本文深入介绍了Istio的认证机制,从零信任架构的概念出发,详细阐述了Istio中的身份认证、密钥管理、微隔离等核心组件。通过实例展示了如何配置PeerAuthentication和RequestAuthentication来实现服务间的安全通信,以及如何通过AuthorizationPolicy控制请求认证。文章最后通过实际操作演示了Istio如何确保不受其管理的客户端服务的认证安全。
在介绍Istio的认证机制前,先了解一些安全领域的理论知识。传统网络安全架构是基于边界的安全架构,企业构建网络安全体系时,先寻找安全边界,把网络划分为外网、内网、DMZ(DeMilitarized Zone)等不同的区域,然后在边界上部署防火墙、入侵检测等产品。传统的认证是以网络为中心,采用内网信任、边界防护、静态访问控制的机制。
随着云计算、大数据、物联网等新技术与业务的融合,在安全方面提出了新的概念零信任架构(ZTA Zero Trust Architecture),零信任的核心原则是:从不信任、始终验证。安全架构的核心有如下几点
- 以身份为中心
- 以识别、持续认证、动态访问控制、授权、审计以及监测为链条
- 以最小化实时授权为核心
- 以多维信任算法为基础
- 认证达末端
零信任架构三大技术SIM包括
软件定义边界(SDP,Software Defined Perimeter)
SDP旨在使应用程序能在需要时部署安全边界,以便将服务于不安全的网络隔离开。
身份识别与访问管理(IAM,Identity and Access Management)
微隔离(MSG,Micro Segmentation)
微隔离本质上是一种网络安全隔离技术,相比较传统的网络安全隔离,微隔离的区别在于将网络边界分割到尽可能小,这样能缓解传统边界安全理念下的边界过度信任带来的安全风险。
Istio 中的安全性涉及多个组件:
用于密钥和证书管理的证书颁发机构(CA)
配置 API 服务器分发给代理:认证策略/授权策略
安全命名信息
Sidecar和边缘代理作为Policy Enforcement Points(PEPs) 以保护客户端和服务器间的通信安全。
一组Envoy代理扩展,用于管理遥测和审计。Istio PKI 使用 X.509 证书为每个工作负载都提供强大的身份标识。伴随着每个 Envoy 代理的 istio-agent(istio-agent是指sidecar容器中的pilot-agent进程)和 istiod 一起协作来大规模进行自动化密钥和证书轮换。如下图所示完成完成身份的供应。
- istiod 提供 gRPC 服务以接受证书签名请求(CSRs)。当工作负载启动时,Envoy通过秘密发现服务(SDS)API向同容器内的istio-agent发送证书和密钥请求。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
