ServiceMesh安全：当入侵者突破边界，如何抵御攻击？｜CNBPS2020演讲实录

大家好，我是来自灵雀云的邢海涛，今天演讲的主题是Service Mesh安全，主要从四个方面来跟大家做一下分享。首先介绍Service Mesh 安全需求，然后详细介绍Istio的安全实现，随后介绍两款Service Mesh产品的安全特性：LinkerD 和 Alauda Service Mesh。希望通过这个演讲，让大家了解Istio的无代码侵入，灵活的安全解决方案，启发大家思考自己的安全解决方案，以及如何迁移到Istio的安全模型。
01
Service Mesh安全需求
安全无处不在。为了适应企业数字业务的快速发展，企业应用架构正在从单体架构过渡到微服务架构。一方面，微服务架构带来更好的敏捷性，可伸缩性和更好的重用服务能力。另一方面，架构师不得不面对汹涌的网络攻击。
同时，结合无处不在的互联网访问，设备扩展和云计算，企业应用还要面对更多防火墙内部和外部的基础设施、系统和用户数量。企业应用不得不面对零信任网络环境。

我们认为，Service Mesh安全需求可以分为上面三类：网络攻击、服务访问控制和审计。防御网络中间人攻击，流量加密是必须的。为了提供对应用和用户的访问控制，Service Mesh需要双向TLS和细粒度的访问策略。为了确定谁在什么时候做了什么，需要审计工具。