【张晋涛】Kubernetes 中应用身份安全实践.pdf

《【张晋涛】Kubernetes 中应用身份安全实践.pdf》由会员分享，可在线阅读，更多相关《【张晋涛】Kubernetes 中应用身份安全实践.pdf（23页珍藏版）》请在三个皮匠报告上搜索。

1、K Ku ub be er rn ne et te es s 中中应应用用身身份份安安全全实实践践张张晋晋涛涛API7.ai 技术专家APACHE APISIX PMCKUBERNETES INGRESS-NGINX 维护者微软 MVPKubernetes 安全原理与实践作者K8S生态周报发起人公众号：MOELOVEGITHUB：https:/ K Ku ub be er rn ne et te es s 中中构构建建零零信信任任安安全全在在 K Ku ub be er rn ne et te es s 中中实实现现应应用用身身份份安安全全的的策策略略和和措措施施总总结结与与展展望望01040

2、302目目录录0 01 1应应用用身身份份安安全全的的重重要要性性K Ku ub be er rn ne et te es s 中中应应用用访访问问链链路路外外层层网网关关I In ng gr re es ss s应应用用程程序序后后端端数数据据库库/缓缓存存等等A AP PI IS SI IX XG Ga at te ewwa ay yA AP PI IS SI IX XI In ng gr re es ss sA Ap pp pl li ic ca at ti io on n 1 1A Ap pp pl li ic ca at ti io on n 2 2A Ap pp pl li ic

3、ca at ti io on n 3 3D Da at ta ab ba as se e1 1C Ca ac ch he e 1 为为什什么么要要重重视视应应用用身身份份安安全全多多应应用用间间的的安安全全隔隔离离数数据据保保护护和和加加密密防防止止未未授授权权访访问问和和越越权权操操作作审审计计追追踪踪和和恢恢复复能能力力0 02 2零零信信任任安安全全如如何何在在 K K8 8s s 中中构构建建零零信信任任安安全全 v vs s 传传统统网网络络零零信信任任安安全全：假假设设网网络络内内外外都都会会存存在在安安全全风风险险任任何何网网络络访访问问都都需需要要严严格格的的身身份份验验证证跨

4、跨云云/跨跨数数据据中中心心/应应用用间间访访问问等等场场景景都都将将获获益益传传统统网网络络是是：城城堡堡和和护护城城河河模模型型通通过过定定义义网网络络边边界界保保护护“内内网网”的的安安全全网网络络内内部部安安全全防防护护较较弱弱，甚甚至至直直接接视视为为安安全全如如何何为为应应用用构构建建零零信信任任安安全全此此处处不不讨讨论论：安安全全访访问问服服务务边边缘缘（SASE）核核心心：标标识识应应用用身身份份（功功能能/部部署署位位置置等等）进进行行认认证证和和鉴鉴权权 连连接接加加密密（TLS）简简化化：使使用用mTLS可可以以进进行行双双向向验验证证（服服务务端端&客客户户端端）考考

5、虑虑：身身份份凭凭证证泄泄漏漏，证证书书轮轮转转 动动态态/大大规规模模环环境境下下自自动动化化处处理理S SP PI IR RE E 是是什什么么Secure Production Identity Framework For Everyone(SPIFFE)规规范范The SPIFFE Runtime Environment(SPIRE)工工具具链链在在各各种种托托管管平平台台上上的的软软件件系系统统之之间间建建立立信信任任S SP PI IR RE E v vs s R RB BA AC C角角色色和和应应用用身身份份是是不不同同的的（应应用用身身份份粒粒度度更更小小，更更精精确确）R

6、RB BA AC C 仅仅支支持持静静态态访访问问决决策策（无无环环境境动动态态决决策策）R RB BA AC C 仅仅在在其其上上下下文文中中有有意意义义S SP PI IR RE E 如如何何与与 K K8 8s s 结结合合使使用用 S SP PI IF FF FE EE E 标标识识进进行行认认证证使使用用 S SP PI IR RE E 为为工工作作负负载载颁颁发发证证书书使使用用 S SP PI IR RE E管管理理授授权权策策略略使使用用 S SP PI IF FF FE EE E 标标识识进进行行认认证证创创建建适适当当的的 K Ku ub be er rn ne et te