基于对等身份认证的双向TLS加密
TG:@yunlaoda360
- 部署应用 :先将微服务应用部署到ASM实例中。
- 创建双向mTLS模式 :登录ASM控制台,在网格管理页面找到待配置的实例,点击实例名称或在操作列中点击“管理”,进入网格详情页面左侧导航栏,选择“对等身份认证”,点击“创建双向mTLS模式”,设置命名空间名称、对等身份认证名称,将mTLS模式设置为“STRICT - 严格遵循双向TLS认证”,并设置工作负载标签。
- 验证效果 :完成配置后,使用纯文本访问被保护的服务,会发现无法访问;而通过双向TLS加密的方式进行通信,则可以正常访问。
基于请求身份认证的JWT身份验证
- 部署应用 :分别部署被请求的应用和发起请求的应用。
- 创建请求身份验证策略 :获取集群KubeConfig并通过kubectl工具连接集群,使用特定内容创建sleep.yaml。
- 验证请求身份认证生效 :使用正确的JWT Token、无效的JWT Token以及不带有JWT Token分别访问服务,观察返回结果。若使用正确的JWT Token访问服务成功,使用无效的JWT Token访问服务失败,不带有JWT Token的请求访问成功,则说明请求身份认证生效。
基于授权策略的请求来源认证
- 部署应用 :分别部署被请求的应用和发起请求的应用。
- 创建授权策略 :获取集群KubeConfig并通过kubectl工具连接集群,使用特定内容创建sleep.yaml,再根据需求创建授权策略,对请求的端口、IP、来源等进行限制。
- 验证授权策略生效 :通过不同的请求来源访问服务,观察返回结果,若只有符合要求的请求能成功访问服务,则说明授权策略生效。
ASM的零信任安全体系架构
-
对等身份验证 :在服务之间实施双向TLS认证或者面向server侧的TLS认证,支持证书的自动轮转等生命周期管理,确保网格内的通信都经过身份验证和加密处理。
-
请求身份验证 :允许最终用户和系统使用请求身份认证与微服务进行交互,通常使用JSON Web令牌(JWT)执行该操作。
-
基于角色访问控制 :启用基于身份的细粒度授权,以及基于其他维度参数的授权。在基于角色访问控制(RBAC)的基础上,支持“最低权限”的立场,即只有经过授权的服务才能根据ALLOW/DENY规则相互通信。
-
透明性 :无需在应用代码中嵌入安全逻辑,通过Sidecar代理自动拦截和处理通信,对应用透明。
-
动态配置 :更新安全策略时无需重新部署应用程序,策略立即生效。
-
集中管理 :企业安全团队可通过ASM的集中控制架构构建、管理和部署适用于整个企业的安全策略,确保应用开发人员构建的业务应用默认安全。
-
端到端安全 :提供端到端的加密、身份认证和访问控制,确保服务通信的安全性。
-
全面监控 :支持实时监控、分布式追踪和日志分析,帮助开发人员快速定位问题并优化系统。
