《【张晋涛】Kubernetes 中应用身份安全实践.pdf》由会员分享,可在线阅读,更多相关《【张晋涛】Kubernetes 中应用身份安全实践.pdf(23页珍藏版)》请在三个皮匠报告上搜索。
1、K Ku ub be er rn ne et te es s 中中应应用用身身份份安安全全实实践践张张晋晋涛涛API7.ai 技术专家APACHE APISIX PMCKUBERNETES INGRESS-NGINX 维护者微软 MVPKubernetes 安全原理与实践作者K8S生态周报发起人公众号:MOELOVEGITHUB:https:/ K Ku ub be er rn ne et te es s 中中构构建建零零信信任任安安全全在在 K Ku ub be er rn ne et te es s 中中实实现现应应用用身身份份安安全全的的策策略略和和措措施施总总结结与与展展望望01040
2、302目目录录0 01 1应应用用身身份份安安全全的的重重要要性性K Ku ub be er rn ne et te es s 中中应应用用访访问问链链路路外外层层网网关关I In ng gr re es ss s应应用用程程序序后后端端数数据据库库/缓缓存存等等A AP PI IS SI IX XG Ga at te ewwa ay yA AP PI IS SI IX XI In ng gr re es ss sA Ap pp pl li ic ca at ti io on n 1 1A Ap pp pl li ic ca at ti io on n 2 2A Ap pp pl li ic
3、ca at ti io on n 3 3D Da at ta ab ba as se e1 1C Ca ac ch he e 1 为为什什么么要要重重视视应应用用身身份份安安全全多多应应用用间间的的安安全全隔隔离离数数据据保保护护和和加加密密防防止止未未授授权权访访问问和和越越权权操操作作审审计计追追踪踪和和恢恢复复能能力力0 02 2零零信信任任安安全全如如何何在在 K K8 8s s 中中构构建建零零信信任任安安全全 v vs s 传传统统网网络络零零信信任任安安全全:假假设设网网络络内内外外都都会会存存在在安安全全风风险险任任何何网网络络访访问问都都需需要要严严格格的的身身份份验验证证跨
4、跨云云/跨跨数数据据中中心心/应应用用间间访访问问等等场场景景都都将将获获益益传传统统网网络络是是:城城堡堡和和护护城城河河模模型型通通过过定定义义网网络络边边界界保保护护“内内网网”的的安安全全网网络络内内部部安安全全防防护护较较弱弱,甚甚至至直直接接视视为为安安全全如如何何为为应应用用构构建建零零信信任任安安全全此此处处不不讨讨论论:安安全全访访问问服服务务边边缘缘(SASE)核核心心:标标识识应应用用身身份份(功功能能/部部署署位位置置等等)进进行行认认证证和和鉴鉴权权 连连接接加加密密(TLS)简简化化:使使用用mTLS可可以以进进行行双双向向验验证证(服服务务端端&客客户户端端)考考
5、虑虑:身身份份凭凭证证泄泄漏漏,证证书书轮轮转转 动动态态/大大规规模模环环境境下下自自动动化化处处理理S SP PI IR RE E 是是什什么么Secure Production Identity Framework For Everyone(SPIFFE)规规范范The SPIFFE Runtime Environment(SPIRE)工工具具链链在在各各种种托托管管平平台台上上的的软软件件系系统统之之间间建建立立信信任任S SP PI IR RE E v vs s R RB BA AC C角角色色和和应应用用身身份份是是不不同同的的(应应用用身身份份粒粒度度更更小小,更更精精确确)R
6、RB BA AC C 仅仅支支持持静静态态访访问问决决策策(无无环环境境动动态态决决策策)R RB BA AC C 仅仅在在其其上上下下文文中中有有意意义义S SP PI IR RE E 如如何何与与 K K8 8s s 结结合合使使用用 S SP PI IF FF FE EE E 标标识识进进行行认认证证使使用用 S SP PI IR RE E 为为工工作作负负载载颁颁发发证证书书使使用用 S SP PI IR RE E管管理理授授权权策策略略使使用用 S SP PI IF FF FE EE E 标标识识进进行行认认证证创创建建适适当当的的 K Ku ub be er rn ne et te
7、 es s 命命名名空空间间和和服服务务账账户户以以部部署署 S SP PI IR RE E将将 S SP PI IR RE E 服服务务器器部部署署为为 K Ku ub be er rn ne et te es s s st ta at te ef fu ul ls se et t将将 S SP PI IR RE E A Ag ge en nt t 部部署署为为 K Ku ub be er rn ne et te es s d da ae emmo on ns se et t为为工工作作负负载载配配置置注注册册项项通通过过 S SP PI IF FF FE E 工工作作负负载载 A AP P
8、I I 获获取取 x x5 50 09 9-S SV VI ID D使使用用 S SP PI IF FF FE EE E 标标识识进进行行认认证证证证书书相相关关:c ca a_ _k ke ey y_ _t ty yp pe e 和和 c ca a_ _s su ub bj je ec ct tD Da at ta aS St to or re e存存储储数数据据插插件件相相关关:N No od de eA At tt te es st to or r验验证证器器K Ke ey yMMa an na ag ge er rk ke ey y 数数据据使使用用 S SP PI IR RE E 为
9、为工工作作负负载载颁颁发发证证书书部部署署 S SP PI IR RE E S Se er rv ve er r 和和 A Ag ge en nt t注注册册 s sp pi if ff fe eI ID D应应用用使使用用 s sp pi if ff fe eI ID D 相相互互认认证证创创建建 S SP PI IR RE E 服服务务器器策策略略颁颁发发证证书书监监控控审审计计使使用用 S SP PI IR RE E 管管理理授授权权策策略略S SP PI IR RE E 的的 P Po ol li ic cy y L La an ng gu ua ag ge e(S SP PL L)一
10、一种种基基于于 J JS SO ON N 的的声声明明性性语语言言更更新新和和审审计计配配置置策策略略选择器,ID签发证书应应用用策策略略将策略文件存储在 SPIRE 服务器的配置目录中或通过使用 SPIRE 服务器 API 来实现监监控控策策略略确保工作负载只能请求和使用允许的 SPIFFE ID策策略略0 03 3实实现现应应用用身身份份安安全全的的策策略略和和措措施施策策略略使使用用 R RB BA AC C 进进行行角角色色和和访访问问控控制制(基基础础)使使用用 N Ne et twwo or rk k P Po ol li ic cy y 实实现现网网络络安安全全隔隔离离使使用用
11、S SP PI IR RE E 保保护护应应用用间间的的通通信信安安全全措措施施使使用用 S SP PI IR RE E 实实现现身身份份验验证证与与授授权权mmT TL LS SF Fr ro on nt te en nd dS Si id de ec ca ar r P Pr ro ox xy yS SD DS SS Si id de ec ca ar r P Pr ro ox xy yS SP PI IR RE E A Ag ge en nt tX X.5 50 09 9 C Ce er rt ti if fi ic ca at te es s&C CA A C Ce er rt ti
12、if fi ic ca at te es sX X.5 50 09 9 C Ce er rt ti if fi ic ca at te es s&C CA A C Ce er rt ti if fi ic ca at te es sS SD DS SS SP PI IR RE E A Ag ge en nt tO OP PA AB Ba ac ck ke en nd dS SD DS SS SP PI IR RE E A Ag ge en nt tX X.5 50 09 9 C Ce er rt ti if fi ic ca at te es s&C CA A C Ce er rt ti if
13、 fi ic ca at te es sS Si id de ec ca ar r P Pr ro ox xy yF Fr ro on nt te en nd dmmT TL LS SR Re eq qu ue es st tA Au ut th hz z集集成成 S SP PI IR RE E 与与 I Is st ti io o 服服务务网网格格0 04 4总总结结与与展展望望总总结结与与展展望望V VMM1 1A AP PP PI Is st ti io oS Si id de ec ca ar rS SP PI IR RE E A Ag ge en nt tV VMM2 2A AP P
14、P PI Is st ti io oS Si id de ec ca ar rS SP PI IR RE E A Ag ge en nt tV VMM3 3A AP PP PI Is st ti io oS Si id de ec ca ar rS SP PI IR RE E A Ag ge en nt tC Ce en nt tr ra al l I In nd de en nt ti it ty y S Se er rv ve er rS SP PI IR RE E S Se er rv ve er rV VMM4 4A AP PP PI Is st ti io oS Si id de e
15、c ca ar rS SP PI IR RE E A Ag ge en nt tK Ku ub be er rn ne et te es s C Cl lu us st te er rN No od de e 1 1WWo or rk kl lo oa ad dWWo or rk kl lo oa ad dS SP PI IR RE E A Ag ge en nt t(D Da ae emmo on ns se et t)N No od de e 2 2WWo or rk kl lo oa ad dWWo or rk kl lo oa ad dS SP PI IR RE E A Ag ge e
16、n nt t(D Da ae emmo on ns se et t)K Ku ub be er rn ne et te es s C Cl lu us st te er rN No od de e 1 1WWo or rk kl lo oa ad dWWo or rk kl lo oa ad dS SP PI IR RE E A Ag ge en nt t(D Da ae emmo on ns se et t)N No od de e 1 1WWo or rk kl lo oa ad dWWo or rk kl lo oa ad dS SP PI IR RE E A Ag ge en nt t(D Da ae emmo on ns se et t)需需开开启启 mmT TL LS SI Is st ti io o v v1 1.1 14 4+中中间间证证书书轮轮转转(过过期期/升升级级等等)应应用用身身份份安安全全未未来来发发展展趋趋势势及及新新技技术术零零信信任任架架构构A AI I 驱驱动动的的身身份份认认证证和和授授权权策策略略分分布布式式授授权权管管理理A AP PI I 安安全全T TH HA AN NK KS S