Gatekeeper + Istio, FTW - Mathieu Benoit & Ernest Wong

Istio + 看门人

议程

• Q&A
• 什么是 Gatekeeper?
• 实施 Istio 的最佳实践

什么是 Gatekeeper?

• 政策定义: 管理软件系统的行为，包括政策评估和执行，涉及安全性、合规性、软件供应链。
• 政策示例:
  • 仅允许从 gcr.io 部署容器映像。
  • 服务不得在 Kubernetes 集群中使用 "type: LoadBalancer"。
• 开放策略代理 (OPA): 2021 年毕业于 CNCF。

Gatekeeper 功能

• 功能: 政策评价、策略作为代码 (Rego)、上下文感知、声明式通用政策引擎。
• 看门人: Kubernetes 准入控制器，包括 kubectl、CI/CD 等，作为 Kubernetes API 服务器扩展的 OPA Policy 强制执行。
• 入学申请/响应: JSON 格式，包含突变、外部数据等。
• CRD: 包含策略 (Rego)，其他 Kubernetes 资源。

约束模板

• 定义: 包含 Rego 策略，约束的架构（策略），类比：面向对象编程中的类。

约束

• 定义: 约束模板的实例，类比：面向对象编程中的对象。

参考政策

• 功能: 将不同类型的资源同步到 Gatekeeper 的缓存中，多对象复杂策略。

Gator CLI

• 功能: 用于在本地对约束模板和约束进行单元测试的 CLI。

Istio 安全最佳实践

• 核心组件: 服务间通信、入口网关、mTLS、周边政策强制执行、安全命名政策执行、Certmgmt、路由选择、遥测数据流控制、流控制。
• 最佳实践建议:
  • AllowedServicePortName
  • PeerAuthnMeshStrictMtls
  • PeerAuthnStrictMtls
  • DestinationRuleTLSenabled
  • Enforce sidecar proxies injection
  • K8sRequiredLabels
  • 实施授权政策 (AuthzPolicyDefaultDeny)
  • 强制服务端口名称
  • 侧面注射注释
  • 实施严格的 mTLS
• 部署策略: 左移强制提交、强制执行 Review、合并部署、推或拉强制执行。

资源

• 演示资源: https://github.com/mathieu-benoit/istio-gatekeeper-demos
• 其他会议: 观看 IstioCon 2022 的其他会议，其中很多人谈论 Istio 的安全最佳实践。
• 相关主题: Istio、Istio 安全最佳实践、看门人、kpt 看门人、The Rego 游乐场。

Q&A

• 谢谢!