istio
/
istio.io
mirror of https://github.com/istio/istio.io.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
istio.io/content/zh/blog/2018/istio-authorization/index.md

183 lines
9.1 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: 基于 Istio 授权的 Micro-Segmentation
description: 描述 Istio 的授权功能以及如何在各种用例中使用它。
publishdate: 2018-07-20
subtitle:
attribution: Limin Wang
keywords: [authorization,rbac,security]
target_release: 0.8
---
Micro-Segmentation 是一种安全技术,可在云部署中创建安全区域,并允许各组织将工作负载彼此隔离以单独保护它们。
[Istio 的授权功能](/zh/docs/concepts/security/#authorization)也称为 Istio 基于角色的访问控制,为 Istio 网格中的服务提供
Micro-Segmentation。它的特点是
* 不同粒度级别的授权,包括命名空间级别、服务级别和方法级别。
* 服务间和最终用户到服务授权。
* 高性能,因为它在 Envoy 上本地执行。
* 基于角色的语义,使其易于使用。
* 灵活性高,因为它允许用户使用[组合属性](/zh/docs/reference/config/security/constraints-and-properties)定义条件。
在这篇博客文章中,您将了解主要授权功能以及如何在不同情况下使用它们。
## 特点{#characteristics}
### RPC 级别授权{#RPC-level-authorization}
授权在各个 RPC 级别执行。具体来说,它控制“谁可以访问我的 `bookstore` 服务”,或者“谁可以在我的 `bookstore` 服务中访问
`getBook` 方法 ”。它不是为了控制对于应用程序具体资源实例的访问而设计的,例如访问“存储桶 X ”或访问“第二层架上的第 3 本书”。目前这种应用特定的访问控制逻辑需要由应用程序本身处理。
### 具有条件的基于角色的访问控制{#role-based-access-control-with-conditions}
授权是[基于角色的访问控制RBAC](https://en.wikipedia.org/wiki/Role-based_access_control) 系统,
将此与[基于属性的访问控制ABAC](https://en.wikipedia.org/wiki/Attribute-based_access_control) 系统对比。
与 ABAC 相比RBAC 具有以下优势:
* **角色允许对属性进行分组。** 角色是权限组,用于指定允许的操作在系统上执行。用户根据组织内的角色进行分组。
您可以针对不同的情况定义角色并重用他们。
* **关于谁有权访问,更容易理解和推理。** RBAC 概念自然地映射到业务概念。例如,数据库管理员可能拥有对数据库后端服务的所有访问权限,
而 Web 客户端可能只能查看数据库后端服务前端服务。
* **它减少了无意的错误。** RBAC 策略使得复杂的安全更改变得更加容易。你不会有在多个位置重复配置,以后在需要进行更改时忘记更新其中一些配置。
另一方面Istio 的授权系统不是传统的 RBAC 系统。它还允许用户使用定义**条件**[属性组合](/zh/docs/reference/config/security/constraints-and-properties)。这给了 Istio 表达复杂的访问控制策略的灵活性。实际上,**Istio 授权采用“RBAC + 条件”模型,具有 RBAC 系统的所有优点,并支持通常是 ABAC 系统提供的灵活性。**你会在下面看到一些[示例](#examples)。
### 高性能{#high-performance}
由于其简单的语义Istio 授权直接在 Envoy 本地执行。在运行时,授权决策完全在 Envoy 过滤器内部完成,不依赖于任何外部模块。
这允许 Istio 授权实现高性能和可用性。
### 使用/不使用主要标识{#work-with-without-primary-identities}
与任何其他 RBAC 系统一样Istio 授权具有身份识别功能。在 Istio 授权政策中,有一个主要的
身份称为 `user`,代表客户的主体。
除主要标识外,您还可以自己定义标识。例如,您可以将客户端标识指定为“用户 `Alice``Bookstore` 前端服务调用”,在这种情况下,
你有一个调用服务(`Bookstore frontend`)和最终用户(`Alice`)的组合身份。
要提高安全性,您应该启用[认证功能](/zh/docs/concepts/security/#authentication), 并在授权策略中使用经过验证的身份。但是,
使用授权不强迫一定要有身份验证。Istio 授权可以使用或不使用身份。如果您正在使用遗留系统,您可能没有网格的双向 TLS 或 JWT 身份验证
设置。在这种情况下,识别客户端的唯一方法是,例如,通过 IP。您仍然可以使用 Istio 授权来控制允许哪些 IP 地址或 IP 范围访问您的服务。
## 示例{#examples}
[授权任务](/zh/docs/tasks/security/authorization/authz-http)通过 [Bookinfo 应用](/zh/docs/examples/bookinfo)向您展示如何使用 Istio 的授权功能来控制命名空间级别
和服务级别的访问。在本节中,您将看到更多使用 Istio 授权进行权限细分的示例。
### 通过 RBAC + 条件进行命名空间级别细分{#namespace-level-segmentation-via-rbac-conditions}
假设你在 `frontend``backend` 命名空间中有服务。您想要允许所有在 `frontend` 命名空间中的服务访问 `backend` 命名空间中标记
`external` 的所有服务。
{{< text yaml >}}
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
name: external-api-caller
namespace: backend
spec:
rules:
- services: ["*"]
methods: ["*”]
constraints:
- key: "destination.labels[visibility]”
values: ["external"]
---
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
name: external-api-caller
namespace: backend
spec:
subjects:
- properties:
source.namespace: "frontend”
roleRef:
kind: ServiceRole
name: "external-api-caller"
{{< /text >}}
上面的 `ServiceRole``ServiceRoleBinding` 表示“允许*谁* 在 *什么条件* RBAC + 条件)下执行*什么* ”。其中:
* **“谁”** 是 `frontend` 命名空间中的服务。
* **“什么”** 是在 `backend` 命名空间中调用服务。
* **“条件”** 是具有值 `external` 的目标服务的 `visibility` 标签。
### 具有/不具有主要身份的服务/方法级别隔离{#service-method-level-isolation-with-without-primary-identities}
这是演示另一个服务/方法级别的细粒度访问控制的示例。第一步是定义一个 `book-reader` `ServiceRole`,它允许对 `bookstore` 服务中的 `/books/*` 资源进行 READ 访问。
{{< text yaml >}}
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
name: book-reader
namespace: default
spec:
rules:
- services: ["bookstore.default.svc.cluster.local"]
paths: ["/books/*”]
methods: ["GET”]
{{< /text >}}
#### 使用经过身份验证的客户端身份{#using-authenticated-client-identities}
假设你想把这个 `book-reader` 角色授予你的 `bookstore-frontend` 服务。如果您已启用
您的网格的[双向 TLS 身份验证](/zh/docs/concepts/security/#mutual-TLS-authentication), 您可以使用服务帐户,以识别您的 `bookstore-frontend` 服务。授予 `book-reader` 角色到 `bookstore-frontend` 服务可以通过创建一个 `ServiceRoleBinding` 来完成,如下所示:
{{< text yaml >}}
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
name: book-reader
namespace: default
spec:
subjects:
- user: "cluster.local/ns/default/sa/bookstore-frontend”
roleRef:
kind: ServiceRole
name: "book-reader"
{{< /text >}}
您可能希望通过添加“仅属于 `qualified-reviewer` 组的用户的条件来进一步限制此操作允许阅读书籍“。`qualified-reviewer` 组是经过身份验证的最终用户身份 [JWT 身份验证](/zh/docs/concepts/security/#authorization)。在这种情况下,客户端服务标识(`bookstore-frontend`)和最终用户身份(`qualified-reviewer`)的组合将用于授权策略。
{{< text yaml >}}
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
name: book-reader
namespace: default
spec:
subjects:
- user: "cluster.local/ns/default/sa/bookstore-frontend”
properties:
request.auth.claims[group]: "qualified-reviewer”
roleRef:
kind: ServiceRole
name: "book-reader"
{{< /text >}}
#### 无身份客户{#client-does-not-have-identity}
强烈建议在授权策略中使用经过身份验证的身份以确保安全性。但是,如果你有一个如果遗留系统不支持身份验证,您可能没有经过身份验证的身份验证。即使没有经过身份验证的身份,您仍然可以使用 Istio 授权来保护您的服务。以下示例表明您可以在授权策略中指定允许的源 IP 范围。
{{< text yaml >}}
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
name: book-reader
namespace: default
spec:
subjects:
- properties:
source.ip: 10.20.0.0/9
roleRef:
kind: ServiceRole
name: "book-reader"
{{< /text >}}
## 概要{#summary}
Istio 在命名空间级别,服务级别和方法级别粒度上提供授权功能。它采用“ RBAC + 条件”模型,使其成为易于使用和理解的 RBAC 系统,同时提供 ABAC 系统级别的灵活性。由于 Istio 授权在 Envoy 上本地运行它有很高的性能。Istio 授权既可以与 [Istio 认证功能](/zh/docs/concepts/security/#authentication)一起提供最佳的安全性,也可以用于为没有身份验证的旧系统提供访问控制。
Reference in New Issue View Git Blame Copy Permalink