Michael Hofmann

Michael Hofmann

Ich bin freiberuflich als Berater, Coach, Referent und Autor tätig. Meine langjährigen Projekterfahrungen in den Bereichen Softwarearchitektur, Java Enterprise, DevOps und Cloud habe ich im deutschen und internationalen Umfeld gesammelt.

Service Mesh Security Workshop: Management von mTLS, AuthN und AuthZ mit Istio

Beschreibung

In diesem Workshop wird den Teilnehmern gezeigt, welche Möglichkeiten ein Service Mesh Tool wie Istio bezüglich Security bietet. Nach einer kurzen Einführung in den Service Mesh werden in jedem Schritt mehr und mehr Sicherheits-Features vorgestellt und umgesetzt.

Startpunkt ist die TLS/mTLS Terminierung im Ingress Gateway. Von da an wird jede weiterführende Kommunikation, innerhalb des Service Mesh, mittels mTLS abgesichert. Auch die ausgehende Kommunikation wird, mit Hilfe des Egress Gateway, kontrolliert und gesteuert. Darüber hinaus wird gezeigt, welche request-basierenden Berechtigungs-Prüfungen vom Service Mesh übernommen werden können.

Zu jedem Teilaspekt werden die zugehörigen Security Best Practices aufgelistet und erläutert. Da fehlerhafte Sicherheits-Einstellungen fatale Folgen haben können, wird zu jedem Sicherheitsaspekt gezeigt, welche Möglichkeiten zur Fehleranalyse existieren.

Die Folien und die Codebeispiele zusammen mit den eingesetzten Kubernetes/Istio Skripten stehen den Teilnehmern zur Verfügung.

Inhalt und Ablauf

I. Grundlagen

  • Einführung in den Service Mesh
  • Istio und Zero-Trust

II. Ingress Gateway mit TLS und mTLS

  • Ingress Gateway mit TLS und mTLS
  • Sicherheitsaspekte eines Gateways
  • Fehlersuche Ingress Gateway

III. Peer Authentication

  • Aktivierung mTLS für das gesamte Mesh
  • Koexistenz verschiedener Workloads (mit und ohne mTLS)
  • Fehlersuche mTLS

IV. Request Authentication

  • End-User Authentifizierung
  • Integration von JWT und JWKS
  • JWT claim basiertes Routing

V. Authorization

  • AuthorizationPolicy
  • Aktivierung default deny-all Regel
  • Explizites Ablehnen eines Requests
  • Test neuer Policies mit dry run
  • Security Best Practices

VI. Request Authorization

  • JWT claim basierte Authorization
  • JWT claim basiertes Routing

VII. Egress Gateway

  • Kontrollierter Zugriff auf externe Services
  • Fehlersuche Egress Gateway

VIII. Istiod Certificate

  • Istio’s Zertifikat Management

Zielgruppe und Anforderungen

Entwickler, Architekten und Security Engineers, die hohe Sicherheitsanforderungen für ihre Microservices in der Cloud haben.

Durchführung

Der Workshop kann on-site oder remote durchgeführt werden. Bitte nehmen Sie Kontakt auf für weitere Abstimmungen oder Anfragen.

Vorbereitungen auf Workshop

Eine ausführliche Installationsanweisung für die Teilnehmer des Workshops finden Sie hier: Vorbereitungen für Workshop

Aktualisiert:

Ihnen gefällt vielleicht auch