Istio Security Assessment

## 《Istio 安全评估》总结 ### 1. **评估背景** - **时间与目标**：2020 年夏季，Google 委托 NCC Group 对 Istio 的开源版本及其组件进行安全评估。Istio 是 Kubernetes 集群中常用的服务网格技术，提供服务间通信、TLS 证书管理、工作负载身份和内置授权系统。 - **评估范围**：涵盖 Istio 架构、Pilot、入gress/egress、Envoy 使用、控制平面和服务网格安全。 - **测试环境**：使用 Minikube、GKE 和 KOPS 等多种 Kubernetes 集群构建参考架构，基于 Istio 1.6.5 版本进行测试。 ### 2. **关键发现** - **高风险问题**： - **虚拟服务门路字段验证不足**：可能导致路由劫持。 - **控制平面不安全**：默认生产配置文件缺乏强化控制，Pilot 管理界面暴露服务，Envoy 代理管理端口易被恶意工作负载利用。 - **文档不足**：安全最佳实践和配置指导缺失，影响管理员决策。 - **弱哈希使用**：部分代码使用 SHA1 和 MD 系列哈希，存在碰撞风险。 - **文件权限不安全**：敏感数据文件权限设置不当，可能被恶意用户访问。 - **中等风险问题**： - **命令执行漏洞**：多处代码未对输入进行验证，可能导致命令注入。 - **不安全的文件写入**：文件写入权限设置不当，可能暴露敏感数据。 - **低风险问题**： - **Istio 客户端绕过**：工作负载可能绕过 Envoy 代理的网络限制。 - **默认服务未被禁用**：默认 Istio 服务在集群中暴露。 ### 3. **战略建议** - **构建安全配置文件**：提供预定义的、安全强化的配置文件，帮助用户快速部署安全环境。 - **扩展安全文档**：完善安全最佳实践文档，特别是针对多集群环境、控制平面流量传输安全和默认服务禁用的指导。 ### 4. **漏洞分解** - **分类**： - **高危漏洞**：4 个，主要涉及访问控制和配置问题。 - **中危漏洞**：5 个，涉及数据验证和配置。 - **低危漏洞**：7 个，涉及文件权限和命令执行。 - **信息性问题**：2 个，提供改进建议。 - **组件**： - **Istio**：10 个问题，涉及架构、配置和文档。 - **其他组件**：Envoy 和 Istio Operator 也存在部分问题。 ### 5. **总结** Istio 的安全评估揭示了多个高风险问题，尤其是文档不足和配置不安全的问题。建议用户在部署 Istio 时： 1. 使用强化的安全配置文件。 2. 遵循最佳实践文档。 3. 定期检查和更新安全配置，以确保环境的安全性。