ServiceMesh安全：当入侵者突破边界，如何抵御攻击？｜CNBPS2020演讲实录(6)

我们也能看到Istio授权机制的演进过程，从1.4版开始，支持基于策略的授权机制及PBAC，而之前提供的是RBAC的机制，通过左右对比，可以看到由两个CRD化简到一个CRD完成，语义功能上没有丝毫的减弱。
Istio 安全的审计功能比较简单。因为envoy的access log可以输出到标准输出，并可由kubectl logs访问。通常由PaaS平台统一收集处理，可以考虑增加过滤条件进一步便捷审计查询。
03
Linkerd安全

Linkerd是第一代service mesh，目前已经发展到第二代，由于第一代Linkerd十分笨重，第二代设计上放弃了可选实现的多样性选择。因此，第二代Linkerd非常轻量，性能非常高。Linkerd官网展示的4个案例，都是始于Istio，最终选择linkerd实施service mesh的。
默认情况下，Linkerd自动给mesh里的通讯加上双向TLS，但是对流入和流出的流量不强制加密。另外，LinkerD使用的kubenetes Service Account token目前是共享的，依赖kubernetes版本更新，将得以修复。
04
Alauda Service Mesh安全