તમે સેવા-થી-સેવા સંચાર કેવી રીતે સુરક્ષિત કરો છો (mTLS, zero-trust)?

Question

Accepted Answer

માइક્રોસર્વિસીસ નેટવર્ક માં તમે નેટવર્ક પર વિશ્વાસ કરી શકતા નથી કારણ કે તે "આંતરિક" છે. **Zero-trust** ધારે છે કે નેટવર્ક પ્રતિશોધી છે, તેથી દરેક કૉલ પ્રમાણિત અને અધિકૃત છે, અને ટ્રાફિક **mTLS** સાથે એનક્રિપ્ટ કરવામાં આવે છે.

## પારસ્પરિક TLS (mTLS)

સામાન્ય TLS ની વિપરીત, **બંને** બાજુઓ પ્રમાણપત્રો રજૂ કરે છે. દરેક સેવા તેની ઓળખ સાબિત કરે છે, અને ટ્રાફિક પરિવહનમાં એનક્રિપ્ટ કરવામાં આવે છે.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

સેવા જાળી એપ્લિકેશન કોડ ફેરફાર વિના આપોઆપ mTLS પ્રદાન કરી શકે છે.

## સેવા-થી-સેવા અધિકૃતિ

ઓળખ (કોણ કૉલ કર રહ્યો છે) ધ્યાનપૂર્વક નીતિ (તેઓ શું કરી શકે છે). ટોકનો (JWT) અથવા SPIFFE ઓળખ કૉલરની ઓળખ વહન કરે છે.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## ગভીરતાથી બચાવ

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## ક્ષણભંગુર

આંતરિક નેટવર્ક પર વિશ્વાસ કરવો ("તે ફાયરવોલ પાછળ છે") એક જ ક્ષતિગ્રસ્ત સેવા કેવી રીતે સંપૂર્ણ આપસમાં પરિણત થાય છે.

## આ શા માટે મહત્વપૂર્ણ છે

સમતલ આંતરિક નેટવર્કમાં, એક સમાધાન કરેલી સેવા અન્યથા બધું કરી શકે છે; zero-trust તે બ્લાસ્ટ ત્રિજ્યા સમાવે છે.

mTLS ધ્યાનપૂર્વક પ્રતિ-કૉલ અધિકૃતિ એટલે કે આક્રમણકારી જે અંદર ઉતરે છે તે હજુ પણ સેવાઓનું નકલ કરી શકતો નથી અથવા બાજુમાં ખસી શકતો નથી, જે આધુનિક માइક્રોસર્વિસીસ પ્લેટફોર્મનું મૂળ સુરક્ષા વચન છે.