Istio セキュリティ
Istio セキュリティ とは何ですか?
Istio セキュリティIstio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。
Istio Security は Istio サービスメッシュのセキュリティサブシステムです。コントロールプレーン(istiod)が SPIFFE ベースの X.509 ID を各ワークロードへ発行し、Envoy サイドカーが Pod 間で mTLS を確立するよう構成することで、東西方向の平文通信を排除します。PeerAuthentication ポリシーは namespace やワークロード単位で STRICT・PERMISSIVE モードの mTLS を強制できます。AuthorizationPolicy は送信元 ID、ホスト、パス、メソッド、条件を組み合わせた allow/deny ルールを提供し、RequestAuthentication は発行者に対し JWT を検証します。運用上のリスクには PERMISSIVE 設定不備による平文許容、過度に緩い allow ポリシー、未対応の istiod CVE(例:CVE-2024-3727)があります。STRICT mTLS、デフォルト deny の AuthorizationPolicy、ポリシー変更の監査を組み合わせるのがベストプラクティスです。
● 例
- 01
namespace prod に PeerAuthentication mtls.mode=STRICT を適用し、全 Pod に mTLS を強制する。
- 02
デフォルト deny の AuthorizationPolicy で、reviews-service から ratings-service への呼び出しのみ明示的に許可する。
● よくある質問
Istio セキュリティ とは何ですか?
Istio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
Istio セキュリティ とはどういう意味ですか?
Istio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。
Istio セキュリティ からどのように防御しますか?
Istio セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Istio セキュリティ の別名は何ですか?
一般的な別名: Istio の mTLS, Istio AuthorizationPolicy。