坐标轮换法
Istio是基于Envoy Proxy构建的功能强大的服务网格,可解决连接部署在云基础架构(例如Kubernetes )中的服务的问题,并以安全,有弹性和可观察的方式进行连接。 Istio的控制平面可用于指定声明性策略,例如有关断路,流量路由,身份验证/授权等的策略。 等
Istio提供的一项重要功能是工作负载标识。 使用工作负载身份,我们可以将身份编码为可验证的文档,并围绕该身份实施身份验证和授权策略。 Istio使用x509证书和SPIFFE来实现身份,并使用此机制来完成两个重要的安全实践:实现身份验证和加密传输(TLS / mTLS)。 有了这些基础部分,我们就可以确保服务之间的所有流量的安全。
了解Istio的CA行为
在此博客(和随附的视频)中,我们介绍了一些典型的用例以及一些有用的实践,用于处理诸如证书颁发机构根证书,中间件以及根据需要循环使用这些各种证书。 Istio在其控制平面组件istiod实现了CA功能。 该组件负责引导CA,为可以接受证书签名请求(CSR)的gRPC端点提供服务,并处理对新证书或轮换证书的请求的签名。
在客户端, istio-proxy的服务(即与工作负载一起作为边车运行)负责创建工作负载证书并使用istiod启动CSR流程。 默认的工作负载证书有效期为24小时。 可以在工作负载/客户端使用环境变量SECRET_TTL 。 例如,要在较短的时间内颁发证书,可以将SECRET_TTL环境变量设置为12h0m0s 。
自举签名证书到Istio的CA
开箱即用,Istio的CA将自动在引导程序上创建有效期10年的签名密钥/证书。 然后,通过签署工作负载CSR并将根证书建立为受信任的CA,此“根”密钥将用于在系统中锚定所有信任。 当Istiod启动时,您可以通过检查日志来查看它创建的根证书。 您应该会看到以下内容:
2020 - 07 -14T13: 20 : 19 .133413Z info Use self-signed certificate as the CA certificate2020 - 07 -14T13: 20 : 19 .186407Z info pkica Load signing key and cert from existing secret istio-system:istio-ca-secret2020 - 07 -14T13: 20 : 19 .187275Z info pkica Using existing public key: -----BEGIN CERTIFICATE-----You should see Certificate here-----END CERTIFICATE-----2020 - 07 -14T13: 20 : 19 .284857Z info pkica The Citadel's public key is successfully written into configmap istio-security in namespace istio-system.如果您只是在探索Istio,则此默认根CA应该足够了。 如果要设置实时系统,则可能不应使用内置的自签名根目录。 实际上,您可能已经在组织中拥有PKI,并且能够引入可用于Istio工作负载签名的中间证书。 这些中间体由您现有的受信任根签名。
您可以按照Istio文档插入自己的cacerts机密。
签署证书轮换
在这里事情可能会有些棘手。 工作负载必须信任证书链的根,才能使任何Istio mTLS / Authentication / Identity属性起作用。 因此,在计划PKI时,应考虑适当的过程来轮换Istio用于颁发工作负载证书的任何签名证书。 在接下来的简短视频(每个视频约500万个)系列中,我们将逐步介绍Istio CA的旋转签名证书,以便在引入新的受信任根时最大程度地减少停机时间。
设置上下文:了解Istio的根CA
在此视频中,我们将介绍引导Istio的签名CA的基础知识(如上所述)。 该视频设置了其余视频的上下文。
插入自己的签名证书
在此视频中,我们看到了如果从Istio的默认设置(即装即用的CA)转到我们自己的具有不同根目录的CA,会发生什么情况。 注意我们如何打破mTLS并信任系统:
轮换中间证书(相同根)
在此视频中,我们使用具有组织信任根的我们自己的证书,并且希望颁发并轮换Istio CA用于签署工作负载的中间证书,让我们看看这样做时会发生什么:
建立多个根的信任(临时)
在此视频中,我们展示了Istio如何在一段时间内可以信任多个根证书,以启用具有新根的签名证书的旋转(即,当我们需要旋转根CA时):
轮换中间证书(不同根)
在最后一个视频中,我们介绍了具有不同/新根的新签名证书。 让我们看看在这种情况下Istio的行为:
从这往哪儿走
Istio强大的CA功能可实现服务之间的强大安全性。 在部署和操作此基础结构时需要一些计划和思想。 希望本文能给您一些思考的东西。 如果您对此博客有任何疑问,请随时与我联系( @christianposta ),或加入Istio社区!
翻译自: https://www.javacodegeeks.com/2020/07/diving-into-istio-1-6-certificate-rotation.html
坐标轮换法
