Istio Service Mesh中的授权与鉴权概念详解

最新推荐文章于 2023-06-01 12:47:15 发布
最新推荐文章于 2023-06-01 12:47:15 发布
阅读量3.3k 收藏 5
点赞数
文章标签: java python 运维
原文链接:https://my.oschina.net/xiaominmin/blog/2051073
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

上周给大家分享了一篇必读!Istio Service Mesh中的流量管理概念解析,这次再给大家分享一篇Istio中重要功能和概念——授权(authorization)与鉴权(authentication)的解析。

将单体应用程序分解为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。但是,微服务也有特殊的安全需求:

  • 为了抵御中间人攻击,需要流量加密。

  • 为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。

  • 要审核谁在什么时候做了什么,需要审计工具。

Istio Security 尝试提供全面的安全解决方案来解决所有这些问题。

本页概述了如何使用 Istio 的安全功能来保护您的服务,无论您在何处运行它们。特别是 Istio 安全性可以缓解针对您的数据,端点,通信和平台的内部和外部威胁。

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

Istio 安全概述

Istio 安全功能提供强大的身份,强大的策略,透明的 TLS 加密以及用于保护您的服务和数据的身份验证,授权和审计(AAA)工具。 Istio 安全的目标是:

  • 默认安全 : 应用程序代码和基础结构无需更改

  • 深度防御 : 与现有安全系统集成,提供多层防御

  • 零信任网络 : 在不受信任的网络上构建安全解决方案

访问我们的Mutual TLS Migration docs,开始在部署的服务中使用Istio安全功能。 请访问我们的安全任务,有关使用安全功能的详细说明。

如图所示,Istio 的 Citadel 用加载 Secret 卷的方式在 Kubernetes 容器中完成证书和密钥的分发。如果服务运行在虚拟机或物理机上,则会使用运行在本地的 Node agent,它负责在本地生成私钥和 CSR(证书签发申请),把 CSR 发送给 Citadel 进行签署,并把生成的证书和私钥分发给 Envoy。

顶层架构

Istio 中的安全性涉及多个组件:

  • Citadel 用于密钥和证书管理

  • Sidecar 和周边代理 实现客户端和服务器之间的安全通信

  • Pilot 将授权策略和安全命名信息分发给代理

  • Mixer 管理授权和审计

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

Istio 安全架构

在下面的部分中,我们将详细介绍 Istio 安全功能。

Istio 身份

身份是任何安全基础架构的基本概念。在服务到服务通信开始时,双方必须与其身份信息交换凭证以用于相互认证目的。 在客户端,根据安全命名信息检查服务器的标识,以查看它是否是该服务的授权运行程序。 在服务器端,服务器可以根据授权策略 确定客户端可以访问哪些信息,审核谁在什么时间访问了什么,根据服务向客户收费他们使用并拒绝任何未能支付账单的客户访问服务。

在 Istio 身份模型中,Istio 使用一流的服务标识来确定服务的身份。 这为表示人类用户,单个服务或一组服务提供了极大的灵活性和粒度。 在没有此类身份的平台上,Istio 可以使用可以对服务实例进行分组的其他身份,例如服务名称。

不同平台上的 Istio 服务标识:

  • Kubernetes: Kubernetes 服务帐户

  • GKE/GCE: 可以使用 GCP 服务帐户

  • GCP: GCP 服务帐户

  • AWS: AWS IAM 用户/角色 帐户

  • On-premises (non-Kubernetes): 用户帐户,自定义服务帐户,服务名称,istio 服务帐户或 GCP 服务帐户。

自定义服务帐户引用现有服务帐户,就像客户的身份目录管理的身份一样。

Istio 安全与 SPIFFE

SPIFFE 标准提供了一个框架规范,该框架能够跨异构环境引导和向服务发布身份。

Istio 和 SPIFFE 共享相同的身份文件:SVID (SPIFFE可验证身份证件)。 例如,在 Kubernetes 中,X.509 证书的 URI 字段格式为”spiffe:///ns//sa/“。 这使 Istio 服务能够建立和接受与其他 SPIFFE 兼容系统的连接。

Istio 安全性和 SPIRE,它是 SPIFFE 的实现,在 PKI 实现细节上有所不同。 Istio 提供更全面的安全解决方案,包括身份验证,授权和审计。

PKI

Istio PKI 建立在 Istio Citadel 之上,可为每个工作负载安全地提供强大的工作负载标识。 Istio 使用 X.509 证书来携带 SPIFFE 格式的身份。 PKI 还可以大规模自动化密钥和证书轮换。

Istio 支持在 Kubernetes pod 和本地计算机上运行的服务。 目前,我们为每个方案使用不同的证书密钥配置机制。

Kubernetes 方案

  1. Citadel 监视 Kubernetes apiserver,为每个现有和新的服务帐户创建 SPIFFE 证书和密钥对。Citadel 将证书和密钥对存储为 Kubernetes secret。

  2. 创建 pod 时,Kubernetes 会根据其服务帐户通过 Kubernetes secret volume将证书和密钥对挂载到 pod。

  3. Citadel 监视每个证书的生命周期,并通过重写 Kubernetes 秘密自动轮换证书。

  4. Pilot 生成安全命名信息,该信息定义了哪些 Service Account 可以运行哪些服务。Pilot 然后将安全命名信息传递给sidecar envoy。

本地机器方案

  1. Citadel 创建 gRPC 服务以获取证书签名请求(CSR)。

  2. 节点代理生成私钥和 CSR,并将 CSR 及其凭据发送给 Citadel 进行签名。

  3. Citadel 验证 CSR 承载的凭证,并签署 CSR 以生成证书。

  4. 节点代理将从 Citadel 接收的证书和私钥发送给 Envoy。

  5. 上述 CSR 过程会定期重复进行证书和密钥轮换。

代理程序代理节点(开发中)

在不久的将来,Istio 将在 Kubernetes 中使用节点代理进行证书和密钥提供,如下图所示。请注意,本地计算机的标识提供流程是相同的,因此我们仅描述 Kubernetes 方案。

640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1

PKI 与 Kubernetes 中的节点代理

流程如下:

  1. Citadel 创建一个 gRPC 服务来接受 CSR 请求。

  2. Envoy 通过 Envoy secret 发现服务(SDS)API 发送证书和密钥请求。

  3. 收到 SDS 请求后,节点代理会创建私钥和 CSR,并将 CSR 及其凭据发送给 Citadel 进行签名。

  4. Citadel 验证 CSR 中携带的凭证

最低0.47元/天 解锁文章
weixin_33762130
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Istio学习笔记:IngressGateway实现基于OAuth2.0+JWT的API鉴权
10-28 4909
本文主要记录在Istio 1.6.8,利用Istio Security的RequestAuthentication、AuthorizationPolicy、以及EnvoyFilter等 实现基于OAuth2.0 + JWT的API鉴权功能。客户端(浏览器)通过网关访问后端服务api(/apis/xxx/api),istio ingress gateway进行后端服务的统一鉴权处理。仅供个人参考。
Istio 安全认证
hanjiangxue1006的博客
03-26 1064
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
微服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 823
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
Istio技术与实践6:Istio如何为服务提供安全防护能力
weixin_30613343的博客
09-11 182
凡是产生连接关系,就必定带来安全问题,人类社会如此,服务网格世界,亦是如此。 今天,我们就来谈谈Istio第二主打功能---保护服务。 那么,便引出3个问题: l Istio凭什么保护服务? l Istio具体如何保护服务? l 如何告诉Istio发挥保护能力? 1 Istio凭什么保护服务? 将单体应用程序分解为一个个服务,为大型软件系统的开发和维护带来了诸多好处,...
使用Istio打造微服务(第2部分) - 认证和授权
weixin_33888907的博客
03-25 1382
作者;Rinor Maloku译者:殷龙飞审校:邱世达原文:medium.com/google-clou…这篇文章是使用Istio打造微服务的第二部分,如果没有看第一篇的话,请先看第一部分内容,因为这篇博客是以第一篇博客为基础进行进一步深入的。在第一篇文章,我们建立了一个Kubernetes集群,并且在上面部署了 Istio 和示例微服务应用程序“Sentiment Analysis”,用...
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2146
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
Istio Service Mesh 管理微服务.pdf
最新发布
06-27
Istio Service Mesh 管理微服务】 Istio是Google、IBM和Lyft共同开发的一个开源项目,自2017年5月发布第一个版本0.1.0以来,它已成为Service Mesh领域的领头羊。Istio被官方定义为一个连接、管理和保护微服务的...
aeraki:在Istio Service Mesh管理任何第7层流量
04-19
Istio服务网格管理任何第7层流量! Aeraki [Air-rah-ki]在希腊语是“微风”的意思。 当Istio在服务网格连接微服务时,Aeraki提供了一个框架,以允许Istio支持更多的第7层协议,而不仅仅是HTTP和gRPC。 我们...
istio-handbook:Istio Service Mesh Advanced Practical - Istio服务网格进阶实战 https
04-11
Istio Handbook——Istio 服务网格进阶实战Istio Service Mesh Advanced Practical - Master the Services in Post Kubernetes Era 是由 Google、IBM、Lyft 等共同开源的 Service Mesh(服务网格)框架,作为云原生...
[O REILLY ] Introducing Istio Service Mesh for Microservice 2018 英文原版
04-18
通过阅读《Introducing Istio Service Mesh for Microservices》,读者可以学习如何部署和配置Istio,以及如何利用Istio解决微服务架构的挑战,从而提升系统的弹性和可靠性。这本书对于正在或者计划采用微服务架构...
深入浅出Istio Service Mesh快速入门与实践-高清-完整目录-2019年3月
05-06
深入浅出Istio Service Mesh快速入门与实践-高清-完整目录-2019年3月
通过自定义Istio Mixer Adapter在JWT场景下实现用户封禁
weixin_33890526的博客
02-18 601
作者:高松原文地址:yisaer.github.io/2019/02/16/…介绍互联网服务离不开用户认证。JSON Web Token(后简称JWT)是一个轻巧,分布式的用户授权鉴权规范。和过去的session数据持久化的方案相比,JWT有着分布式鉴权的特点,避免了session用户认证时单点失败引起所有服务都无法正常使用的窘境,从而在微服务架构设计下越来越受欢迎。然而JWT单点授权,分布鉴权的...
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's CSDN Home
06-01 710
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio的外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
陌陌 Service Mesh 架构的探索与实践
weixin_45727359的博客
04-01 564
作者丨高飞航策划丨田晓旭2016 年,Service Mesh 进入公众视野之后一直保持着高速发展的状态,目前已成为业内广泛认可的下一代微服务架构,并且被 CNCF 列入构建容错性好、...
服务迁移之路 | Spring Cloud向Service Mesh转变 | 技术干货
CSDN业界要闻
05-28 279
戳蓝字“CSDN云计算”关注我们哦!技术头条:干货、简洁、多维全面。更多云计算精华知识尽在眼前,get要点、solve难题,统统不在话下!作者:李宁转自:博云技术社区S...
Istio的JWT认证授权
Micky_Yang的博客
08-15 1334
一、理解JWT   JWT(Json Web Token)是一种多方传递可信JSON数据的方案,一个JWT token由.分隔的三部分组成:{Header}.{Payload}.{Signature},其Header是Base64编码的JSON数据,包含令牌类型typ、签名算法alg以及密钥ID kid等信息;Payload是需要传递的claims数据,也是Base64编码的JSON数据,其有些字段是JWT标准已经有了的字段,如:exp、iat、iss、sub和aud等等,也可以根据需求添加自定义字段;
详解Istio服务治理技术及环境搭建
HarmonyCloud_的博客
09-06 653
异构系统的统一治理。各个微服务治理架构的各个间件也不停的升级迭代,在微服务架构,每个微服务的开发和维护工作分为了不通的团队进行,如果企业内部不制定相关的版本使用规范,久而久之,很容易导致各个不同服务使用的间价或治理组件的版本不统一、能力参差不齐,很难统一治理。对于这些传统微服务框架而言,想要使用某些功能,就需要集成相关的SDK,这不仅需要在项目添加相关的依赖,可能还需要对业务代码进行一些改造,在其增加治理相关的代码或者配置等,那么这样业务层就与治理层耦合严重。
keycloak+istio实现基于jwt的服务认证授权
yevvzi的博客
09-10 2984
envoy rbac介绍 基于角色的访问控制(RBAC)为服务提供服务级别和方法级别的访问控制。RBAC政策是附加的。依次检查策略。根据操作以及是否找到匹配的策略,允许或拒绝请求。 策略配置主要包括两个部分。 permissions 由AuthorizationPolicyto转换过来 定义角色的权限集。 每个权限都与OR语义匹配。 为了匹配此策略的所有操作,应使用any字段设置为true的单个Permission。 principals 由AuthorizationPolicyto和when
Istio Security # TLS 配置
来啊 快活啊
08-09 2065
Istio对身份认证和授权鉴权提供了全面的支持; Istio将身份认证分为最终用户认证和传输认证,Istio提供了双向TLS(没TLS)作为传输认证的全站解决方案; 1. 为每个服务提供强认证,认证身份和角色相结合,能够在不同的集群甚至不同云上进行互操作 2. 加密服务和服务之间、最终用户和服务之间的通信 3. 提供密钥管理系统,完成密钥和证书的生成、分发、轮转以及吊销操作 下面是所有关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值