マイクロサービスネットワーク内では、ネットワークが「内部」だからといって信頼することはできません。ゼロトラストはネットワークが敵対的であると仮定するため、すべての呼び出しが認証と認可され、トラフィックはmTLSで暗号化されます。
Mutual TLS (mTLS)
通常のTLSとは異なり、両側が証明書を提示します。各サービスはその身元を証明し、トラフィックは転送中に暗号化されます。
text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B (both verify each other's identity)
→ caller is authenticated AND data is encrypted
サービスメッシュは、アプリコードの変更なしにmTLSを自動的に提供できます。
サービス間認可
アイデンティティ(誰が呼び出しているか)とポリシー(何ができるか)。トークン(JWT)またはSPIFFEアイデンティティが呼び出し元のアイデンティティを伝えます。
yaml
