Implementación de protocolos seguros en arquitecturas Service Mesh con Istio

Abstract

Este TFM persigue mostrar una solución a la necesidad de diseñar aplicaciones de forma que se puedan separar las funciones de implementación de la lógica de negocio (qué funcionalidad tiene que cubrir la aplicación) de la lógica de implementación de servicios de seguridad (qué controles de seguridad tengo que dotar a la solución). Istio aborda esta solución en arquitecturas basadas en microservicios sobre Kubernetes. Para ello, se aborda la implementación de una solución basada en una arquitectura de microservicios apoyada en una solución que añade controles de seguridad. A esta solución se le dotará de capacidades de seguridad, orientadas al control del tráfico de comunicaciones entre los servicios. Concretamente la solución tendrá implantadas capacidades propias de la herramienta Istio, sobre una plataforma de Kubernetes. Estas capacidades están basadas en controles de seguridad de autenticación y autorización, que tienen una base en el protocolo mTLS. Concretamente estas funciones a implantar serán la habilitación del protocolo mTLS en el tráfico específico entre los servicios de la solución y la habilitación de tráfico http sobre este protocolo mTLS, consiguiendo de esta forma dotar de un protocolo de comunicaciones seguro en la arquitectura. En la fase de implementación se presenta una aplicación web con una serie de microservicios sobre los que se implantarán las capacidades de mTLS y comunicación vía http.

This final work of head seeks to show a solution to the need to design applications in such a way that the implementation functions of the business logic can be separated (what functionality the application must cover) from the security service implementation logic (what security controls I must equip the solution). Istio approaches this solution in architectures based on microservices on top of Kubernetes. To do this, the implementation of a solution based on a microservices architecture supported by a solution that adds security controls is addressed. This solution will be provided with security capabilities, aimed at controlling communications traffic between services. Specifically, the solution will have the capabilities of the Istio tool implemented, on a Kubernetes platform. These capabilities are based on authentication and authorization security controls, which are based on the mTLS protocol. Specifically, these functions to be implemented will be the enabling of the mTLS protocol in the specific traffic between the services of the solution and the enabling of http traffic on this mTLS protocol, thus achieving a secure communications protocol in the architecture. In the implementation phase, a web application is presented with a series of microservices on which the capabilities of mTLS and communication via http will be implemented.

Aquest TFM persegueix mostrar una solució a la necessitat de dissenyar aplicacions de manera que es puguin separar les funcions d'implementació de la lògica de negoci (quina funcionalitat ha de cobrir l'aplicació) de la lògica d'implementació de serveis de seguretat (quins controls de seguretat haig de dotar a la solució). Istio aborda aquesta solució en arquitectures basades en microserveis sobre Kubernetes. Per a això, s'aborda la implementació d'una solució basada en una arquitectura de microserveis recolzada en una solució que afegeix controls de seguretat. A aquesta solució se li dotarà de capacitats de seguretat, orientades al control del trànsit de comunicacions entre els serveis. Concretament la solució tindrà implantades capacitats pròpies de l'eina Istio, sobre una plataforma de Kubernetes. Aquestes capacitats estan basades en controls de seguretat d'autenticació i autorització, que tenen una base en el protocol mTLS. Concretament aquestes funcions a implantar seran l'habilitació del protocol mTLS en el trànsit específic entre els serveis de la solució i l'habilitació de trànsit http sobre aquest protocol mTLS, aconseguint d'aquesta manera dotar d'un protocol de comunicacions segur en l'arquitectura. En la fase d'implementació es presenta una aplicació web amb una sèrie de microserveis sobre els quals s'implantaran les capacitats de mTLS i comunicació via http.