Entry № 1131
服务网格安全
服务网格安全 是什么?
服务网格安全服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
服务网格安全是 Istio、Linkerd、Consul、Cilium Service Mesh 等服务网格提供的安全模型。它在每个工作负载旁部署 sidecar 或节点级代理,通过该代理实现服务间双向 TLS、自动证书轮换、细粒度授权(按源身份、路径、方法、JWT 声明等放行或拒绝)以及流量可观测性。网格将信任由网络位置转移到工作负载身份,支持 Kubernetes 内部及多集群环境的零信任架构。风险包括 sidecar 配置错误、控制面被攻陷、证书颁发机构弱化,以及 sidecar 注入不完整导致流量绕过网格。防御措施包括按 CIS 模板加固、策略审查以及对控制面进行监控。
● 示例
- 01
Istio AuthorizationPolicy 限制 payments-service 只能被 checkout-service 调用。
- 02
Linkerd 在命名空间内所有 Pod 之间自动启用 mTLS,且无需修改应用。
● 常见问题
服务网格安全 是什么?
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。 它属于网络安全的 云安全 分类。
服务网格安全 是什么意思?
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
如何防御 服务网格安全?
针对 服务网格安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
服务网格安全 还有哪些其他名称?
常见的别称包括: 网格安全, Sidecar 安全。