博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
使用服务网格提高安全性:Christian Posta带你探索Istio的新功能
阅读量:6079 次
发布时间:2019-06-20

本文共 4638 字,大约阅读时间需要 15 分钟。

\

主要结论

\\
  • Istio意在让“服务网格(Service Mesh)”这个概念变得更具体、更好理解,最新发布的Istio 1.0有望获得业界的广泛关注。\\t
  • Istio试图解决通过云平台运行应用程序时可能面临的一些困难挑战:应用程序网络、可靠性以及可观测性。\\t
  • Istio还希望解决安全性这个问题。借助Istio,网格中不同服务间的通信将更安全,并默认加密。\\t
  • Istio还有助于解决“源头”和“最终用户”的JWT标识令牌验证问题。\\t
  • 这些基础的安全功能可以帮助我们构建“零信任”网络,借此根据标识、上下文情境以及具体情况来分配信任,而不再让“调用方恰巧位于同一个内部网络中”。\
\\

意在让“服务网格”这个概念变得更具体、更好理解,最新发布的Istio 1.0有望获得业界的广泛关注。InfoQ之前的文章中,Jasmine Jaksic曾经详细,因此本文我想重点介绍Istio在安全领域采取的措施,这些功能将会为云服务的开发和运维人员提供巨大价值。

\\

Istio的用例

\\

Istio试图解决通过云平台运行应用程序时可能面临的一些困难挑战。具体来说,Istio主要解决了应用程序网络、可靠性和可观测性等问题。以往我们通常会使用预构建的应用程序库来应对这些挑战,如断路器、客户端负载均衡、指标集(Metrics collection)等。然而跨越不同语言、框架、运行时等内容这样做,会造成大部分组织都无法承受的运营负担。

\\

此外,这种做法也很难确保在每种语言的实现中维持一致,更不用提需要改动或修复Bug时用固定的步骤将它们一次升级到位了。围绕可靠性、可观测性以及策略的实施会遇到大量挑战,任何企业无一例外都会面临类似情况。虽然不同企业面临的问题基本类似,但如果不加以重视都会对业务造成巨大应向,因此必须妥善解决。Istio的目标就是解决这些难题。

\\

网络安全的重要性

\\

对应用程序团队来说,安全性是另一个共同面临,并且难以解决的问题。某些情况下,安全性只是一种事后想法,而我们往往会在最后一刻试图将它硬塞进自己的应用中。为什么?因为安全性很难做到足够好。举例来说,诸如“加密应用程序流量”这种基本工作应该很常见并且很简单,对吧?在服务端配置TLS/HTTPS也应该很简单,对吧?甚至之前的项目中可能很早就这样做过了。然而在我看来,做的到底是否正确,就不那么好判断了。加密是否使用了正确的证书?证书是否由客户端认可的CA颁发?是否选择了正确的加密算法?是否将其正确导入至证书存储/密钥库?难道不是直接在TLS/HTTPS配置中启用“—insecure”标记就行了吗?

\\

此类错误的配置可能非常危险。Istio则能提供必要帮助。Istio会在负责处理应用程序网络流量的每个应用程序实例旁部署(的)旁侧代理(Sidecar proxy)。当应用程序试图与http://foo.com通信时,将通过这个旁侧代理(使用)通信,随后Istio会将通信重定向至另一个服务的旁侧代理,并最终将通信代理至实际的上游http://foo.com。通过在请求路径上放置这些代理,即可实现类似不被应用程序知晓的透明自动加密等操作。借此无需要求每个应用程序的开发团队“做正确的事”,一样可以实现一致的流量加密。

\\

b4a733d49d4f82aa94a88b38f915b0aa.jpg

\\

在配置和维护TLS以及为服务架构搭建共用的TLS过程中,证书的管理也是难题之一。Istio的控制界面提供了Citadel组件,可以用于管理应用程序实例的证书和密钥。Citadel能够生成供每个工作负载表明自身身份所需的证书和密钥,并能定期更换,这样任何被攻陷的证书都会尽快失效。借助这样的证书,支持Istio的集群就可以自动获得共用的TLS。当然用户也可以在必要时加入自己的CA提供商根证书。

\\

36a74d519a597b5f38ced10f4c83a9f2.jpg

\\

借助Istio,网格中不同服务间的通信将更安全,并默认加密。用户无需折腾证书和CA证书链即可获得能投入实用的TLS。运营商也不再需要祈祷每位开发者正确实现并配置自己的TLS/HTTPS设置。这一切都可以通过Istio的配置自动实现。

\\

使用Istio实现mTLS

\\

Istio在配置方面采取了与Kubernetes类似的路径。实际上,在Kubernetes中,我们可以通过Kubernetes Custom Resource Definition(CRD)对象配置Istio。用于配置Istio安全策略的两个重要对象包括Policy和DestinationRule对象。Policy对象可配置服务(或一组服务)的安全设置,例如,若要配置Kubernetes中运行的一个客户名称空间中的所有服务,可以使用下列Policy对象:

\\
\apiVersion: “authentication.istio.io/v1alpha1”\kind: “Policy”\metadata:\  name: “default”\  namespace: “customer”\spec:\  peers:
\\

通过上述配置,该客户名称空间中运行的所有服务均会接受使用mTLS的传入流量。但为了使用mTLS,我们还需要告诉客户端在调用服务时使用mTLS。为此可以使用Istio的DestinationRule对象。Istio中的DestinationRule可用于配置客户端与服务的通信方式,我们可以在DestinationRule中指定很多设置,如断路器、负载均衡和TLS。若要启用mTLS,可使用下列配置:

\\
\apiVersion: “networking.istio.io/v1alpha3”\kind: “DestinationRule”\metadata:\  name: “default”\  namespace: “foo”\spec:\  host: “*.customer.svc.cluster.local”\  trafficPolicy:\    tls:\      mode: ISTIO_MUTUAL
\\

上述DestinationRule会要求客户端在发出调用,与客户名称空间中的服务通信时使用mTLS。我们还可以将TLS模式配置为ISTIO_MUTUAL,这意味着我们允许让Istio管理证书和密钥,并将其载入服务(使用Kubernetes中的Kubernetes机密),随后服务代理即可用它们来发起TLS通信。如果希望自行控制客户端证书,则可使用MUTUAL模式,并通过磁盘位置提供证书,这样客户端即可找到所需证书和私钥。

\\

使用Istio验证来源身份(借助JWT)

\\

按照上述方式使用mTLS时,不仅可以加密连接,并且更重要的是可以清楚地知道谁在调用谁。Istio使用了Secure Production Identity Framework for Everyone()规范,标识可直接编码到mTLS使用的证书中。通过这样的方式,当服务B与服务A通信时,服务A就可以确认服务B的真实身份。我们可以针对这些标识编写规则,借此决定服务网格必须应用的规则或策略。举例来说,如果服务A不允许与服务B通信,即可在每个应用程序旁侧运行的代理中,使用建立mTLS所必须的标识来实施这样的策略。

\\

但如果服务A是代表用户X向服务B发出请求又会怎样?如果服务A有权调用并访问服务B来执行某些操作(例如检查账户余额),但用户X无权这样做,如何确认并实现这一目标?在服务架构中,服务与最终用户或来源标识(登录的用户)进行通信的典型方式是传递标识令牌,例如JSON Web Token。这些令牌可以代表已经通过身份验证的用户以及这些用户的主张。

\\

Istio有助于实现“来源”或“最终用户”JWT标识令牌的验证。以往这也是个非常麻烦的领域,因为不同的应用程序语言/框架组合使得我们很难通过库来处理验证工作并解包JWT令牌。举例来说,在流行的中,为了处理这类操作,甚至为每种流行的语言提供了语言插件。但如果使用Istio,就可以更自由地实现这一切。例如,若要配置Istio在请求中使用mTLS,同时验证JWT令牌(如果令牌不存在、无效或过期,则让请求失败),我们可以配置Policy对象。毕竟Policy对象就是用于指定希望服务表现出的行为的:

\\
\apiVersion: “authentication.istio.io/v1alpha1”\kind: “Policy”\metadata:\  name: “customer-jwt-policy”\spec:\  targets:\  - name: customer\  peers:\  - mtls:\  origins:\  - jwt:\      issuer: http://keycloak:8080/auth/realms/istio\      jwksUri: http://keycloak:8080/auth/realms/istio/protocol/openid-connect/certs\  principalBinding: USE_ORIGIN
\\

通过上述配置,如果客户端试图连接至客户的服务,除非JWT身份验证成功,否则请求将无法到达服务。使用Istio的另一个优势在于请求依然可获得mTLS的保护,借此可保护JWT令牌不被泄露并用于某种类型的重播攻击。

\\

未来:零信任网络

\\

本文介绍了在构建云原生应用过程中,Istio在改善安全性方面提供的几种方法。通过在服务相互之间,以及与来源/最终用户通信过程中使用强标识机制,我们可以编写出一些非常强大的访问控制规则,借此对系统行为加以约束。这些基本功能为的搭建奠定了基础。在零信任网络中,我们可以根据标识、上下文情境以及具体情况来分配信任,而不再让“调用方恰巧位于同一个内部网络中”。随着逐渐步入全面互联模式以及混合云部署模式,我们也需要重新思考如何以最佳方式让整个架构获得安全性。Istio可以解决当今架构所面临的很多挑战,并在未来提供更丰富的选项。

\\

Istio提供了非常强大的功能,服务团队可以借此解决自己面临的很多问题。它还提供了实用的API与配置对象,借此可在应用程序服务之外进行配置。以高度去中心化方式实现的这一切面对故障将获得更高弹性。如果你需要构建服务网格,并且希望实现一致的高安全性,那么值得一试。

\\

关于本文作者

\\

ad476439bf391b907e14a25f779c0dac.jpgChristian Posta(@christianposta)是Red Hat的云应用程序首席架构师,并以图书作者(Introducing Istio Service Mesh,O’Reilly 2018;Microservices for Java Developers,O’Reilly 2016)、博主、演讲人、开源传道士,以及包括Istio、Apache ActiveMQ、Fabric8等在内众多开源项目贡献者的身份闻名于社区。Christian在大规模企业有多年工作经验,现在致力于帮助企业创建并部署大规模、高弹性、分布式架构,也就是现在我们所说的微服务。他喜欢辅导、培训并领导团队从事有关分布式系统、微服务、DevOps、云原生应用程序设计的项目。

\\

阅读英文原文

转载地址:http://zdagx.baihongyu.com/

你可能感兴趣的文章
[树形DP]Luogu P1131 [ZJOI2007]时态同步
查看>>
C++值传递与引用传递
查看>>
sharepoint2010 沙盒解决方案与场解决方案之间的差异
查看>>
Javascript学习二:事件
查看>>
页面局部定时刷新
查看>>
Luogu P4316 绿豆蛙的归宿//期望
查看>>
关于二叉树求四则运算
查看>>
CocoaPods安装第三方出错:XCode7.3
查看>>
Seay源代码审计系统的配置和安装
查看>>
HDU 5144 NPY and shot(物理运动学+三分查找)
查看>>
winform窗体树结构
查看>>
了解iOS中XML解析
查看>>
iOS下的WiFi开发
查看>>
Integer与int的区别
查看>>
如何判断字段是否存在,如何删除及创建字段
查看>>
自动运行
查看>>
关于WEB单片机编程的网站
查看>>
ubuntu16.04 eclipse+pydev 配置
查看>>
通过rtinst脚本安装Rtorrent+rutorrent(附版本切换教程)
查看>>
JS,Jquery获取各种屏幕的宽度和高度
查看>>