داخل شبكة الخدمات الدقيقة، لا يمكنك الثقة بالشبكة فقط لأنها "داخلية". Zero-trust يفترض أن الشبكة معادية، لذا كل استدعاء يتم المصادقة عليه والتحقق من الصلاحيات، والحركة مشفرة باستخدام mTLS.
بخلاف TLS العادي، يقدم كلا الجانبين شهادات. تثبت كل خدمة هويتها، والحركة مشفرة أثناء النقل.
Service A ──cert──▶ Service B
Service A ◀─cert── Service B (both verify each other's identity)
→ caller is authenticated AND data is encrypted
يمكن لشبكة الخدمات توفير mTLS تلقائياً دون أي تغييرات في كود التطبيق.
الهوية (من يستدعي) بالإضافة إلى السياسة (ما يحق لهم فعله). الرموز (JWT) أو هويات SPIFFE تحمل هوية المتصل.
# allow only the orders service to call payments
policy:
from: { service: orders }
to: { service: payments, path: /charge }
action: ALLOW # everything else denied by default
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
الثقة بالشبكة الداخلية ("إنها خلف جدار الحماية") هي كيف تصبح خدمة واحدة مخترقة سبباً في اختراق كامل.
في شبكة داخلية مسطحة، يمكن لخدمة واحدة مخترقة الوصول إلى كل شيء؛ zero-trust يحتوي على نطاق التأثير.
يعني mTLS بالإضافة إلى التفويض لكل استدعاء أن المهاجم الذي يدخل البيئة لا يزال لا يستطيع انتحال صفة الخدمات أو التحرك جانبياً، وهذا هو الوعد الأساسي للأمن في منصة الخدمات الدقيقة الحديثة.