Istio Security Assessment

### 总结：Istio 安全评估报告 1. **评估范围与版本** - 评估基于 Istio 1.6.5 版本（当时最新版本）及 master 分支代码，测试使用了特定提交版本（7353c84b560fd46912361147614e4aee553611d）。 - Istio Proxy 使用了 2020 年 7 月 16 日 master 分支的最新版本（c51fe751a17441b5ab3f5487c37e129e44eec823）。 - 测试环境包括 Istio 源代码、Envoy Proxy 代码及 Istio 文档。 2. **安全问题分类与数量** - **高危问题**：4 个 - **中危问题**：5 个 - **低危问题**：7 个 - **信息性问题**：2 个 - **总计问题**：18 个 3. **主要安全问题** - **高危问题**： - 无法安全通信的控制平面网络。 - 缺乏安全相关文档。 - 虚拟服务网关字段验证不足，导致请求劫持风险。 - 入口网关配置生成允许路由劫持。 - **中危问题**： - 开发默认配置文件不够 hardened。 - 弱哈希用于完整性验证。 - Go 跟踪调试默认启用。 - Kubernetes RBAC 权限过于宽松。 - 侧car Envoy 管理界面暴露给工作负载容器。 - **低危问题**： - 未默认启用 AppArmor/Seccomp，容器 breakout 风险较高。 - 文件权限设置不安全。 - 客户端旁路绕过风险。 - 默认注入的初始化容器需要敏感权限。 - 执行系统命令缺乏验证。 - **信息性问题**： - 控制平面和服务容器未默认启用安全配置。 4. **改进建议** - 默认启用 AppArmor 和 Seccomp 配置，增强容器安全。 - 提供更安全的默认配置文件，并优化 Istio 文档的安全指导。 - 增强控制平面的安全通信机制，确保配置合理且用户了解其作用。 - 推动社区优化文档结构，集中安全相关内容，降低学习门槛。 5. **技术细节与工具** - 使用 `istioctl operator dump` 获取 Istio Operator 配置。 - 测试中使用了 `kubectl` 和 `curl` 命令验证 Pilot 调试接口。 - 建议使用 Distroless 镜像以减少攻击面。 6. **总结** 本次评估揭示了 Istio 在安全配置和文档方面的多项问题，尤其是高危和中危问题需要优先修复。通过优化默认配置、增强文档指导和社区协作，可以显著提升 Istio 的安全性。