¿Cómo asegurar la comunicación de servicio a servicio (mTLS, confianza cero)?

Question

Accepted Answer

Dentro de una red de microservicios no puedes confiar en la red solo porque sea "interna". **Zero-trust** asume que la red es hostil, así que cada llamada es autenticada y autorizada, y el tráfico está encriptado con **mTLS**.

## TLS mutuo (mTLS)

A diferencia del TLS normal, **ambos** lados presentan certificados. Cada servicio demuestra su identidad, y el tráfico está encriptado en tránsito.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Un service mesh puede proporcionar mTLS automáticamente sin cambios en el código de la aplicación.

## Autorización de servicio a servicio

Identidad (quién está llamando) más política (qué pueden hacer). Los tokens (JWT) o identidades SPIFFE llevan la identidad de quien llama.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Defensa en profundidad

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Trampa

Confiar en la red interna ("está detrás del firewall") es cómo un servicio comprometido se convierte en una compromisión total.

## Por qué es importante

En una red interna plana, un servicio comprometido puede de otra manera alcanzar todo; la confianza cero contiene ese radio de explosión.

mTLS más autorización por llamada significa que un atacante que aterriza dentro aún no puede suplantar servicios o moverse lateralmente, que es la promesa de seguridad central de una plataforma moderna de microservicios.