40、Istio安全：istio-init安全问题与SPIFFE详解

Istio安全：istio-init安全问题与SPIFFE详解

1. istio-init安全问题

istio-init容器在配置流量重定向到Envoy代理时需要提升权限。对于一些组织，尤其是使用多租户共享大型集群的组织来说，这一要求可能违反其安全标准。在多租户环境中，一个重要的安全标准是租户不能对其他租户造成损害。然而，如果应用团队没有运行特权容器的权限，就无法运行包含istio-init容器的工作负载；但如果给予应用团队运行提升权限容器的权限，这些权限可能会被滥用，从而对其他租户造成损害。

为了解决这个问题，引入了Istio容器网络接口（CNI）插件。该插件将istio-init容器的功能转移到在每个节点上运行的集中式Pod中，这些Pod为每个Pod配置流量重定向规则。这样，就不再需要istio-init容器，也不需要运行该容器所需的提升权限。更多信息可查看：https://istio.io/latest/docs/setup/additional-setup/cni 。

2. 使用PKI进行身份验证

在万维网上，通信双方的身份验证是通过公钥基础设施（PKI）提供的数字签名证书来完成的。PKI是一个框架，它定义了为服务器（如Web应用程序）提供数字证书以证明其身份，并为客户端提供验证数字证书有效性的方法。若想深入了解PKI的工作原理，可查看：https://www.securew2.com/blog/public-key-infrastructure-explained 。

PKI提供的证书包含公钥和私钥。公钥包含在呈现给客户端的证书中，用于身份验证；客户端在通过公共网络将数据传输回服务器之前，使用公钥对数据进行加密。只有拥有私钥的