Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 559

Istio セキュリティ

Istio セキュリティ とは何ですか?

Istio セキュリティIstio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。

Istio Security は Istio サービスメッシュのセキュリティサブシステムです。コントロールプレーン(istiod)が SPIFFE ベースの X.509 ID を各ワークロードへ発行し、Envoy サイドカーが Pod 間で mTLS を確立するよう構成することで、東西方向の平文通信を排除します。PeerAuthentication ポリシーは namespace やワークロード単位で STRICT・PERMISSIVE モードの mTLS を強制できます。AuthorizationPolicy は送信元 ID、ホスト、パス、メソッド、条件を組み合わせた allow/deny ルールを提供し、RequestAuthentication は発行者に対し JWT を検証します。運用上のリスクには PERMISSIVE 設定不備による平文許容、過度に緩い allow ポリシー、未対応の istiod CVE(例:CVE-2024-3727)があります。STRICT mTLS、デフォルト deny の AuthorizationPolicy、ポリシー変更の監査を組み合わせるのがベストプラクティスです。

  1. 01

    namespace prod に PeerAuthentication mtls.mode=STRICT を適用し、全 Pod に mTLS を強制する。

  2. 02

    デフォルト deny の AuthorizationPolicy で、reviews-service から ratings-service への呼び出しのみ明示的に許可する。

よくある質問

Istio セキュリティ とは何ですか?

Istio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

Istio セキュリティ とはどういう意味ですか?

Istio サービスメッシュのセキュリティ機能群。SPIFFE によるワークロード ID、自動 mTLS、細粒度アクセス制御のための AuthorizationPolicy と RequestAuthentication を含む。

Istio セキュリティ はどのように機能しますか?

Istio Security は Istio サービスメッシュのセキュリティサブシステムです。コントロールプレーン(istiod)が SPIFFE ベースの X.509 ID を各ワークロードへ発行し、Envoy サイドカーが Pod 間で mTLS を確立するよう構成することで、東西方向の平文通信を排除します。PeerAuthentication ポリシーは namespace やワークロード単位で STRICT・PERMISSIVE モードの mTLS を強制できます。AuthorizationPolicy は送信元 ID、ホスト、パス、メソッド、条件を組み合わせた allow/deny ルールを提供し、RequestAuthentication は発行者に対し JWT を検証します。運用上のリスクには PERMISSIVE 設定不備による平文許容、過度に緩い allow ポリシー、未対応の istiod CVE(例:CVE-2024-3727)があります。STRICT mTLS、デフォルト deny の AuthorizationPolicy、ポリシー変更の監査を組み合わせるのがベストプラクティスです。

Istio セキュリティ からどのように防御しますか?

Istio セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Istio セキュリティ の別名は何ですか?

一般的な別名: Istio の mTLS, Istio AuthorizationPolicy。

関連用語

関連項目