概述

單體應用發展成微服務架構帶來了諸多便利，業務迭代更加敏捷，擴展性更好，同時為服務架構也帶了新的安全考慮，如：

• 微服務之間通信安全問題，如何防止中間人攻擊。
• 微服務之間的訪問控制問題，對于敏感服務和信息，如何限制微服務之間的訪問。
• 微服務之間訪問頻繁且關系復雜，如何追溯服務之間的調用情況，需要具備審計能力。

服務網格的安全機制提供了零信任的安全機制，很好地解決了以上問題。

服務網格安全架構

服務身份及證書管理

身份是安全的基礎，只有給每個服務賦予一個身份才能在服務相互訪問時對各方的身份進行認證以及對操作進行鑒權。服務網格使用證書作為網格內工作負載的身份標識，服務網格負載網格內工作負載的身份證書頒發、輪換等，為網格安全提供基礎能力。

身份認證

服務網格提供兩種認證機制：

對等身份認證：用于sidecar代理之間通信時的身份認證，解決sidecar之間身份認證和通信加密問題，支持基于工作負載證書的mTLS雙向認證。

請求身份認證：用于外部請求進入網格內的身份認證，支持JWT及OIDC的認證方式。

授權

在微服務通信中，確定了雙方的身份之后，我們還需要對客戶端是否有權限訪問服務端的資源進行權限檢查。當前服務網格支持全局、命名空間和工作負載級別的授權策略控制，同時支持集成外部授權服務能力。