使用服务网格简化微服务安全性

• 2019 年 12 月 4 日
• 筆記

此博客文章由Aspen Mesh营销主管Zach Jory撰写。

在大型团队中，开发和保护基于微服务的应用程序的挑战之一，是服务通常使用不同的语言和框架开发。服务网格通过将微服务认证和授权的各个方面移动到公共基础设施层来克服这些多语言挑战。

开发者可以使用各种架构选项来保护带有和不带服务网格的微服务。我们将专注于如何利用服务网格来简化保护微服务的方式。

服务网格通过三种不同的功能帮助简化微服务安全性

• 认证
• 授权
• 零信任网络

认证

服务网格提供了在服务之间进行身份验证的功能，以确保群集中的流量安全。Sidecar服务网格有4种不同的身份验证选项：

• 应用程序中的JWT验证
• Ingress的JWT验证
• 在Sidecars的Istio Ingress TLS passthrough + JWT验证
• Istio mTLS + JWT验证

授权

服务网格提供了实施服务到服务和最终用户到服务授权的能力。使用服务网格进行授权可以提供保护服务的能力，并实施最小特权原则。可以使用服务网格强制执行两种授权类型：

• 基于角色的访问控制（Role Based Access Control ，RBAC）
• 基于属性的访问控制（Attribute Based Access Control，ABAC）

零信任网络

服务网格允许你通过不信任任何内容并验证所有内容的默认立场来强制实施零信任网络。mTLS、RBAC和证书轮换等功能可以更轻松地创建零信任网络。

如果你想了解如何使用服务网格更轻松地保护你的微服务的详细信息，请查看以下演示文稿。