服务网格安全最佳实践 - 从实施到验证 - Anthony Roman & Lei Tang

服务网格安全体系结构

• 攻击向量：包括边缘群集、控制平面、特权升级、工作负载应用程序妥协、操作拒绝服务、中间人攻击等。
• 服务网格安全架构：通过KMS、K8s RBAC、Certificate Authority、入口/出口Policies、用户认证、控制平面硬化、WAF/IDS、工作负载防火墙、K8s CNI数据丢失预防、工作负载身份认证、授权策略、K8s网络Policy、Operations K8s RBAC、Image验证、Audit日志记录、AdmissionControl、Istio安全Releases等机制实现完整的安全覆盖，确保一致性、完整性、可见性和深度。

服务网格安全最佳实践

• 边缘安全：
  • 定义出口安全策略抵御外部渗透和僵尸网络攻击。
  • 部署Web应用程序防御DDoS、注入、远程执行攻击。
  • 定义防火墙和虚拟专用网络锁定外部访问。
• 群集安全性：
  • 定义入口安全策略控制对服务的访问。
  • 部署Web应用程序防御DDoS、注入、远程执行攻击。
  • 使用Istio身份验证和授权每个服务的策略，默认拒绝并使用mTLS防御数据转换。
  • 交换外部凭据到内部令牌捍卫对抗令牌重放攻击。
  • 定义策略约束自动验证策略异常是否符合预期。
  • 使用K8s网络策略限制流量绕过侧灯服务。
  • 强制实施边界命名空间，使用K8s网络策略和RBAC策略限制访问。
• 工作负载安全性：
  • 使用看门人扫描漏洞验证图像限制权限。
  • 使用Istio CNI二进制授权。
• 运营安全：
  • 使用GitOps自动管理源网状政策的真相。
  • 自动拒绝无效的配置组合。
  • 监控审计日志。

服务网格安全的生命周期和demo

• 安全生命周期概念：包括监控安全性、加强安全机制、验证安全性机制按预期工作，通过普罗米修斯、GitOps、多层安全机制、Edge审核日志、Metrics、Kiali、看门人、工作负载RBAC、安全测试工具、安全仪表板、Operation等实现全面部署。
• 演示：
  • 仅允许授权图像。
  • 仅允许授权图像仅允许授权的例外。
  • 禁止非严格的mTLS。
  • 验证mTLS。
  • 监控mTLS。

资源

• Istio服务网格安全最佳实践
• Anthos服务网格安全最佳实践