将单个应用程序分解为多个微服务可以带来很多好处,包括更好的灵活性、更好的可伸缩性以及更好的重用服务能力。但是,微服务也有特殊的安全需求:
·为了抵御攻击,服务交互之间需要流量加密。
·为了提供灵活的服务访问控制,服务交互之间需要双向TLS和细粒度的访问策略。
·往往需要审计工具来告诉我们,谁在什么时候做了什么。
Istio Citadel组件提供了一套全面的安全解决方案来解决上述这些问题。
本章重点介绍Istio在安全方面的能力,包括Istio的安全架构和认证机制、认证策略的使用,以及授权机制的分析。本章会通过示例详细介绍如何提升Istio在生产环境中的安全性。
通过本章,可以学到如何使用Istio安全功能来保护服务网格中的服务,特别是Istio的安全性可以缓解针对数据(Data)、端点(Endpoint)、通信(Communication)和平台(Platform)的内部与外部威胁。