Безопасность Istio
Что такое Безопасность Istio?
Безопасность IstioНабор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
Istio Security — это подсистема безопасности service mesh Istio. Control plane (istiod) выдаёт каждой нагрузке X.509-идентичность на основе SPIFFE и настраивает sidecar'ы Envoy так, чтобы между подами устанавливался mTLS, устраняя нешифрованный east-west трафик. PeerAuthentication задаёт режим STRICT или PERMISSIVE на уровне namespace или нагрузки. AuthorizationPolicy предоставляет allow/deny-правила по идентичности источника, хостам, путям, методам и условиям; RequestAuthentication валидирует JWT по эмитентам. Операционные риски: неверно настроенный PERMISSIVE, разрешающий plaintext; слишком широкие allow-политики; необновлённый istiod (например, CVE-2024-3727). Лучшие практики — STRICT mTLS, default-deny AuthorizationPolicy и аудит изменений политики.
● Примеры
- 01
PeerAuthentication mtls.mode=STRICT в namespace prod требует mTLS для всех подов.
- 02
Default-deny AuthorizationPolicy явно разрешает reviews-service вызывать ratings-service.
● Частые вопросы
Что такое Безопасность Istio?
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Безопасность Istio?
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
Как работает Безопасность Istio?
Istio Security — это подсистема безопасности service mesh Istio. Control plane (istiod) выдаёт каждой нагрузке X.509-идентичность на основе SPIFFE и настраивает sidecar'ы Envoy так, чтобы между подами устанавливался mTLS, устраняя нешифрованный east-west трафик. PeerAuthentication задаёт режим STRICT или PERMISSIVE на уровне namespace или нагрузки. AuthorizationPolicy предоставляет allow/deny-правила по идентичности источника, хостам, путям, методам и условиям; RequestAuthentication валидирует JWT по эмитентам. Операционные риски: неверно настроенный PERMISSIVE, разрешающий plaintext; слишком широкие allow-политики; необновлённый istiod (например, CVE-2024-3727). Лучшие практики — STRICT mTLS, default-deny AuthorizationPolicy и аудит изменений политики.
Как защититься от Безопасность Istio?
Защита от Безопасность Istio обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность Istio?
Распространённые альтернативные названия: mTLS Istio, Istio AuthorizationPolicy.
● Связанные термины
- cloud-security№ 1014
Безопасность service mesh
Набор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
- cloud-security№ 1078
SPIFFE
Открытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
- cloud-security№ 1248
Идентичность нагрузки
Криптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
- network-security№ 1262
Сеть с нулевым доверием
Архитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
● См. также
- № 1079SPIRE Runtime