本文讨论了使用相互 TLS (mTLS) 和 Istio 保护应用程序通信的重要性。mTLS 提供了端到端的安全性,只有源和目标可以解密数据,从而防止中间人攻击。然而,如果源或目标的身份没有加密,可能会出现问题。Istio 中的 mTLS 可以简单地启用,并为每个应用程序 pod 提供身份证书。为了强制执行严格的 mTLS,可以使用 Istio 的 PeerAuthentication 策略和 AuthorizationPolicy。最后,TLS 协议是最广泛审查、专家批准、经过战斗测试的数据安全协议之一,Istio 默认在内网应用程序通信中使用 TLS 1.3 版本。
Service Mesh
译OSM(Open Service Mesh)项目将停止更新,团队将协力 Istio 服务网格开发
开放服务网格(OSM)宣布停止更新,将与 Istio 社区更加紧密地合作,以加速实现下一代服务网格技术的发展。服务网格社区的发展,如 Kubernetes Gateway API 和 GAMMA,进一步凸显了服务网格在当今云原生栈中的关键重要性和成熟度。OSM 团队将与 Istio 社区合作,包括利用 Kubernetes 的 ClusterTrustBundles 功能增强 Istio 的网格证书管理体验,提出“安全模式”功能方法,改进 Istio 的遥测体验,并与 Istio 新宣布的无 Sidecar 环境网格模式进行合作。
译Istio 中的外部授权过滤器:使用 OPA 实现灵活的授权策略
本文介绍了如何将服务网格和开放策略代理(OPA)结合使用,以实现基于身份的分割的五个策略检查。服务网格为前四项检查提供了执行点,而 OPA 则在第五项中发挥作用。本文还探讨了如何将特定于业务的策略应用于请求,以及如何使用 OIDC 或专用授权基础设施来实现最终用户对资源的授权。
本文推荐了服务网格安全性优化的一些最佳实践。
本文强调的是控制平面应该如何部署在应用程序附近,入口应该如何部署以促进安全性和敏捷性,如何使用 Envoy 促进跨集群负载均衡,以及网格内部如何使用证书。
我们认为,服务网格最适合作为现有安全模型的一部分,通过在传统安全控制之上添加更细粒度的安全策略来实现。
本文讲解了如何让 Istio 信任现有 PKI 的步骤。
译如何使用 Hashicorp Vault 作为一种更安全的方式来存储 Istio 证书
本文将指导你使用 Vault 存储 Istio 的证书。
本文介绍了 TLS、mTLS 相关知识,并介绍了 Istio 中如何开启 mTLS 和其应用场景。