Jak zabezpečit komunikaci mezi službami (mTLS, zero-trust)?

Question

Accepted Answer

V síti mikroslužeb nemůžete důvěřovat síti jen proto, že je "interní". **Zero-trust** předpokládá, že síť je nepřátelská, takže každé volání je ověřeno a autorizováno a provoz je šifrován pomocí **mTLS**.

## Vzájemný TLS (mTLS)

Na rozdíl od normálního TLS, **obě** strany předkládají certifikáty. Každá služba prokáže svou identitu a provoz je v průběhu přenosu šifrován.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Síť služeb může poskytovat mTLS automaticky bez jakýchkoli změn kódu aplikace.

## Autorizace mezi službami

Identita (kdo volá) plus zásada (co mohou dělat). Tokeny (JWT) nebo identity SPIFFE nesou identitu volajícího.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Obrana v hloubce

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Úskalí

Důvěra v interní síť ("je za firewallem") je způsob, jak se z jedné ohrožené služby stane úplné ohrožení.

## Proč je to důležité

V ploché interní síti může jedna ohrožená služba jinak dosáhnout všeho; zero-trust obsahuje daný poloměr výbuchu.

mTLS plus autorizace pro každé volání znamená, že útočník, který se dostane dovnitř, stále nemůže vydávat služby za své nebo se pohybovat laterálně, což je základní bezpečnostní příslib moderní platformy mikroslužeb.