威胁模型

下面我们将阐述 Envoy 威胁模型，这与 Envoy 操作人员、开发人员和安全研究人员相关。 我们详细说明了我们的安全发布流程，请访问 https://github.com/envoyproxy/envoy/security/policy。

机密性、完整性和可用性

我们认为导致数据机密性或完整性受损的漏洞是我们最优先考虑的问题。 可用性，特别是在与 DoS 和资源耗尽相关的领域，也是 Envoy 操作员的严重安全问题，尤其是那些在边缘部署中使用 Envoy 的操作员。

我们将针对满足以下标准的披露启动安全发布流程

• 所有导致数据机密性或完整性丢失的问题都会触发安全发布流程。

• 可用性问题，如 Query-of-Death (QoD) 或资源耗尽，需要满足以下所有标准才能触发安全发布流程

  • 标记为硬化的组件受到影响（有关硬化组件列表，请参阅 核心和扩展）。

  • 出现问题的流量类型（上游或下游）与组件的硬化标签匹配。 例如，标记为“针对不可信下游硬化”的组件受下游请求影响。

  • 资源耗尽问题需要满足以下额外标准

    • 不受现有超时保护，或者应用较短的超时值不切实际，并且

      • 内存耗尽，包括内存不足情况，其中每个请求的内存使用量比配置的报头或高水位线限制高 100 倍或更多。 例如，10 KiB 客户端请求导致 Envoy 消耗 1 MiB 字节的内存；

      • 高度不对称的 CPU 利用率，其中 Envoy 的 CPU 使用率是客户端的 100 倍或更多。

Envoy 关于 CPU 和内存 DoS 的可用性立场仍在不断发展，特别是对于暴力攻击。 我们承认暴力攻击（即放大系数小于 100 的攻击）可能是 Envoy 部署的一部分，作为云基础设施或使用僵尸网络。 我们将继续在公开场合迭代和修复众所周知的资源问题，例如，改进过载管理器和水位线。 我们将针对似乎对现有 Envoy 部署构成风险的暴力攻击披露启动安全流程。

请注意，我们目前不认为 Envoy 的默认设置从可用性角度来看是安全的。 操作人员需要明确 配置 水位线、过载管理器、断路器以及 Envoy 中其他与资源相关的功能，以提供可靠的可用性故事。 我们不会对任何与缺乏安全默认设置相关的安全披露采取行动。 随着时间的推移，我们将努力实现更安全的默认配置，但由于向后兼容性和性能问题，这将需要遵循重大变更弃用策略。

数据平面和控制平面

我们将我们的威胁模型划分为数据平面和控制平面，反映了 Envoy 在架构角度上对这些概念的内部划分。 Envoy 的核心组件被认为是针对不可信的下游和上游对等节点硬化的。 因此，我们在风险评估中优先考虑的是不可信下游客户端或不可信上游服务器流量对数据平面的威胁。 这反映了 Envoy 在边缘服务中的使用，以及 Envoy 作为服务网格部署中具有不可信服务的网络组件的使用。

控制平面管理服务器通常是可信的。 因此，我们不认为针对 xDS 传输协议的线级漏洞是问题。 但是，通过 xDS 传递给 Envoy 的配置可能源自不可信来源，并且可能未完全消毒。 这种情况的例子可能是服务运营商在一个 Envoy 上托管多个租户，其中租户可以在 RouteConfiguration 中指定报头匹配的正则表达式。 在这种情况下，我们预计 Envoy 能够抵御来自不可信配置带来的风险，从机密性、完整性和可用性角度来看，如上所述。

对于需要控制平面和数据平面协调的问题，例如导致 Query of Death 的配置选项，风险由 Envoy 安全团队评估。 如果配置选项存在很长时间，将其关闭会带来风险（例如，关闭过载管理器），而将其开启也会带来风险，安全团队通常会选择在禁运下修复问题。 如果一个功能是新的，并且配置更改总是会导致数据平面崩溃，那么它可能被归类为可信控制平面应禁止的内容，并在明处修复。 对于更微妙的问题，例如，长期存在的配置，其中只有一个变体有问题，安全团队将尝试评估是否存在对任何用户（包括大规模多租户运营商）构成风险的攻击，以确定它是否应该在明处修复。

我们通常假设用于在请求处理期间进行旁路调用的服务（例如，外部授权、凭证提供者、速率限制服务）是可信的。 当情况并非如此时，扩展将在其文档中明确说明这一点。

核心和扩展

Envoy 核心中的任何内容都可以在不可信和可信部署中使用，但明确标记为 alpha 的功能除外；alpha 功能仅在可信部署中受支持，并且不符合下面威胁模型中的处理方式。 因此，稳定的核心应该考虑到这个模型进行硬化。 与核心代码相关的安全问题通常会触发本文件中描述的安全发布流程。

注意

contrib 扩展在下面有说明，并且不受威胁模型或 Envoy 安全团队的正式涵盖。 下面的所有指示都是尽力而为。

以下扩展旨在针对不可信的下游和上游进行硬化

扩展安全：robust_to_untrusted_downstream_and_upstream

• envoy.bootstrap.internal_listener

• envoy.clusters.eds

• envoy.clusters.logical_dns

• envoy.clusters.original_dst

• envoy.clusters.static

• envoy.clusters.strict_dns

• envoy.compression.qatzip.compressor (alpha) (contrib builds 仅限)

• envoy.compression.qatzstd.compressor (alpha) (contrib builds 仅限)

• envoy.filters.http.decompressor

• envoy.filters.http.ext_proc

• envoy.filters.http.router

• envoy.filters.http.set_metadata

• envoy.filters.http.upstream_codec

• envoy.filters.listener.tls_inspector

• envoy.filters.network.connection_limit

• envoy.formatter.cel (alpha)

• envoy.formatter.metadata (alpha)

• envoy.formatter.req_without_query (alpha)

• envoy.health_check.event_sinks.file

• envoy.http.early_header_mutation.header_mutation (alpha)

• envoy.http.stateful_header_formatters.preserve_case

• envoy.internal_redirect_predicates.allow_listed_routes

• envoy.internal_redirect_predicates.previous_routes

• envoy.internal_redirect_predicates.safe_cross_scheme

• envoy.io_socket.user_space

• envoy.load_balancing_policies.cluster_provided

• envoy.load_balancing_policies.maglev

• envoy.load_balancing_policies.random

• envoy.load_balancing_policies.ring_hash

• envoy.load_balancing_policies.round_robin

• envoy.load_balancing_policies.subset

• envoy.matching.matchers.cel_matcher

• envoy.matching.matchers.ip

• envoy.matching.matchers.runtime_fraction

• envoy.network.dns_resolver.apple

• envoy.network.dns_resolver.cares

• envoy.network.dns_resolver.getaddrinfo

• envoy.path.match.uri_template.uri_template_matcher

• envoy.path.rewrite.uri_template.uri_template_rewriter

• envoy.quic.connection_debug_visitor.quic_stats (alpha)

• envoy.quic.deterministic_connection_id_generator (alpha)

• envoy.regex_engines.google_re2

• envoy.request_id.uuid

• envoy.router.cluster_specifier_plugin.lua (alpha)

• envoy.string_matcher.lua (alpha)

• envoy.transport_sockets.alts

• envoy.transport_sockets.internal_upstream

• envoy.transport_sockets.starttls

• envoy.transport_sockets.tcp_stats

• envoy.transport_sockets.tls

• envoy.transport_sockets.upstream_proxy_protocol

• envoy.udp_packet_writer.default

• envoy.udp_packet_writer.gso

以下扩展不应暴露给数据平面攻击向量，因此旨在针对不可信的下游和上游进行硬化

扩展安全：data_plane_agnostic

• envoy.grpc_credentials.aws_iam (alpha)

• envoy.grpc_credentials.file_based_metadata (alpha)

• envoy.key_value.file_based (alpha)

• envoy.resource_monitors.cpu_utilization (alpha)

• envoy.resource_monitors.fixed_heap (alpha)

• envoy.resource_monitors.global_downstream_max_connections

• envoy.resource_monitors.injected_resource (alpha)

• envoy.stat_sinks.dog_statsd

• envoy.stat_sinks.graphite_statsd (alpha)

• envoy.stat_sinks.hystrix

• envoy.stat_sinks.metrics_service

• envoy.stat_sinks.open_telemetry (alpha)

• envoy.stat_sinks.statsd

• envoy.stat_sinks.wasm (alpha)

• envoy.watchdog.profile_action (alpha)

以下扩展旨在针对不受信任的下游进行加固，但假定上游是可信的

扩展安全性：robust_to_untrusted_downstream

• envoy.access_loggers.file

• envoy.access_loggers.fluentd (alpha)

• envoy.access_loggers.http_grpc

• envoy.access_loggers.open_telemetry

• envoy.access_loggers.stderr

• envoy.access_loggers.stdout

• envoy.access_loggers.tcp_grpc

• envoy.clusters.dynamic_forward_proxy

• envoy.compression.brotli.compressor

• envoy.compression.brotli.decompressor

• envoy.compression.gzip.compressor

• envoy.compression.gzip.decompressor

• envoy.compression.zstd.compressor

• envoy.filters.http.basic_auth (alpha)

• envoy.filters.http.buffer

• envoy.filters.http.compressor

• envoy.filters.http.cors

• envoy.filters.http.csrf

• envoy.filters.http.dynamic_forward_proxy

• envoy.filters.http.ext_authz

• envoy.filters.http.fault

• envoy.filters.http.grpc_json_transcoder

• envoy.filters.http.grpc_web

• envoy.filters.http.header_to_metadata

• envoy.filters.http.health_check

• envoy.filters.http.ip_tagging

• envoy.filters.http.json_to_metadata (alpha)

• envoy.filters.http.jwt_authn

• envoy.filters.http.kill_request

• envoy.filters.http.lua

• envoy.filters.http.oauth2 (alpha)

• envoy.filters.http.on_demand

• envoy.filters.http.original_src (alpha)

• envoy.filters.http.ratelimit

• envoy.filters.http.rbac

• envoy.filters.http.sxg (alpha) (contrib 构建 仅限)

• envoy.filters.http.thrift_to_metadata (alpha)

• envoy.filters.listener.local_ratelimit

• envoy.filters.listener.original_dst

• envoy.filters.listener.original_src (alpha)

• envoy.filters.listener.proxy_protocol

• envoy.filters.network.client_ssl_auth (contrib 构建 仅限)

• envoy.filters.network.envoy_mobile_http_connection_manager

• envoy.filters.network.ext_authz

• envoy.filters.network.http_connection_manager

• envoy.filters.network.local_ratelimit

• envoy.filters.network.ratelimit

• envoy.filters.network.rbac

• envoy.filters.network.tcp_proxy

• envoy.filters.udp.dns_filter (alpha)

• envoy.filters.udp.session.dynamic_forward_proxy (alpha)

• envoy.filters.udp.session.http_capsule (alpha)

• envoy.filters.udp_listener.udp_proxy

• envoy.health_checkers.grpc

• envoy.health_checkers.http

• envoy.health_checkers.tcp

• envoy.http.original_ip_detection.custom_header

• envoy.http.original_ip_detection.xff

• envoy.matching.common_inputs.environment_variable

• envoy.matching.matchers.consistent_hashing

• envoy.quic.crypto_stream.server.quiche (alpha)

• envoy.quic.proof_source.filter_chain (alpha)

• envoy.quic.server_preferred_address.datasource (alpha)

• envoy.quic.server_preferred_address.fixed (alpha)

• envoy.retry_host_predicates.omit_canary_hosts

• envoy.retry_host_predicates.omit_host_metadata

• envoy.retry_host_predicates.previous_hosts

• envoy.retry_priorities.previous_priorities

• envoy.route.early_data_policy.default

• envoy.tls.key_providers.cryptomb (alpha) (contrib 构建 仅限)

• envoy.tls.key_providers.qat (alpha) (contrib 构建 仅限)

• envoy.tracers.datadog

• envoy.tracers.xray

• envoy.tracers.zipkin

• envoy.upstreams.http.generic

• envoy.upstreams.http.http

• envoy.upstreams.http.http_protocol_options

• envoy.upstreams.http.tcp

• envoy.upstreams.http.udp (alpha)

• envoy.upstreams.tcp.generic

以下扩展应该仅在下游和上游都可信时使用

扩展安全性：requires_trusted_downstream_and_upstream

• envoy.bootstrap.vcl (alpha) (contrib 构建 仅限)

• envoy.clusters.aggregate

• envoy.clusters.redis

• envoy.compression.zstd.decompressor

• envoy.filters.generic.router (alpha)

• envoy.filters.http.aws_lambda (alpha)

• envoy.filters.http.aws_request_signing (alpha)

• envoy.filters.http.checksum (alpha) (contrib 构建 仅限)

• envoy.filters.http.dynamo (contrib 构建 仅限)

• envoy.filters.http.golang (alpha) (contrib 构建 仅限)

• envoy.filters.http.language (alpha) (contrib 构建 仅限)

• envoy.filters.http.squash (contrib 构建 仅限)

• envoy.filters.http.tap (alpha)

• envoy.filters.listener.http_inspector

• envoy.filters.network.dubbo_proxy (alpha)

• envoy.filters.network.generic_proxy (alpha)

• envoy.filters.network.golang (alpha) (contrib 构建 仅限)

• envoy.filters.network.mongo_proxy

• envoy.filters.network.mysql_proxy (alpha) (contrib 构建 仅限)

• envoy.filters.network.postgres_proxy (contrib 构建 仅限)

• envoy.filters.network.redis_proxy

• envoy.filters.network.rocketmq_proxy (alpha) (contrib 构建 仅限)

• envoy.filters.network.sip_proxy (alpha) (contrib 构建 仅限)

• envoy.filters.network.thrift_proxy

• envoy.filters.network.zookeeper_proxy (alpha)

• envoy.filters.sip.router (alpha) (contrib builds 仅限于)

• envoy.filters.thrift.header_to_metadata (alpha)

• envoy.filters.thrift.payload_to_metadata (alpha)

• envoy.filters.thrift.rate_limit (alpha)

• envoy.filters.thrift.router

• envoy.generic_proxy.codecs.dubbo (alpha)

• envoy.generic_proxy.codecs.http1 (alpha)

• envoy.health_checkers.redis

• envoy.health_checkers.thrift (alpha)

• envoy.matching.input_matchers.hyperscan (alpha) (contrib builds 仅限于)

• envoy.network.connection_balance.dlb (alpha) (contrib builds 仅限于)

• envoy.quic.connection_debug_visitor.basic (alpha)

• envoy.regex_engines.hyperscan (alpha) (contrib builds 仅限于)

• envoy.router.cluster_specifier_plugin.golang (alpha) (contrib builds 仅限于)

• envoy.tls.cert_validator.spiffe (alpha)

• envoy.transport_sockets.raw_buffer

• envoy.transport_sockets.tap (alpha)

以下扩展的安全状况未知

扩展安全：unknown

• envoy.access_loggers.extension_filters.cel (alpha)

• envoy.access_loggers.wasm (alpha)

• envoy.bootstrap.wasm (alpha)

• envoy.config.validators.minimum_clusters_validator

• envoy.config_mux.delta_grpc_mux_factory

• envoy.config_mux.sotw_grpc_mux_factory

• envoy.config_subscription.ads

• envoy.config_subscription.ads_collection

• envoy.config_subscription.aggregated_delta_grpc_collection

• envoy.config_subscription.aggregated_grpc_collection

• envoy.config_subscription.delta_grpc

• envoy.config_subscription.filesystem

• envoy.config_subscription.filesystem_collection

• envoy.config_subscription.grpc

• envoy.config_subscription.rest

• envoy.filters.http.adaptive_concurrency

• envoy.filters.http.admission_control

• envoy.filters.http.alternate_protocols_cache (alpha)

• envoy.filters.http.bandwidth_limit

• envoy.filters.http.cdn_loop (alpha)

• envoy.filters.http.composite

• envoy.filters.http.connect_grpc_bridge (alpha)

• envoy.filters.http.credential_injector (alpha)

• envoy.filters.http.gcp_authn (alpha)

• envoy.filters.http.grpc_field_extraction (alpha)

• envoy.filters.http.grpc_http1_bridge

• envoy.filters.http.grpc_http1_reverse_bridge (alpha)

• envoy.filters.http.grpc_stats

• envoy.filters.http.header_mutation (alpha)

• envoy.filters.http.local_ratelimit

• envoy.filters.http.proto_message_extraction (alpha)

• envoy.filters.http.set_filter_state (alpha)

• envoy.filters.http.stateful_session (alpha)

• envoy.filters.http.wasm (alpha)

• envoy.filters.network.direct_response

• envoy.filters.network.echo

• envoy.filters.network.set_filter_state (alpha)

• envoy.filters.network.sni_cluster

• envoy.filters.network.sni_dynamic_forward_proxy (alpha)

• envoy.filters.network.wasm (alpha)

• envoy.http.injected_credentials.generic (alpha)

• envoy.http.injected_credentials.oauth2 (alpha)

• envoy.http.stateful_session.cookie (alpha)

• envoy.http.stateful_session.header (alpha)

• envoy.load_balancing_policies.least_request

• envoy.matching.actions.format_string

• envoy.matching.custom_matchers.trie_matcher

• envoy.matching.inputs.application_protocol

• envoy.matching.inputs.cel_data_input

• envoy.matching.inputs.destination_ip

• envoy.matching.inputs.destination_port

• envoy.matching.inputs.direct_source_ip

• envoy.matching.inputs.dns_san

• envoy.matching.inputs.dynamic_metadata

• envoy.matching.inputs.filter_state

• envoy.matching.inputs.query_params

• envoy.matching.inputs.request_headers

• envoy.matching.inputs.request_trailers

• envoy.matching.inputs.response_headers

• envoy.matching.inputs.response_trailers

• envoy.matching.inputs.server_name

• envoy.matching.inputs.source_ip

• envoy.matching.inputs.source_port

• envoy.matching.inputs.source_type

• envoy.matching.inputs.subject

• envoy.matching.inputs.transport_protocol

• envoy.matching.inputs.uri_san

• envoy.matching.matchers.metadata_matcher (alpha)

• envoy.rate_limit_descriptors.expr

• envoy.rbac.matchers.upstream_ip_port (alpha)

• envoy.tracers.opencensus

• envoy.transport_sockets.http_11_proxy (alpha)

• envoy.upstream.local_address_selector.default_local_address_selector (alpha)

• envoy.upstreams.tcp.tcp_protocol_options (alpha)

• envoy.wasm.runtime.null (alpha)

• envoy.wasm.runtime.v8 (alpha)

• envoy.wasm.runtime.wamr (alpha)

• envoy.wasm.runtime.wasmtime (alpha)

Envoy 目前有两个支持可加载代码的动态过滤器扩展；WASM 和 Lua。在这两种情况下，我们都假设动态加载的代码是可信的。我们期望 Lua 的运行时能够在信任脚本的情况下，抵御来自不可信数据平面流量的攻击。WASM 仍在开发中，但最终将具有类似的安全立场。