我们有一个 K8s 集群,我们使用 Istio 的服务网格来进行通信/网络,该服务网格启用了 mTLS。目前我们集群中的任何服务之间都没有这样的身份验证,因此任何服务都可以调用集群内的任何其他服务。
所以我的疑问是,如果我的容器之一的安全性受到损害,mTLS 是否有助于阻止其他 pod 中的横向攻击?在我看来,仅使用 mTLS 是不可能的,我们需要其他一些方法,可能是显式身份验证黑白服务或网络策略。
任何文档/参考文献都会有帮助。
我同意@Jonas 的观点,即该社区仅用于解决编程问题。我相信您可以分享此问题的正确论坛位于 serverfault。共享的链接是关于您可以提出什么类型的问题的信息。
但是,为了帮助您解决此问题,您可能需要检查使用 mTLS 时提供的安全性。根据此文档,mTLS 在客户端-服务器通信中对服务器进行身份验证,并且客户端和服务器之间的通信是加密的。
但我们还需要了解有关保护 kubernetes 环境的全局。通过此链接,它将向您展示可用于保护 kubernetes 网络环境的各种安全功能。在我看来,在 Kubernetes 中拥有这些不同的安全功能意味着仅使用 mTLS 可能不足以保护您的网络免受各种横向攻击。