将单一应用程序分解为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。但是,微服务也有特殊的安全需求:

  • 为了抵御中间人攻击,需要流量加密。
  • 为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。
  • 要确定谁在什么时候做了什么,需要审计工具。

Istio Security 尝试提供全面的安全解决方案来解决所有这些问题。

本文概述了如何使用 Istio 的安全功能来保护您的服务,无论您在何处运行它们。
特别是 Istio 安全性可以减轻针对您的数据、端点、通信和平台的内部和外部威胁。

安全性 - 图1

Istio 安全功能提供强大的身份,强大的策略,透明的 TLS 加密,认证,授权和审计(AAA)工具来保护你的服务和数据。

Istio 安全方面的目标是:

  • 默认就是安全的,应用程序代码和基础设施无需更改
  • 与现有安全系统集成以提供多层防御
  • 零信任网络:可以在不受信任的网络上构建安全解决方案

架构设计

Istio 身份认证

公钥基础设施(PKI)

认证流程

授权