Gojek Agenda ● GoPay & Istio ● Before mutual TLS ● Implementing mutual TLS ○ Centralized Certificate Management ○ Ingress mutual TLS ○ Egress mutual TLS ● Challenge & Future Works GoPay & Istio EnvoyFilters into Istio. ● Istio have abstraction concept that make manage things easier. Before Mutual TLS? HTTPS + Allowlisting Our previous setup is using https with allow listing to only allow specific by all services) Implementing Mutual TLS Centralized Certificate Management ● Central certificate management manage our certificate lifecycle for HTTPS and mutual TLS communication. ● Renew & sync

request: can access reviews-v1, reviews-v3 can not access reviews-v2 since we have enabled ISTIO_MUTUAL mode on client side Access productpage 1) Apply destination rule enable client side mTLS mTLS services outside of the mesh ● ISTIO_MUTUAL: originate TLS with istio cert ● SIMPLE/MUTUAL: originate TLS with the cert you specified, common if you want to TLS with service outside mesh apiVersion: DestinationRule metadata: name: reviews spec: host: reviews trafficPolicy: tls: mode: ISTIO_MUTUAL 1) Generate client and server certificates and keys 2) Create a secret for the ingress

write。 OSSM-1211 为故障转移配置联邦服务网格无法正常工作。 Istiod pilot 日志显示以下错误： envoy connection [C289] TLS error: 337047686:SSL routines:tls_process_server_certificate:certificate verify failed OSSM-1099 Kiali 控制台显示消息 Sorry Collector 间的连接会出现 TRACING-1300 失败。对 Jaeger Operator 的更新默认启用了 Jaeger sidecar 代理和 Jaeger Collector 之间的 TLS 通信。 {"level":"warn","ts":1642438880.918793,"caller":"channelz/logging.go:62","msg":"[core]grpc: Server 1.5. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 Red

technology stack often used within Kubernetes clusters to provide service-to-service communication, manages TLS certificates, provides workload identity, and includes a builtin authorization system facilitated by exposed via its control plane and should enforce all network communications use mTLS (or at minimum, TLS) for communi- cations within the istio-system namespace / control plane. As mentioned in finding NCC- to restrict a Pod’s access to them. Attempts to modify the settings to “controlPlaneAuth Policy: MUTUAL_TLS” did not appear to have any effect on preventing a Pod not managed by Istio from accessing Istio’s

Jaeger 版本 1.13.1 不匹配。 MAISTRA-622 在 Maistra 0.12.0/TP12 中，permissive 模式无法正常工作。用户可以使用 Plain text 模式或 Mutual TLS 模式，但不能使用 permissive 模式。 MAISTRA-572 Jaeger 无法与 Kiali 一起使用。在这个版本中，Jaeger 被配置为使用 OAuth 代 理，但它被配 1.7. OpenSSL Red Hat OpenShift Service Mesh 将 BoringSSL 替换为 OpenSSL。OpenSSL 是包含安全套接字层 (SSL) 和传输层 (TLS) 协议的开源实现的软件库。Red Hat OpenShift Service Mesh Proxy 二进制代码动 态地将 OpenSSL 库（libssl 和 libcrypto）与底层的 Red 不支持基于 QUIC 的服务。 Red Hat OpenShift Service Mesh 目前还不支持使用 Istio 的 Secret Discovery Service (SDS) 功 能部署 TLS 证书。Istio 的实施取决于使用 hostPath 挂载的 nodeagent 容器。 后 后续 续步 步骤 骤 准备在 OpenShift Container Platform 环境中安装

as tenant. HP Horizon Platform Connect With Istio #IstioCon Secure Platform • JWT Verify • Mutual TLS • Authorization Policy • Envoy External Authorization #IstioCon Secure Platform #IstioCon request authentication policy to Verify end-user JWT easily #IstioCon Secure Platform – mutual TLS Using mutual TLS for service-to-service authentication. • When a service receives or sends network traffic

容器中，运行 以下命令： -ca-file -ca-file 标志是用于控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 重要 -ca-file 标志必须与 -cert-file 和 -key-file 标志一起指定。 示例 示例 -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 用硬件和驱动 驱动程序 程序启 启用 用 30 -h, -help 打印使用方法并退出. -key-file key-file 标志是控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 - ca-file 和 -cert-file。此标志指定与给定证书文件或 -cert-file 对应的私钥，用于验证传出请求。 默认： 空 重要 重要

容器中，运行 以下命令： -ca-file -ca-file 标志是用于控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 -cert-file 和 '-key-file'。此标志指定用于验证 nfd-master 真实性的 TLS root 证书。 默认： 空 重要 -ca-file 标志必须与 -cert-file 和 -key-file Example -cert-file -cert-file 标志是在 NFD Topology Updater 上控制 mutual TLS 身份验证的三个标记之一，其他两个与 - ca-file 和 -key-file flags。此标志指定为身份验证传出请求的 TLS 证书。 默认： 空 重要 -cert-file 标志必须与 -ca-file 和 -key-file 标志一起指定。 Platform 4.12 专 专用硬件和 用硬件和驱动 驱动程序 程序启 启用 用 22 -key-file key-file 标志是控制 NFD Topology Updater 上的 mutual TLS 身份验证的三个标记之一，其他两个是 - ca-file 和 -cert-file。此标志指定与给定证书文件或 -cert-file 对应的私钥，用于验证传出请求。 默认： 空 重要 key-file

policies on - ■ hardware Firewalls, Bare Metals, legacy OpenStack, etc. ● Transport Layer Security (TLS) ● Custom OpenID implementation for L7 AuthN #IstioCon Why Service Mesh? ● Current challenges include Enforcement ■ Updating hardware devices is slow ○ Achieving micro-segmentation at scale ○ Enabling TLS for all applications in a consistent way ● Service Mesh ○ An architectural pattern to implement common Observability, Service Routing & Discovery functions as features of the infrastructure - ○ Functions: TLS Termination, Traffic Management, Tracing, Rate Limiting, Protocol Adapter, Circuit breaker, Caching

Trust Strong identity for users, workloads, devices, etc. Encrypting inter-CNF traffic via mutual TLS (mTLS) Option to encrypt intra-CNF traffic via mTLS Autonomous PKI service for certificate Intermediate CA ● Enable ECC certificates ● Configure workload certificate TTLs ● Enable strict mutual TLS (mTLS) instead of auto ● Use dedicated egress gateways Tuning Istio to Meet 5G Security Requirements