Istio是目前最受关注的服务网格之一，越来越多的公司开始落地Service Mesh架构，并将已有的系统接入Service Mesh。同时随着零信任网络的发展，东西向，南北向流量都需要提供足够的安全保护，因为Istio自身提供了多种安全特性，所以也出现不少基于Istio的零信任架构。在安全中通常关注的重点是南北流量，而我们应该认识到，在云原生的环境下，东西流量安全也应该受到足够的重视。
在Istio默认的配置中，其在集群内暴露了许多未授权和明文传输的服务。通常情况下，这会引起攻击者的注意，当恶意攻击者进入被控制的容器或发现SSRF漏洞后，往往可以利用这些自身的服务扩大攻击范围。

阅读剩余部分 –

随着软件架构不断的演进，更加快捷部署大型复杂应用成为了人们关注的方向。近几年Service Mesh开始不断出现在大家的视野里，越来越多的大厂开始对其进行实践。事实上在Service Mesh发展中核心就是不断对Sidecar模式配备更加完善的流量管理解决方案。
在Service Mesh中Sidecar是透明的，开发者对其无感知的，而其中对于流量最关键的一步就是Sidecar进行的流量劫持，那么Sidecar又是如何进行流量劫持呢？最常见的方式就是iptables，本文将会带你了解iptables，同时明白Istio中是如何使用iptables进行流量劫持。

阅读剩余部分 –