Как работает безопасность в service mesh (Istio)?

Istio обеспечивает security через: mTLS между сервисами (автоматически через Envoy sidecar), Authorization Policies для контроля кто может вызывать кого, Peer Authentication для требования mTLS. JWT validation для end-user auth через RequestAuthentication. Istio CA выдаёт сертификаты через SPIFFE стандарт. Сетевые политики на layer 7: разрешить GET /api но запретить DELETE. Все это без изменения кода приложения, только конфигурация mesh.