Sécurité Istio
Qu'est-ce que Sécurité Istio ?
Sécurité IstioEnsemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin.
Istio Security est le sous-système de sécurité du service mesh Istio. Le control plane (istiod) émet des identités X.509 basées sur SPIFFE pour chaque workload et configure les sidecars Envoy pour établir le mTLS entre pods, supprimant le trafic est-ouest en clair. Les politiques PeerAuthentication appliquent mTLS STRICT ou PERMISSIVE au niveau namespace ou workload. AuthorizationPolicy fournit des règles allow/deny sur identités source, hôtes, chemins, méthodes et conditions ; RequestAuthentication valide les JWT face aux émetteurs. Les risques opérationnels incluent un mode PERMISSIVE mal configuré laissant passer du trafic en clair, des politiques trop larges et des CVE istiod non corrigées (par exemple CVE-2024-3727). La bonne pratique combine mTLS STRICT, AuthorizationPolicy default-deny et audit des changements.
● Exemples
- 01
PeerAuthentication mtls.mode=STRICT dans le namespace prod pour exiger mTLS sur tous les pods.
- 02
AuthorizationPolicy default-deny autorisant explicitement reviews-service à appeler ratings-service.
● Questions fréquentes
Qu'est-ce que Sécurité Istio ?
Ensemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Sécurité Istio ?
Ensemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin.
Comment fonctionne Sécurité Istio ?
Istio Security est le sous-système de sécurité du service mesh Istio. Le control plane (istiod) émet des identités X.509 basées sur SPIFFE pour chaque workload et configure les sidecars Envoy pour établir le mTLS entre pods, supprimant le trafic est-ouest en clair. Les politiques PeerAuthentication appliquent mTLS STRICT ou PERMISSIVE au niveau namespace ou workload. AuthorizationPolicy fournit des règles allow/deny sur identités source, hôtes, chemins, méthodes et conditions ; RequestAuthentication valide les JWT face aux émetteurs. Les risques opérationnels incluent un mode PERMISSIVE mal configuré laissant passer du trafic en clair, des politiques trop larges et des CVE istiod non corrigées (par exemple CVE-2024-3727). La bonne pratique combine mTLS STRICT, AuthorizationPolicy default-deny et audit des changements.
Comment se défendre contre Sécurité Istio ?
Les défenses contre Sécurité Istio combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sécurité Istio ?
Noms alternatifs courants : mTLS Istio, AuthorizationPolicy Istio.
● Termes liés
- cloud-security№ 1014
Sécurité du Service Mesh
Ensemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
- cloud-security№ 1078
SPIFFE
Standard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie.
- cloud-security№ 1248
Identité de Workload
Identité cryptographique attribuée à un service, un conteneur ou une fonction pour s'authentifier auprès d'autres systèmes sans secrets partagés longue durée.
- network-security№ 1262
Réseau Zero Trust
Architecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
● Voir aussi
- № 1079Runtime SPIRE