როგორ უზრუნველყოფთ სერვის-სერვის კომუნიკაციის უსაფრთხოებას (mTLS, zero-trust)?

Question

Accepted Answer

მიკროსერვისების ქსელის შიგნით თქვენ ვერ შეგიძლიათ ქსელის信任, მხოლოდ იმიტომ, რომ ეს "შიდა" არის. **Zero-trust** ვარაუდობს, რომ ქსელი სამუშაოა, ამიტომ ყოველი ზარი აუტენტიფიცირებული და ავტორიზებული არის, და ტრაფიკი დაშიფრულია **mTLS**-ით.

## Mutual TLS (mTLS)

ჩვეულებრივი TLS-ისგან განსხვავებით, **ორივე** მხარე წარმოადგენს სერტიფიკატებს. თითოეული სერვის პასუხობს თავის იდენტობაზე, და ტრაფიკი შიფრირებულია ტრანზიტში.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

სერვის მეშ შეიძლება mTLS-ის ავტომატურად გაწვდეთ აპლიკაციის კოდის ცვლილებების გარეშე.

## სერვის-სერვის ავტორიზაცია

იდენტობა (ვინ იძახის) პლუს პოლიტიკა (რა შეიძლება გააკეთოს). ტოკენები (JWT) ან SPIFFE იდენტობები ატარებენ მძახილის იდენტობას.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## თავდაცვა სიღრმეში

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## ხარვეზი

შიდა ქსელის信任 ("ის ფায়ერვოლის უკან არის") ის ხერხია, თუ როგორ ხდება ერთი კომპრომეტირებული სერვის სრული კომპრომიზი.

## რატომ არის ეს მნიშვნელოვანი

ბრტყელი შიდა ქსელში ერთი კომპრომეტირებული სერვის წინააღმდეგ შეიძლება ყველაფერს მიაღწიოს; zero-trust შეზღუდავს ამ აფეთქების რადიუსს.

mTLS პლუს თითოეული ზარის ავტორიზაცია ნიშნავს, რომ შემტეველი, რომელიც შიგნით დაიშვა, ვერ შეძლებს სერვისებს ციხეშე დააბინძურებს ან გვერდულად გადაიტანოს, რაც თანამედროვე მიკროსერვისების პლატფორმის ძირითადი უსაფრთხოების დაპირება.