服務網格在應用安全中的作用 [Q&A]

BN:如何企業數字化轉型工作是否影響了網絡安全?

IL:這裡的底線是，每次大型組織將其運營數字化並將應用程序遷移到雲端時，他們都會增加面臨威脅的風險。 IT、DevOps 和 SecOps 團隊一直在努力領先於潛在的黑客、攻擊者和威脅行為者一步。傳統的安全邊界已經消失，攻擊面不斷擴大，新的攻擊向量不斷湧現。

現代云原生技術和微服務的出現消除了邊界。不久前，邊界將公司的資產與外界隔開。如今，組織受到外部和內部威脅，網絡犯罪分子利用其基礎設施中越來越多的暴露和潛在易受攻擊的資源。尤其是當您要處理大量分散的遠程工作人員時，他們都使用雲平台訪問公司應用程序、系統和數據。

歸根結底，沒有“銀彈”，沒有單一的保護盾您可以使用它來覆蓋整個組織。威脅變得更加複雜，甚至在檢測到威脅之前幾個月就發生了違規行為。因此，組織不斷採用新型解決方案來減少攻擊面並改善安全狀況，以應對拒絕服務 (DDOS) 攻擊、勒索軟件入侵和數據洩露。

BN:服務網格在增強安全性方面的作用是什麼?

IL:服務網格是支持微服務架構的應用程序網絡框架，促進了每個服務之間的通信以及應用程序流量監控和管理。

隨著網絡流量的增加，微服務架構帶來了非常具體的風險——請記住，與以前只有一個的應用程序相比，分佈式應用程序可能包含許多部分。還經常對這些應用程序進行更多更改。隨後，組織需要保護這些元素中的每一個，並授權訪問他們支持的各種應用程序的開發人員團隊。現在，儘管這聽起來像是一個棘手而復雜的管理過程，但它可以通過服務網格技術輕鬆解決。

服務網格技術為網絡提供連接性、安全性、可觀察性和可靠性；它在平台層而不是在應用程序層執行此操作。因此，它還可以控制不斷增長的網絡流量，使組織能夠管理和保護微服務的每個元素。

BN:服務網格能否支持零信任計劃?

IL:簡短的回答是:是的！回顧一下，零信任使組織能夠每次都驗證每台設備、每筆交易。這就是為什麼它非常適合快速移動和復雜的雲原生應用程序環境。 Zerotrust 和服務網格實際上是齊頭並進的。它們是互補技術，非常適合容器化環境，使開發人員能夠更快、更安全地部署應用程序。例如，Istio 服務網格已經成為 Kubernetes 環境中事實上的服務網格。當然，微服務架構可以由成百上千個組件組成，由開發團隊和其他用戶不斷更新。當在服務網格環境中實施零信任時，它可以主動監控和促進受限和“受信任”的大規模訪問。

它有助於對人員、設備和角色進行身份驗證和密碼驗證以及授權。它可用於執行策略和識別潛在威脅。它可以概述批准的流量模式，以及允許誰參與什麼的規則。例如，如果開發人員超過了特定的流量限製或可以訪問私有數據庫，則可以立即關閉該連接。零信任為服務網格和 API 網關添加了全面的安全控制，以保護微服務和容器化環境，顯著改善您的安全狀況。

BN:如果您選擇“sidecarless”架構，安全性會受到損害嗎?

IL:這是對 Istio 環境網格的引用，這是一項更新的創新。本質上，服務網格簡化了基於容器和微服務架構中的服務間通信。這使得診斷可能發生在基礎設施層的任何通信錯誤變得更加容易。總的來說，這個過程加速了應用程序的開發、測試和部署。

Istio 服務網格通常與應用程序代碼一起部署在邊車容器中，它引導流量並監控組件之間的交互。它與 Kubernetes 兼容，有助於提供平穩運行的、基於微服務的容器化環境。

Istio 環境網格是 Istio 服務網格的無邊車數據平面選項。它提供更透明的體驗和更廣泛的應用程序支持。它通過維護零信任安全和策略執行來節省成本、改進性能和提高安全性。它允許您在網絡層實施零信任架構，以便在需要時向適用的 DevOps、CloudOps 和 SRE 團隊授予訪問權限。這意味著安全性完全沒有受到損害；事實上，它可以得到加強。 Istio 環境網格的優勢在於它可以作為共享網格基礎設施部署在 Istio 標準和 Istio 環境網格架構中，提供更大的可擴展性和靈活性。

BN:您認為它的作用是什麼Istio 和安全網絡中的開源?

IL:我們是 Istio 的堅定擁護者，我們將繼續為 Istio 服務網格和 Istio 環境網格的開發做出貢獻。這將包括對安全性和性能測試的關注。

我們一直對未來的合作感興趣，並從 Istio 社區接收有關我們如何繼續改進的反饋。當您考慮服務網格當前提供的許多安全功能時，例如基於規則的策略實施、用戶和機器的靈活身份驗證以及零信任策略，您會不禁對未來的發展感到興奮！