Безопасность Istio
Что такое Безопасность Istio?
Безопасность IstioНабор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
Istio Security — это подсистема безопасности service mesh Istio. Control plane (istiod) выдаёт каждой нагрузке X.509-идентичность на основе SPIFFE и настраивает sidecar'ы Envoy так, чтобы между подами устанавливался mTLS, устраняя нешифрованный east-west трафик. PeerAuthentication задаёт режим STRICT или PERMISSIVE на уровне namespace или нагрузки. AuthorizationPolicy предоставляет allow/deny-правила по идентичности источника, хостам, путям, методам и условиям; RequestAuthentication валидирует JWT по эмитентам. Операционные риски: неверно настроенный PERMISSIVE, разрешающий plaintext; слишком широкие allow-политики; необновлённый istiod (например, CVE-2024-3727). Лучшие практики — STRICT mTLS, default-deny AuthorizationPolicy и аудит изменений политики.
● Примеры
- 01
PeerAuthentication mtls.mode=STRICT в namespace prod требует mTLS для всех подов.
- 02
Default-deny AuthorizationPolicy явно разрешает reviews-service вызывать ratings-service.
● Частые вопросы
Что такое Безопасность Istio?
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Безопасность Istio?
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
Как защититься от Безопасность Istio?
Защита от Безопасность Istio обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность Istio?
Распространённые альтернативные названия: mTLS Istio, Istio AuthorizationPolicy.