ServiceMesh安全：当入侵者突破边界，如何抵御攻击？｜CNBPS2020演讲实录(5)

Istio通过使用JSON Web令牌（JWT）验证进行请求身份验证，便于集成使用OpenID Connect的应用。我们使用YAML文件来定义验证策略。部署后，策略将保存在Istio配置存储中。Istio控制器监控配置存储。在任何策略更改后，新策略都会转换为适当的配置，通知Envoy sidecar如何执行这些策略。验证策略可以包含用于验证JWT的公钥，以便传递给envoy sidecar。

Istio授权支持service to service的授权，以及针对最终用户和人的授权访问。Istio授权提供了一个CRD形式的灵活简单的API，我们可以自定义条件，使用DENY和ALLOW动作作为结果。
本地Envoy上执行的授权过程，保证了高性能。同时为了减轻运维人员的负担，Istio支持不同级别分级的授权机制，即从网关，到命名空间再到具体的workload的控制级别。