Istio 私钥安全与机密计算解决方案
背景
服务网格(Istio)在多提供商、多位置和多租户环境中提供优化、安全和扩展的通信管理。Istio 依赖多种私钥进行身份验证、证书注册和签名,包括服务账户密钥、服务器/客户端应用程序密钥、服务间 mTLS 密钥、CA 密钥、JWT 签名密钥和 Git 令牌保护密钥。私钥泄露可能导致证书模拟等严重安全风险。
攻击面与挑战
当前私钥安全方法包括 Kubernetes Secrets 加密、SOPS 和 HSM,但存在私钥在内存中明文存储等风险。多云和边缘计算环境增加了攻击面,包括恶意管理员、物理不安全位置和应用程序实例多样性。分布式 HSM 成为应对这些挑战的关键技术,确保私钥永不离开其安全边界。
分布式 HSM 解决方案
分布式 HSM 解决了多群集管理、证书/私钥编排和边缘/云环境中的安全密钥入职验证挑战。利用硬件可信执行环境(TEE)如英特尔 SGX,可将签操作简化为对可信飞地的函数调用,提高安全性并降低成本。
技术实现
- 英特尔 SGX:通过 Crypto11 和 GoCrypto 集成,支持基于 PKCS11 的 HSM 与英特尔 SGX 飞地交互。
- 多群集管理:支持大量 Kubernetes 集群和应用程序的集中式密钥管理。
- 安全流程:包括密钥请求、生成、CSR 生成、签名和分发等步骤,确保私钥全程安全。
应用场景
- CA 密钥的分布式 HSM:开源项目支持多 CA,与证书经理生态系统集成。
- mTLS 密钥的分布式 HSM:Envoy 设计建议书提供解决方案。
- 应用程序密钥的分布式 HSM:网关部署的多副本支持跨节点自动扩展。
当前状态
- CA 密钥的分布式 HSM:开源项目支持多 CA,生态集成。
- 应用程序密钥的分布式 HSM(网关):Istio 设计建议书。
- mTLS 密钥的分布式 HSM:Envoy 设计建议书。
结论
分布式 HSM 通过英特尔 SGX 等技术,为 Istio 提供全面的安全解决方案,确保私钥在分布式环境中的安全性,支持多云和边缘计算需求。
