ServiceMesh安全:当入侵者突破边界,如何抵御攻击?|CNBPS2020演讲实录(2)
2023-05-20 来源:飞速影视
02
全方位Istio安全
这张图来自Istio官网。Istio安全性的目标是:
默认情况下的安全性:无需更改应用程序的代码和基础架构深度防御:与现有安全系统集成以提供多层防御零信任网络:在不受信任的网络上构建安全解决方案
说到底,Istio安全主要有两项功能:即无代码侵入前提下,实现流量加密和AAA(验证、授权、审计)。流量加密,用来解决零信任网络的问题。Istio的AAA是在集成现有安全协议/标准之上实现的,这些安全协议/标准包括双向TLS,JWT,OpenID Connect等。
其他描述都是支撑这两大功能:秘钥和证书管理都是为支撑流量加密的基础设施;identity用来支撑身份验证机制;policy用来支撑授权机制;endpoints,communication,data都是加密的对象。
这张图显示了Istio安全体系架构,构建于Istio控制平面和数据平面的基础架构之上。控制平面主要实现如下功能:
Citadel组件作为证书颁发机构(CA),用于密钥和证书管理接受来自API server下发的配置信息:认证策略、授权策略、安全的命名信息Pilot组件负责下发配置信息给Sidecar proxy。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号