传统的网络安全依赖于围绕可信内部网络的强大防御边界,以将不良行为者拒之门外,将敏感数据拒之门外。在日益复杂的网络环境中,维护强大的边界越来越困难。
零信任安全正在成为企业保护其传统和现代云原生应用程序的首选方法。零信任网络架构颠覆了边界安全的假设。在零信任网络中,每个资源都在内部受到保护,就好像它暴露在开放的互联网中一样。
为了为行业和美国联邦政府建立零信任安全指南,美国国家标准与技术研究院 (NIST) 在一系列出版物中建立了零信任安全指南,从 SP 800-207 开始,介绍一般的零信任架构及其配套SP 800-204 微服务安全标准系列。
以下是 NIST 的核心零信任架构原则以及建议在实践中应用它们的 Kubernetes 和 Istio 参考架构。
作为 NIST 的一般零信任架构标准的补充,NIST 还发布了如何将零信任原则专门应用于微服务应用程序的标准。这些标准由 Tetrate 创始工程师 Zack Butcher 共同编写,并编入NIST 的 SP 800-204 系列。
在该标准中,NIST 建立了一个由 Kubernetes 组成的参考平台,用于编排和资源管理,并使用 Istio 服务网格提供核心安全功能。
由于 Kubernetes 主要专注于编排、资源管理和基本连接,因此它将零信任网络安全问题留给其他方解决。Kubernetes 中的主要网络安全漏洞是(NIST SP 800-204B,§2.1.1):
为了增强 Kubernetes 的安全性,Istio 充当 NIST 参考架构中的安全内核。Istio 满足参考监视器的三个要求(NIST SP 800-204B,§5.1)。Istio 是:
Envoy 数据平面通过每个服务前面以及每个入口和出口网关的不可绕过的策略执行点 (PEP) 提供参考监视器。服务网格代码独立于应用程序,因此它的生命周期可以独立管理,并且不能在运行时修改。而且,网格是系统的一个严格控制的元素,可以通过更多的眼睛和更仔细的检查来强化(NIST SP 800-204B,§5.1)。
而且,作为专用的基础架构层,Istio 提供:
要从联邦安全标准的合著者那里了解有关如何实施零信任架构的更多信息,请阅读 Zack Butcher 的零信任架构白皮书。
有关 NIST 安全建议的深入指南以及 Tetrate 如何帮助您实施该标准,请查看Tetrate 的微服务联邦安全要求指南。
如果您正在寻找使用 Istio 投入生产的最快方式,请查看我们的开源Tetrate Istio Distro (TID)。TID 是经过审查的 Istio 上游发行版 ——Istio 的强化映像,具有持续支持,更易于安装、管理和升级。对于在联邦监管环境中运营的组织,Tetrate Istio Distro 是唯一具有可用 FIPS 验证构建的 Istio 发行版。
如果您需要一种统一且一致的方式来保护和管理一系列应用程序中的服务,请查看 Tetrate Service Bridge (TSB),这是我们基于 Istio 和 Envoy 构建的全面的边缘到工作负载应用程序连接平台。
最后更新于 2024/12/12