手机站:/m

华为云_济宁建服务器和云服务器-设局网站_怎么买

时间:2021-07-13 13:37编辑:淘客樊里来源:淘客樊里当前位置:主页 > 云解析 >

华为云_济宁建设局网站_怎么买

欢迎来到Istio服务mesh系列的第三部分。到目前为止,我们已经讨论了使用Istio这样的服务网格的好处,还演示了如何部署应用程序和管理流量。在这篇文章中,我们将看到一些让IT专业人士夜不能寐的东西:安全性。

正如我们在之前的文章中所讨论的,我们看到了容器、Kubernetes和微服务的加速采用,这是由提高开发人员生产力、部署速度和操作可伸缩性的愿望所驱动的。这些技术和范例的采用导致了一个动态的生产环境,其中容器化的工作负载被部署到一个主机池(或vm)中,并且通常是短暂的。此外,当微服务作为网络端点公开时,周界内的网络表面积显著增加。最后,iot物联网,基于IP的网络流日志不再足以证明对内部和外部利益相关者的遵从性。因此,有必要重新考虑针对此类环境的传统网络安全方法。

因此,Istio的一个更重要的价值主张是,如何在不牺牲开发人员生产力的情况下有效保护您的现代生产环境。

鉴于生产网络和网络中威胁的激增随着特权访问点的增加,微服务体系结构越来越需要采用零信任的网络安全方法。这种方法要求所有访问都经过强身份验证、基于上下文授权、记录和监控……并且必须针对动态生产环境对控件进行优化。

Google Kubernetes Engine(GKE)上的Istio在一些方面有助于实现这些安全目标。

它提供了深度防御;它在现有的第3层网络安全控件之上分层,大数据的前景,以提供独立的网络安全层。它为实现零信任网络安全提供了基础,其中信任和访问由强认证的对等体身份和请求的附加上下文来确定,而不是由同一网络周界内的存在来确定。它使您能够使用捕获服务标识和第7层属性(而不仅仅是5元组信息)的访问日志来演示法规遵从性。最后,它允许您在默认情况下配置此安全性—您无需更改应用程序代码或基础结构即可将其打开。

演示Istio安全层价值的最佳方法是在实际操作中显示它。具体来说,让我们来看看Istio on GKE如何通过验证服务或用户是谁来帮助您采用零信任安全方法,大数据可视化平台,以及我们是否可以信任他们是他们所说的那个人,以及授权这个用户或服务拥有什么特定权限。它们共同保护您的环境免受安全威胁,如使用被盗凭据进行访问和重放攻击,大数据的发展前景,并确保敏感数据的安全。正如您所读的,您可以跟随这个实际演示。

使用相互TLS进行身份验证

使用微服务身份验证的反模式之一是依赖承载令牌(例如JWT)对对等方进行身份验证。承载令牌可以从源、目的地或通过中间人攻击窃取并重放,从而实现威胁的横向移动和权限提升。

缓解此风险的方法是确保对等方仅使用不可移植的身份进行身份验证。相互TLS身份验证(mTLS)确保对等身份绑定到TLS通道并且不能重放。它还确保在传输过程中对所有通信进行加密,物联网是啥,并降低了目标服务的中间人攻击和重放攻击的风险。虽然相互TLS有助于强烈识别网络对等方,但最终用户身份(或来源身份)仍然可以使用承载令牌(如JWT)进行传播。

虽然mTLS是一种重要的安全工具,但管理起来往往很困难且耗时。首先,您必须创建、分发密钥和证书,并将其轮换到大量服务。然后,您需要确保在所有客户机和服务器上正确地实现了mtl。当您采用微服务体系结构时,手动方法很难扩展到越来越多的服务。最后,传统的用于TLS的X.509证书用于识别域,并且没有针对验证工作负载进行优化。

GKE上的Istio支持MTL,可以帮助缓解许多此类挑战。它自动化密钥和证书管理,包括生成、分发和轮换,其证书使用服务标识(相对于主机或域)标识工作负载。Istio使用特使sidecar代理来执行mTLS,不需要修改代码就可以实现。使用服务标识的方法实现了跨集群和云的工作负载可移植性,而无需更改访问控制策略。通过从一个简单的下拉菜单中选择一个mTLS选项,您可以在GKE上轻松地启用Istio mTLS。

上一篇负载均衡_建设部建物联网技术应用-造师网站_免费申请

下一篇域名交易_万方数据云服务器比较-库免费入口_超低折扣

云市场知识本月排行

云市场知识精选