服务网格安全
服务网格安全 是什么?
服务网格安全服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
服务网格安全是 Istio、Linkerd、Consul、Cilium Service Mesh 等服务网格提供的安全模型。它在每个工作负载旁部署 sidecar 或节点级代理,通过该代理实现服务间双向 TLS、自动证书轮换、细粒度授权(按源身份、路径、方法、JWT 声明等放行或拒绝)以及流量可观测性。网格将信任由网络位置转移到工作负载身份,支持 Kubernetes 内部及多集群环境的零信任架构。风险包括 sidecar 配置错误、控制面被攻陷、证书颁发机构弱化,以及 sidecar 注入不完整导致流量绕过网格。防御措施包括按 CIS 模板加固、策略审查以及对控制面进行监控。
● 示例
- 01
Istio AuthorizationPolicy 限制 payments-service 只能被 checkout-service 调用。
- 02
Linkerd 在命名空间内所有 Pod 之间自动启用 mTLS,且无需修改应用。
● 常见问题
服务网格安全 是什么?
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。 它属于网络安全的 云安全 分类。
服务网格安全 是什么意思?
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
服务网格安全 是如何工作的?
服务网格安全是 Istio、Linkerd、Consul、Cilium Service Mesh 等服务网格提供的安全模型。它在每个工作负载旁部署 sidecar 或节点级代理,通过该代理实现服务间双向 TLS、自动证书轮换、细粒度授权(按源身份、路径、方法、JWT 声明等放行或拒绝)以及流量可观测性。网格将信任由网络位置转移到工作负载身份,支持 Kubernetes 内部及多集群环境的零信任架构。风险包括 sidecar 配置错误、控制面被攻陷、证书颁发机构弱化,以及 sidecar 注入不完整导致流量绕过网格。防御措施包括按 CIS 模板加固、策略审查以及对控制面进行监控。
如何防御 服务网格安全?
针对 服务网格安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
服务网格安全 还有哪些其他名称?
常见的别称包括: 网格安全, Sidecar 安全。
● 相关术语
- cloud-security№ 559
Istio 安全
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
- network-security№ 1262
零信任网络
默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。
- cloud-security№ 1248
工作负载身份
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
- cloud-security№ 1078
SPIFFE
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
● 参见
- № 1079SPIRE 运行时
- № 756OPA(开放策略代理)
- № 839策略即代码
- № 991安全即代码