istio 认证:对等身份认证+服务请求认证

原创 已于 2024-03-11 14:04:00 修改 · 1.1k 阅读 · 21
标签
#istio #网络 #服务器
于 2023-12-19 14:40:09 首次发布
本文介绍了istio中两种身份认证方式:对等身份认证(PeerAuthentication)和服务请求认证(RequestAuthentication)。对等身份认证通过mTLS实现,涉及证书获取流程、配置定义和作用范围;服务请求认证主要使用JWT令牌,详细阐述了istio的JWT认证流程。这两种认证策略支持全服务网格、命名空间和工作负载不同范围的配置,以及端口粒度的灵活性。

istio 中有两种不同的身份认证方式:

  1. 基于 mTLS 的对等身份认证 PeerAuthentication
  2. 基于 JWT(JSON Web Token)令牌的服务请求认证 RequestAuthentication

对等身份认证 PeerAuthentication

概念

  • 提供服务到服务的认证
  • 服务网格的主要场景就是服务到服务的认证
  • 基于双向 TLS 实现对等身份认证

证书获取流程

在这里插入图片描述

  1. Envoy 向 pilot-agent 发起一个 SDS (Secret Discovery Service) 请求,要求获取自己的证书和私钥
  2. Pilot-agent 生成私钥和 CSR(Certificates Signing Request,证书签名请求),向 Istiod 发送证书签发请求,请求中包含 CSR 和该 pod 中服务的身份信息
  3. Istiod 根据请求中服务的身份信息(Service Account)为其签发证书,将证书返回给 Pilot-agent
  4. Pilot-agent 将证书和私钥通过 SDS 接口返回给 Envoy

配置定义

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: test
  namespace: test
spec:
  selector:
    matchL
最低0.47元/天 解锁文章
istio入门到精通【400节大课】
07-10
为什么使用istio:云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。教学内容:istio原理,envoy原理,envoy案例,envoy配置,istio crd配置,istio流量管理,istio安全配置,istio可观察性,istio策略控制,istio升级,istio常见问题,istio wasm,istio多控制面板,gateway-api,slime教学特色:a.1000多个istio实战案例,20多个envoy案例。800多个envoyfilter案例,全程已实战为主,理论相对较少,案例90%可试验b.涵盖98%以上crd字段配置c.不仅讲解yaml配置,同时结合envoy配置讲解d.不回避难点内容,深入讲解envoyfilter配置e深入讲解envoyf详细讲解额外内容,比如gateway-api,wasm,升降级,发布,灰度发布,蓝绿发布,istioctl命令,slime,多控制面板,多集群,常见问题g以一个完整案例串联所有内容h以markdown文件提供课件,内容详细,方便大家练习I有学员指出我的istio课程不够突出重点,安装80/20原则,20%内容是常用的,那我是否就讲这20%就可以了呢,其他课程确实是这么干的,他们只讲擅长的20%,我的目的不是这样的,我希望istio课程买我的一个就够了,让你全面学习istio,甚至遇到偏的问题不需要百度,课程里就有讲过,但是难免会出现一个问题,就是不够突出重点,我尽量兼顾全面的时候突出重点,讲到重点,核心功能时我会提示下。 
安全保障基于软件全生命周期-Istio认证机制
qiaotl的博客
07-27 1464
通过实际例子演示Istio中的认证工作原理(包括PeerAuthentication和RequestAuthentication)
Istio的mTLS认证
Micky_Yang的博客
08-14 3814
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务与服务之间的身份认证与授权。      mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar中,在具体进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
k8s实战之istio资源详解
07-02
云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。本课程详细讲解istio的各种crd资源,如何写yaml配置文件,以及他们会起什么作用。
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 3121
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
Istio服务网格安全:身份认证集成深度解析
gitblog_00715的博客
09-03 1203
在云原生时代,微服务架构带来了前所未有的灵活性和可扩展性,但同时也引入了复杂的安全挑战。传统的边界安全模型在动态的微服务环境中显得力不从心,服务间的通信安全、身份验证和授权成为关键问题。Istio作为领先的服务网格解决方案,提供了一套完整的安全机制,其中身份认证集成是其核心能力之一。 通过本文,您将深入了解: - ✅ Istio身份认证体系架构与工作原理 - ✅ JWT(JSON Web To...
2023.11.25-istio安全
xnxqwzy的博客
03-29 5931
安全是一个非常重要的话题,但也是平时容易被忽略的一个话题,我们在开发应用的时候,往往会忽略安全,但是当应用上线后,安全问题就会暴露出来,这时候就会造成很大的损失。Istio通过在服务之间注入 Sidecar 代理,来实现对服务之间的流量进行控制和监控,从而实现服务之间的安全通信。接下来我们将从**证书管理、认证、授权**等几个方面来学习 Istio 的安全机制。将单一应用程序拆分为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。为了抵御中间人攻击,需要流量加密。
Istio mTLS:服务间通信的加密与身份认证
2501_93893169的博客
11-03 634
mTLS 是标准 TLS(Transport Layer Security)协议的扩展,在传统 TLS 中,只有服务器向客户端提供证书以证明身份;而在 mTLS 中,双方(客户端和服务器)都需要提供证书,实现双向身份认证Istio 利用其 Sidecar 代理(如 Envoy)自动注入到每个服务实例中,无缝集成 mTLS。通信加密:所有服务间流量(如 HTTP/gRPC)被加密,防止窃听和中间人攻击。身份认证:每个服务必须验证对方的证书,确认其身份,防止未授权访问。零信任安全模型。
云原生应用安全:ServiceMesh(Istio)下的流量加密与身份认证实践
2501_93878622的博客
10-30 843
数学上,TLS握手涉及密钥交换算法(如Diffie-Hellman),其中共享密钥$k$通过离散对数问题计算: $$k = g^{ab} \mod p$$ 这里,$g$是生成元,$p$是大素数,$a$和$b$是各方私钥。加密过程使用对称密钥(如AES),加密消息$m$为$c = E_k(m)$,解密为$m = D_k(c)$。ServiceMesh(如Istio)作为基础设施层,提供了强大的流量管理和安全能力,包括自动化的流量加密和身份认证机制。身份认证验证服务或用户的身份,防止未授权访问。
Istio_03_Istio安全
爱喝可乐的w
09-26 605
Istio的安全机制和应用
Istio 服务网格安全:TLS 加密与身份认证
2501_93892956的博客
11-01 280
TLS 加密:保障数据传输机密性,基于数学原理如 $c = E_k(m)$。身份认证:确保服务身份可信,依赖证书验证公式 $s^e \mod n = \text{hash}(m)$。最佳实践:始终启用严格 mTLS 模式,并定期轮换证书(Istio 自动处理)。这减少了攻击面,符合云原生安全标准。实际部署时,参考Istio 官方文档获取最新细节。如有具体场景问题,请提供更多细节以进一步优化!
为什么 Istio 要使用 SPIRE 做身份认证
dotNET跨平台
06-27 412
今年 6 月初,Istio 1.14 发布[1],该版本中最值得关注的特性是新增对 SPIRE 的支持。SPIFFE[2]和 SPIRE 都是 CNCF 孵化项目,其中 SPIRE 是 SPIFFE 的实现之一。本文将带你了解 SPIRE 对于零信任架构的意义,以及 Istio 是为何使用 SPIRE 实现身份认证。Kubernetes 中的身份认证我们都知道 Is...
终极指南:Istio服务网格安全之身份认证集成深度解析
最新发布
gitblog_00811的博客
03-16 350
Istio 作为开源服务网格的佼佼者,为微服务和应用程序提供了强大的连接、管理和保护能力。在当今复杂的分布式系统中,身份认证是保障服务通信安全的核心环节。本文将带你深入探索 Istio 服务网格中身份认证的集成方案,从基础概念到实际应用,助你构建安全可靠的微服务架构。 ## 为什么身份认证对服务网格至关重要? 在微服务架构中,服务间的通信频繁且复杂,传统的网络边界防护已难以应对内部威胁。Ist
详解istio mtls双向身份认证
小诸葛的博客
10-10 629
Istio 服务网格中,如果两个 Pod 都已注入 Sidecar 代理(即都在网格内),它们之间的通信流量。这是通过互信 TLS(mTLS,Mutual TLS)实现的,Istio 会自动将网格内部流量升级为 mTLS,确保服务间加密传输和身份验证。
第五部分 Istio认证和授权策略
小郑的专栏
04-29 2606
认证策略 通过上一部分认证架构可以了解到,认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略,需要在 DetinationRule 中设置 TLSSettings。使用者可以通过yaml文件来编写认证策略,然后使用 istioctl 进行部署。 例如,要求 reviews 服务必须使用双向 TLS: apiVersion: "authentication.istio....
Istio Citadel 安全组件终极指南:深入理解服务网格身份认证与证书管理 [特殊字符]
gitblog_01069的博客
01-17 490
Istio Citadel 是 Istio 服务网格中负责身份认证和证书管理的核心安全组件,作为服务网格安全架构的基石,它确保微服务间的通信安全可靠。在 Istio 1.5 版本之后,Citadel 从独立进程被整合到 istiod 中,但其在 mTLS 双向认证和证书自动轮换方面的功能依然至关重要。 ## Citadel 安全架构解析 🏗️ Istio 的安全架构由数据平面和控制平面协同工
Istio 安全详解
悦分享
01-30 269
通过将一个单一应用划分为多个原子服务的方式,可以提供更好的灵活性,可扩展性以及重用服务的能力。抵御中间人攻击,需要用到流量加密提供灵活的服务访问控制,需要用到TLS和细粒度访问策略决定哪些人在哪些时间可以做哪些事,需要用到审计工具为了解决这些问题,istio提供了完整的安全方案。本章节全面介绍了如何使用istio对服务进行安全加固(无论该服务运行在哪里)。特别地,Istio的安全性可减轻来自内部和外部的(对数据,终端,通信和平台的)威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快,把我桶也提着

如果对您有帮助欢迎支持哦~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值