NGINX 助力实现全面的零信任安全

聆听花雨

　　随着企业规模不断扩大，对于应用的非特定功能需求，例如零信任安全功能，把他们从应用层卸载下来变得至关重要。我们在上面解释了这是如何将开发人员从跨应用构建、维护和复制安全逻辑的负担中解放出来，取而代之的，他们可以轻松地从平台层面利用安全技术。NGINX可以在集群边缘（借助NGINX Ingress Controller）及集群内部（借助NGINX Service Mesh）为Kubernetes提供统一的安全策略实施。您可以根据应用安全需求，通过在集群边缘或内部部署NGINX App Protect WAF和DoS，添加高级应用防护，以防止复杂的网络攻击。在一些情况下，nagix management suite的优势会越发的明显起来，经过市场检验也能够一往无前的发展下去。 https://www.nginx-cn.net/resources/glossary/microservices/

　　下面让我们深入探讨下NGINX解决方案包含哪些功能来支撑您在Kubernetes环境中实现全面的零信任安全防护

　　身份认证和授权

　　零信任安全的关键原则之一是，每个设备、用户、服务和请求都需要经过身份认证和授权。身份认证是验明身份的过程，换句话说，确保参与通信的各方都如其所声称。授权是验证一方是否有权获得其所要求的对某一资源或功能的访问的过程。

　　为了满足这一原则，NGINX解决方案为实施身份认证和授权提供了几个选项，包括HTTP基本认证、JSON Web令牌(JWT)和OpenID Connect（通过与Okta和Azure Active Directory等身份提供商的集成来实现）。NGINX解决方案还向服务发放安全身份（就像以证书形式向应用用户发放身份证明一样），为它们在Kubernetes集群中执行操作提供身份认证与授权。除了处理工作负载身份外，这款NGINX解决方案还通过与公钥基础设施(PKI)和证书机构的内置集成，实现了自动化的证书管理。

　　由于NGINX Ingress Controller会检查进入集群的所有请求并将其路由到相应的服务，因此对于集中的用户身份认证和授权以及在某些情景中的服务认证，这是最有效的部署位置。

　　更多详情请参阅我们博客上的《借助Okta和NGINX Ingress Controller实现Kubernetes OpenID Connect身份认证》。

　　数据加密和完整性

　　另一个“零信任”原则是，所有通信都必须是安全的，无论参与者位于何处，其保密性和完整性必须得到妥善保护。数据不得被未经授权的各方读取或在传输过程中被篡改。为了满足这一原则，NGINX解决方案对于用户与服务之间的通信，使用SSL/TLS加密；对于服务间通信，使用双向TLS(mTLS)身份认证和加密。

　　如果您的应用架构不涉及Kubernetes集群内服务间的通信，NGINX Ingress Controller则可以满足您的数据完整性需求。有以下两个基本选项：

　　通过TLS透传，NGINX Ingress Controller可直接将SSL/TLS加密连接直接路由到服务，而不对它们进行解密或要求访问SSL/TLS证书或密钥。

　　通过SSL/TLS卸载，NGINX Ingress Controller可作为反向代理，终止与请求者的TLS连接，然后使用mTLS或服务端SSL/TLS来加密与Kubernetes服务（后端和上游服务器）的新连接。

　　如果您的架构涉及集群内服务间的通信，为了确保数据完整性，您需要结合使用NGINX Ingress Controller和NGINX Service Mesh。NGINX Service Mesh可确保只有特定的服务被允许相互通信，使用mTLS对它们进行身份认证，并对它们之间的通信进行加密。NGINX Service Mesh支持您以“零接触”的方式实施mTLS，这意味着开发人员不必为了加装证书而改造应用，甚至不必知道应用正在进行相互身份认证。