Come assicuri la comunicazione da servizio a servizio (mTLS, zero-trust)?

Question

Accepted Answer

All'interno di una rete di microservizi non puoi fidarti della rete solo perché è "interna". **Zero-trust** assume che la rete sia ostile, quindi ogni chiamata è autenticata e autorizzata, e il traffico è crittografato con **mTLS**.

## Mutual TLS (mTLS)

A differenza di TLS normale, **entrambi** i lati presentano certificati. Ogni servizio prova la sua identità, e il traffico è crittografato in transito.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Una service mesh può fornire mTLS automaticamente senza alcun cambiamento al codice dell'app.

## Autorizzazione tra servizi

Identità (chi sta chiamando) più policy (cosa può fare). Token (JWT) o identità SPIFFE portano l'identità del chiamante.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Difesa in profondità

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Insidia

Fidarsi della rete interna ("è dietro il firewall") è come un singolo servizio compromesso diventa un compromesso totale.

## Perché è importante

In una rete interna piatta, un servizio compromesso potrebbe altrimenti raggiungere tutto; lo zero-trust contiene quel raggio di esplosione.

mTLS più autorizzazione per-chiamata significa che un attaccante che entra non può comunque impersonare i servizi o muoversi lateralmente, che è la promessa di sicurezza fondamentale di una piattaforma di microservizi moderna.