牌可从指定请求头或请求参数中获取

如: JWT请求流程

image

  1. 数据面代理从控制面配置的认证策略中获取验证JWT令牌的公钥
    • 数据面代理拦截到流量时, 使用公钥验证JWT令牌决定是否转发

RA常用配置清单:

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: <String>
  namespace: <String>
spec:
  selector: <Object>         # Label匹配管理的服务
  jwtRules: <[]Object>       # JWT认证规则
  - issuer: <String>         # 校验JWT令牌的发行者
    audiences: <[]String>    # 校验JWT令牌需包含的aud信息
    jwksUri: <String>        # JWT公钥获取的URL地址
    jwks: <String>           # JWT公钥, 与jwksUri互斥
    fromHeaders: <[]Object>  # 从指定请求头中获取JWT令牌
    - name: <String>         # 请求头中的名称
      prefix: <String>       # 数据前缀匹配
    fromParams: <[]String> # 从指定请求参数中获取JWT令牌

AuthorizationPolicy

AuthorizationPolicy(授权策略): 基于认证身份配置授权策略

  1. 主要应用于L7, 依赖于对等身份认证/请求身份认证提供的身份标识
  2. 具有什么特征的主题在访问什么属性的对象时, 在满足什么条件时能做什么动作
  3. 服务可配置多个授权策略共同作用, 以细粒度的授权策略实现最小访问权限

如: Istio的授权优先级

image

  1. 授权动作优先级: CUSTOM > DENY > ALLOW
    • 只要有显式Deny, 则会直接结束并拒绝请求
  2. 当未设置授权策略时, 默认会允许所有服务都可访问

RA常用配置清单:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: <String>
  namespace: <String>
spec:
  selector: <Object> # Label匹配管理的服务
  rules: <[]Object>  # 匹配请求条件, 条件单独之间匹配
  - form: <[]Object> # 请求来源
    to: <[]Object>   # 请求目标
    when: <[]Object> # 请求条件
  action: <String>   # 满足匹配的动作(ALLOW、DENY、AUDIT、CUSTOM)
  provider: <Object> # 指定额外的授权配置, 仅能搭配CUSTOM动作
  1. spec.rules中省略的配置, 则代表匹配所有相关条件
  2. spec.actionAUDIT时, 需对应的插件支持才可完成审计

爱喝可乐的w
关注
Istio_02_Istio流量管理
爱喝可乐的w
08-15 602
Istio的核心功能: 流量管理的应用和原理
Istio_1.17.8安装
red_sky_blue的专栏
06-07 768
istio-demo
Istio_01_Istio初识
爱喝可乐的w
07-23 452
Istio基础认知和ServiceMesh
helm安装istio_istio部署-helm
weixin_39831991的博客
12-22 630
参考1. Istio Chart 目录结构PATH: istio-1.1.7/install/kubernetes/helm1.1 Chart.yamlChart 的基础信息文件,其中包含版本号,名称,关键字等元数据信息。1.2 values-*.yaml提供 istio 在各种场景下的关键配置范本,范本文件可以作为 helm 的输入文件,对 istio 进行典型定制;对输入文件改写后,使用 he...
Istio服务网格
m0_54534480的博客
04-06 302
Sidecar是容器应用模式的一种,service meash(服务网格)架构的一种实现方式,使用Sidecar部署服务网格时,无需再节点上运行代理(不需要基础结构的协作),但是集群当中将运行多个sidecar副本,从另一个角度看:在sidecar部署方式当中,你会为每个应用容器部署一个伴生容器。微服务对于每个功能的开发细化了,但是对于系统的管理负载度增强了,尤其是网络流量的管理。这样很多功能例如黑名单,导流,加密,访问控制,流量监控,熔断,限速,收费功能,数据流节点延迟,就不需要在应用代码中更改了。
Istio 安全
Doub1's Blog
11-26 415
Istio 安全引言认证策略DestinationRule 中的 TLSSettings 引言 本篇文章简单讲讲Istio安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求的服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
Istio服务网格:深入学习网络流量和架构
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
12-02 256
作者|Kasun Talwatta 译者|张卫滨来源公众号 | InfoQ架构头条 本文首先介绍了 Istio 的基础知识,然后结合实际的样例阐释了 Istio 是如何将 sidecar 容器注入到 Kubernetes 集群中,并实现流量拦截的。本文最初发表于 Solo 官方博客,经原作者 Kasun Talwatta 授权,由 InfoQ 中文站翻译分享。像 Istio 这样的服...
helm安装istio_在Minikube上安装带Helm的Istio失败
weixin_39826971的博客
12-22 185
在我的干净Ubuntu 16.04服务器上的文档中运行以下命令:minikube start --memory=7168 --cpus=3 --kubernetes-version=v1.10.0 --vm-driver=kvm2kubectl apply -f istio-1.0.4/install/kubernetes/helm/helm-service-account.yamlhelm in...
Istio-智能DNS
a1023934860的博客
10-24 942
在k8s中,我们可以使用..svc.cluster.local的方式对服务直接访问,该原理是在集群中部署一个kubeDNS,然后修改为默认的DNS服务器!
Istio _服务项目1
08-03
Istio 是一个强大的微服务网格系统,它提供了全面的网络管理和控制功能,包括服务发现、负载均衡、安全性和流量管理等。服务入口(ServiceEntry)是 Istio 中的一个关键组件,它允许在 Istio 内部的服务注册表中添加...
Istio _虚拟服务1
08-03
Istio是一个强大的服务网格工具,它提供了丰富的服务间通信管理功能,包括流量管理、安全、遥测和自动化。在Istio中,虚拟服务(VirtualService)是核心概念之一,它允许我们定义复杂的流量路由规则,控制服务间的...
istio_mesh_for_microservices_r1
10-25
- **自动化操作**:Istio 自动化了诸如网络配置安全策略实施和遥测数据收集等工作,极大地减轻了运维团队的负担。 #### 二、安装与入门 - **命令行工具安装**:为了开始使用 Istio,首先需要安装必要的命令行...
Istio _ Envoy过滤器1
08-03
Istio Envoy 过滤器 Istio Envoy 过滤器是 Istio 网络子系统(Pilot)生成的 Envoy 代理配置的扩展,用于自定义 Envoy 代理的配置。Envoy 过滤器可以用于添加自定义的过滤器,以满足特定的网络需求。 Envoy 过滤...
丁成银-多云环境使用k8s_Istio_Spinnaker管理应用的最佳实践.pdf
12-19
综上所述,多云环境中的最佳实践包括选用Kubernetes进行容器化和编排,用Istio实现服务间的连接和安全保障,以及借助Spinnaker来实现高效的持续交付和部署。这种组合能够帮助企业构建一个灵活、可靠且高度自动化的IT...
rootless模式下测试istio Ambient功能
小森饭的博客
10-16 705
rootless模式下的kind k8s兼容istio ambient模式应用的链路观测。
rootless模式下istio ambient的流量管理测试
最新发布
小森饭的博客
10-20 593
rootless模式下istio ambient的流量管理分配基本是符合预期的。
Spring Boot视频网站:安全与可扩展性设计
2401_85702623的博客
10-16 1107
本次程序开发选用的数据库管理工具是MySQL数据管理工具,使用它存放数据也需要创建程序对应的数据库文件,并命名刚创建的数据库文件,有了数据库也需要创建各种数据表来充实数据库,在数据表的创建中,不仅需要对数据表命名,也需要对数据表的字段进行设计,包括每个数据表里面需要设置的字段名称,字段对应的数据类型信息,字段的主键设置这个也是不可缺少的,因为每个数据表里面的主键就是标记着这个数据表跟其他数据表相区分的唯一标志。addtime timestamp 否 CURRENT_TIMESTAMP 创建时间。
Gin框架操作指南08:日志与安全
技术卷的博客
10-16 1012
本节演示日志与安全相关的API,包括定义路由日志的格式;如何记录日志;安全页眉;使用BasicAuth中间件;使用HTTP方法。
[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析
杨秀璋的专栏
10-16 217
上一篇文章详细介绍了WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和讲解了恶意软件自启动劫持原理。这篇文章将分享Windows系统漏洞,通过5次Shift漏洞重改CMD,最终实现修改计算机密码并启动计算机,其思路还是比较有趣的,希望对您有所帮助!基础性文章,希望对入门的同学有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值