[toc]
可靠通信#
1 零信任网络#
把安全措施集中在部署各个区域的边界之上(例如VPN、DMZ、防火墙、内网、外网)的安全模型称之为 基于边界的安全模型
本身是很合理的模型,缺陷是一旦其中一台内网机器被攻破,可能连锁反应一般能攻破内网的所有机器。
9.1.1 零信任安全模型的特征#
零信任安全的中心思想是: 不应当以某种固有特种来自动信任任何流量,除非得到了来自请求来源的身份凭证,否则一律不会有默认的信任关系。
详细观点如下:
- 不等于放弃在边界上的保护设施(基本的边界安全仍然要保证)
- 身份只来源于服务。(不适用IP、机器码等来识别身份, 因为云原生时代服务可能经常会扩容、伸缩,ip具有一定的局限性)
- 服务之间没有固有的信任关系(主要是为了阻止攻击者通过服务节点中的代码漏洞来越权调用其他服务,减小攻击范围)
- 集中、共享的安全策略实施点,安全需求可以从微服务的应用代码下沉到云原生的基础设施里
- 受信的机器运行来源已知的代码, 所有代码应该通过CI/CD标准发布,不可以手动编译传输不可信的程序包。
- 自动化、标准化的变更管理,避免手动操作,应该自动化。
- 强隔离性的工作负载。 指的就是容器化相关。
9.1.2 谷歌的零信任安全理论实践#
这里讲述了当时谷歌怎么基于上面那个模型, 详细再出了一片论文讲怎么实现。
在传统时代基本没法做到,复杂度太高, 但是云原生时代让那些设计理念成为了可能。
9.2 服务安全#
9.2.1 建立信任#
依赖公开密钥基础设置PKI, 也就是TLS的基础
9.2.2 认证#
1.服务认证#
2.用户认证#
9.2.3 授权#
根据身份角色进行权限访问控制, RBAC。
以上认证、授权这2章节都介绍了Isto和spring cloud(spring security)的实现,内容比较多,就不笔记了。