2024年网络安全最全服务网格Istio自身服务的安全风险(1)

最新推荐文章于 2025-07-01 16:06:46 发布
原创 最新推荐文章于 2025-07-01 16:06:46 发布 · 805 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #istio

Istio是一个完全开源的服务网格,它可以作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的API接口。Istio多样化的特性可以帮助我们成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。同时Istio的安全特性解放了开发人员,使其只需要专注于应用程序级别的安全。Istio提供了底层的安全通信通道,并为大规模的服务通信管理认证、授权和加密。

在1.5版本时Istio进行了一次大的变更,由原来的微服务架构转变成了单体架构。在之前版本其由Pilot、Citadel、Galley等多个微服务组成,现在只需要一个istiod的单体服务。

数据面(Data Plane)

===============

数据面负责数据的转发,一般我们常见的通用网关,Web Server,比如Nginx、Traefik都可以认为是数据面的一种。在Service Mesh的开源世界中,Envoy可以说是最知名的数据面了。Istio使用了Envoy来处理集群中服务之间以及从服务到外部服务的进出流量。它简化并增强了微服务之间通过基础平台提供的网络交互。

另外数据面并非局限于网关类产品,实际上某些RPC框架也可以充当数据面,比如gRPC就已经支持完整的xDS,其也可以当作数据面使用。需要知道的是,一般我们会把负责数据转发的数据面也称为Sidecar。

控制面(Control Plane)

==================

通过xDS协议对数据面进行配置下发,以控制数据面的行为,比如路由转发、负载均衡、服务治理等配置下发。

最新版本的Istio控制面由以下几个组件组成。

  • Pilot:Istio控制面中最核心的模块,负责运行时配置下发,具体来说,就是和Envoy之间基于xDS协议进行的各种Envoy配置信息的推送,包括服务发现、路由发现、集群发现、监听器发现等。

  • Citadel:负责证书的分发和轮换,使Sidecar代理两端实现双向TLS认证、访问授权等。

  • Galley:配置信息的格式和正确性校验,将配置信息提供给Pilot使用。

数据面风险

=====

istio数据平面的核心是proxy,其以Sidecar模式运行,每个服务pod启动时伴随启动istio-init和proxy容器。其中proxy容器对内外开放了许多端口用于监控以及运维。

netstat -ln

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 0.0.0.0:15021           0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:15090           0.0.0.0:*               LISTEN

tcp        0      0 127.0.0.1:15000         0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:15001           0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:15006      

最低0.47元/天 解锁文章

200万优质内容无限畅学
AI算力网络与通信:弹性网络的安全保障措施
AI天才研究院
07-09 793
随着大模型(如GPT-4、PaLM)与边缘智能的普及,AI算力网络已成为支撑大规模AI训练与实时推理的核心基础设施。其弹性特征(动态资源分配、节点按需加入/退出、负载自适应调整)带来了前所未有的安全挑战——传统静态安全模型(如防火墙、VPN)无法应对动态环境下的身份伪造、数据泄露、资源滥用等风险。本文从第一性原理出发,构建了弹性网络安全保障的理论框架(动态信任模型、博弈论防御策略),设计了分层架构(算力层-通信层-调度层-安全层),并结合生产级实现(Rust安全组件、Istio服务网格、量子密钥分发)与。
Linux安全加固:从攻防视角构建系统免疫
SEU123WW的博客
06-08 1240
在日益复杂的网络威胁环境中,Linux系统安全已从被动防御转向主动免疫。2023全球网络安全报告显示,**高级持续性威胁(APT)攻击**同比增长65%,平均入侵停留时间缩短至48小时。本章将从攻防双重视角出发,深入探讨Linux 6.x的安全加固技术,揭示如何构建从硬件到应用的纵深防御体系,实现真正的系统免疫。
Istio中的安全策略
JosephThatwho的博客
03-15 833
服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
Istio 安全
Doub1's Blog
11-26 467
Istio 安全引言认证策略DestinationRule 中的 TLSSettings 引言 本篇文章简单讲讲Istio安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求的服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
Istio安全
qq_42747099的博客
04-01 400
认证 Istio授权 启用授权 使用RbacConfig对象启用Istio授权。 RbacConfig对象,可以指定mode值进行权限限制: OFF:禁用Istio授权。 ON:为网格中的所有服务启用了Istio授权。 ON_WITH_INCLUSION:仅对inclusion字段中指定的服务和命名空间启用Istio授权。 ON_WITH_EXCLUSION:对网格中的所有服务启用Ist...
Istio安全
Linux_cui的博客
08-14 481
istio安全认证
istio服务安全
wenwenxiong的专栏
04-26 1524
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
颠覆传统容器:WebAssembly在服务网格中的革命
最新发布
python,运维,测试,数据分析,人工智能
07-01 647
WebAssembly颠覆服务网格容器技术 WebAssembly(Wasm)正在重塑服务网格架构,其轻量级特性解决了传统容器的三大痛点:启动慢(1.5s→5ms)、资源消耗大(512MB→18MB)和安全风险高(2000+CVE→零系统调用漏洞)。作为二进制指令格式,Wasm通过WASI接口实现高效安全的沙箱环境,在服务网格中展现出革命性优势: 性能突破:冷启动速度提升300倍,AI推理服务部署密度提高20倍 资源优化:内存占用减少96%,千节点集群可节省494GB内存 安全增强:无直接系统调用权限
容器安全终极防御指南:从漏洞扫描到内核级防护(含CVE-2024-危机应对)
资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
04-25 1671
🔥基于Docker最新runsc漏洞分析,手把手构建企业级容器安全体系!
服务网格Istio自身服务安全风险
weixin_50205273的博客
05-11 2671
Istio是目前最受关注的服务网格之一,越来越多的公司开始落地Service Mesh架构,并将已有的系统接入Service Mesh。同时随着零信任网络的发展,东西向,南北向流量都需要提供足够的安全保护,因为Istio自身提供了多种安全特性,所以也出现不少基于Istio的零信任架构。在安全中通常关注的重点是南北流量,而我们应该认识到,在云原生的环境下,东西流量安全也应该受到足够的重视。 在Istio默认的配置中,其在集群内暴露了许多未授权和明文传输的服务。通常情况下,这会引起攻击者的注意,当恶意攻击者进
envoy_利用Envoy堆漏洞
weixin_26722031的博客
07-31 1382
envoyAt Google, we have a commitment to enhancing the security and reliability of the Envoy proxy. We have dedicated initiatives around hardening, fuzzing, and responding to CVEs that are intended to ...
istio对外暴露服务
开心就好的专栏
06-07 1145
istio对外暴露服务
Istio 将应用暴露到互联网
小楼一夜听春雨,深巷明朝卖杏花
07-19 680
因为没有为其指定应用的域名,所以会转到后端的httpbin和nginx这两个应用,这是不行的。在配置gateway和虚拟服务的时候,里面hosts没有明确的定义是哪一个服务的,都是用*来表示。那么这样就创建了3个80端口,同时是http这样一个gateway。所以要将istio网格这边的服务,暴露到集群外部来,前面加上负载均衡器,然后根据域名去分流。在实际部署中,K8s集群一般部署在内网,为了将暴露到互联网,会在前面加一层负载均衡器(公有云LB产品、Nginx、LVS等),用于流量入口,将用户访问的域名传递
一探istio-proxy(envoy)容器里的秘密
weixin_30357231的博客
07-25 678
今天,在测试环境跑通了istio。 惭愧,是用MicroK8s跑的,其它环境,不敢呀。 基本功能都OK了。 在运行了istio-injection=enabled之后,每个pod运行时,会多一个istio-proxy容器。这是istio功能实现的关键。 那,这里面都有什么进程呢? /usr/local/bin/pilot-agent /usr/local/bin/envoy 而p...
istio1.8网关暴露
weixin_42562106的博客
06-08 605
暴露网关out-api.yaml apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: out-api-gateway namespace: opx spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts:
istio学习笔记 - 2 (envoy源码分析)
weixin_43490818的博客
04-15 483
istio学习笔记 - 2 (envoy源码分析)
【云原生 | Envoy 系列】--Envoy 动态配置及配置源-基于文件系统订阅
Q先生
09-28 1351
【云原生 | Kubernetes 系列】--Envoy 动态配置及配置源-基于文件系统订阅
Envoy集群管理-Day03
qq_42515722的博客
10-15 651
主要讲集群管理
云原生 envoy xDS 动态配置 java控制平面开发 支持restful grpc实现 EDS 动态endpoint配置
liuyij3430448的博客
08-16 2346
Envoy 的强大功能之一是支持动态配置,当使用动态配置时,我们不需要重新启动 Envoy 进程就可以生效。**Envoy 通过从磁盘文件或网络接口**读取配置,动态地重新加载配置。动态配置使用所谓的发现服务 API,指向配置的特定部分。这些 API 也被统称为**xDS 即 (xxx discovery service)**
Istio 1.15.3:Kubernetes服务网格的流量管理与安全
Istio服务网络提供了一层抽象,使得开发者可以专注于应用程序的业务逻辑,而不必担心服务间的通信问题。Istio对于传统的非容器化工作负载也支持,它能够通过服务网格提供相同的服务发现、负载均衡、安全性等特性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值