ServiceMesh安全：当入侵者突破边界，如何抵御攻击？｜CNBPS2020演讲实录(3)

数据平面在安全方面则提供两大功能：
Sidecar和外围代理充当策略执行点 （PEP），以保证客户端和服务器之间的通信。一组Envoy代理扩展，用于管理遥测和审计
总之，控制平面处理来自API server的配置信息，并下发到数据平面，数据平面sidecar Envoy充当策略执行点执行安全策略。

双向TLS就是Service Mesh安全的基础，流量加密和AAA都是基于双向TLS实现的。双向TLS包含一个握手的过程，用于相互检查验证对方身份，这里都是可选操作，可以选择单向验证，甚至不验证。然后是交换对称秘钥，最后用对称秘钥加密通讯内容。
这里验证身份的过程就是利用证书来完成的，证书就是一个passport，由证书权威机构签发的，有时效性的包含你是谁的一段信息。这里签发就是用证书权威机构的私钥给这段信息的摘要签名的过程。
验证过程就是检查证书权威机构是否被信任，证书是否过期，以及检查证书持有者的IP，域名或服务名和证书是否一致。
Istio的安全模型都是围绕双向TLS实现的：
自建证书权威机构，让私钥和证书轮换自动化强制双向的身份认证客户端检查服务端身份的同时，还要检查谁在运行服务端，这个人是否有资格运行服务端服务端检查客户端身份的同时，启动授权机制，检查客户端是否有权访问服务端的资源Istio提供了一个相当灵活的身份模型。Istio使用service identity作为身份，可以表示人类用户，单个workload或一组workload。支持多种公有云平台，在没有服务身份的平台上，Istio可以使用服务名称作为Workload实例的身份。