"A Survey of Istio’s Network Security Features" - замечательное исследование фич безопасности самой популярной service mesh для Kubernetes.
Авторы на примере своей лабы показывают различные недоработки, ограничения, мисконфиги и подводные камни
- IPv6 - специфика работы с ним и ограничения.
- Mutual TLS - способы обхода, мисконфиги.
- Egress restrictions - обходы запрета обращений во внешку.
Все это сопровождается понятными сценариями проверки и при желании можно повторить. Все эти техники и нюансы по работе внутри сети, где используется
Лично мое мнение что security функциональность у Istio находится на третьих-четвертых ролях и это совсем не security инструмент. Без
Авторы на примере своей лабы показывают различные недоработки, ограничения, мисконфиги и подводные камни
Istio версии 1.5 (текущая 1.6). В основном они рассматривают:- IPv6 - специфика работы с ним и ограничения.
- Mutual TLS - способы обхода, мисконфиги.
- Egress restrictions - обходы запрета обращений во внешку.
Все это сопровождается понятными сценариями проверки и при желании можно повторить. Все эти техники и нюансы по работе внутри сети, где используется
Istio могут быть очень полезны как в защите, так и в атаке.Лично мое мнение что security функциональность у Istio находится на третьих-четвертых ролях и это совсем не security инструмент. Без
NetworkPolicy не обойтись в любом случае, а что-то им и так можно решить не прибегая к Istio.