IstioCon张磊路遥钟引入 TLS Bumping 以将 SASE 功能与服务网格集成
什么是 SASE
SASE(安全访问服务边缘)是一种技术,通过将广域网(WAN)和安全控制作为云计算服务直接交付至连接源(用户、设备、分支机构、物联网设备),而非数据中心。
服务网格和 SASE 的集成
SASE安全功能运行在云边缘,Kubernetes在云边缘广受欢迎,服务网格提供强大的流量管理。将SASE安全功能与服务网格结合是可行的。
先决条件
实现SASE功能需要以下先决条件:
- TLS bumping(使用Envoy作为前置代理以解密TLS流量)
- 通过WASM插件实现的安全功能(SWG、CASB、DLP和ModSecurity)
- CA密钥保护
TLS 碰撞
场景 1(边车)
场景 2(代理)
使用 CONNECT 的 TLS 碰撞
- CONNECT支持用于隧道,不支持模仿证书。
- 不支持在运行时颁发证书。
- 仅颁发内部服务证书。
Envoy 增强功能
当前设计
- 侦听器过滤器终止 HTTP1 CONNECT。
- 下游优先安全连接。
- 基于SNI的模拟证书。
- 单向模仿。
配置设置
- conn_handler侦听器过滤器。
- 将CA cert设置为下游TLS传输套接字。
Demo
- Envoy作为透明代理。
- 将Envoy指定为前台代理。
- 没有 HTTP CONNECT 的 TLS 碰撞。
- 使用 HTTP CONNECT 的 TLS 碰撞。
未来计划
- 支持终止http2/3 CONNECT。
- 上游优先安全连接。
- 基于真实服务器证书的模拟证书。
- 相互模仿。
- Istio集成。
预期流量
无具体数据。
联系方式
lei.a.zhang@intel.com, luyao.zhong@intel.com
