ServiceMesh安全：当入侵者突破边界，如何抵御攻击？｜CNBPS2020演讲实录(4)

Istio使用X.509证书为每个Workload设置强身份。Envoy代理、Istio agent和istiod协同一起工作，实现了密钥产生和证书轮换的自动化。
这个过程是这样的：Envoy通过Envoy 定义的API向Istio agent发送证书和密钥请求。Istio agent收到请求后，会先创建私钥和CSR证书签名请求,然后将请求及凭据发送到istiod。Istiod的CA验证CSR中携带的凭据，并对CSR签名以生成证书，并返回给istio agent。Istio agent 将收到的证书和私钥发送给Envoy。通过定期反复的上述过程，istio实现了密钥产生和证书轮换的自动化。

Istio身份验证包含两种类型：对等身份验证和请求身份验证。对等身份验证用于service to service的身份验证，请求身份验证用于对用户和人的身份验证。
对等身份验证用于service to service 的身份验证，以验证建立连接的客户端。Istio将来自客户端的出站流量重新路由到客户端的本地Sidecar Envoy。客户端Envoy与服务器端Envoy开始相互TLS握手。通常的TLS握手，会验证证书的签名，检查证书是否过期，以及证书里名称和域名一致。但Istio Envoy之间在握手，客户端Envoy还会进行安全的命名检查，而不是检查域名和证书是否一致，以验证服务器证书中提供的服务帐户service account是否有权运行目标服务。
客户端是通过服务发现或DNS检索证书中的服务名称的，能够防止HTTPS流量受到一般网络劫持。但是，不能防止DNS欺骗。这也说明Istio还要依赖于底层基础设施的安全保障。客户端Envoy和服务器端Envoy建立了相互TLS连接，Istio将流量从客户端Envoy转发到服务器端Envoy。授权后，服务器端Envoy通过本地TCP连接将流量转发到服务端的服务。