Istio 安全
Istio 安全 是什么?
Istio 安全Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
Istio Security 是 Istio 服务网格的安全子系统。控制平面(istiod)为每个工作负载签发基于 SPIFFE 的 X.509 身份证书,并配置 Envoy sidecar 在 Pod 之间建立双向 TLS,消除集群内东西向明文流量。PeerAuthentication 策略可在命名空间或工作负载级别以 STRICT 或 PERMISSIVE 模式强制 mTLS。AuthorizationPolicy 提供基于源身份、主机、路径、方法和条件的允许/拒绝规则;RequestAuthentication 则针对发行方校验 JWT。运维风险包括 PERMISSIVE 模式配置不当导致明文流量、过于宽松的允许策略,以及未修补的 istiod CVE(如 CVE-2024-3727)。最佳实践是结合 STRICT mTLS、默认拒绝的 AuthorizationPolicy,以及对策略变更的审计。
● 示例
- 01
在 prod 命名空间设置 PeerAuthentication mtls.mode=STRICT,强制所有 Pod 使用 mTLS。
- 02
默认拒绝的 AuthorizationPolicy 显式允许 reviews-service 调用 ratings-service。
● 常见问题
Istio 安全 是什么?
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。 它属于网络安全的 云安全 分类。
Istio 安全 是什么意思?
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
Istio 安全 是如何工作的?
Istio Security 是 Istio 服务网格的安全子系统。控制平面(istiod)为每个工作负载签发基于 SPIFFE 的 X.509 身份证书,并配置 Envoy sidecar 在 Pod 之间建立双向 TLS,消除集群内东西向明文流量。PeerAuthentication 策略可在命名空间或工作负载级别以 STRICT 或 PERMISSIVE 模式强制 mTLS。AuthorizationPolicy 提供基于源身份、主机、路径、方法和条件的允许/拒绝规则;RequestAuthentication 则针对发行方校验 JWT。运维风险包括 PERMISSIVE 模式配置不当导致明文流量、过于宽松的允许策略,以及未修补的 istiod CVE(如 CVE-2024-3727)。最佳实践是结合 STRICT mTLS、默认拒绝的 AuthorizationPolicy,以及对策略变更的审计。
如何防御 Istio 安全?
针对 Istio 安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
Istio 安全 还有哪些其他名称?
常见的别称包括: Istio mTLS, Istio AuthorizationPolicy。
● 相关术语
- cloud-security№ 1014
服务网格安全
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
- cloud-security№ 1078
SPIFFE
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
- cloud-security№ 1248
工作负载身份
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
- network-security№ 1262
零信任网络
默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
● 参见
- № 1079SPIRE 运行时