तुम सेवा-से-सेवा संचार (mTLS, zero-trust) को कसे सुरक्षित करता?

Question

Accepted Answer

मायक्रोसर्विसेज नेटवर्कमध्ये तुम्ही नेटवर्कवर विश्वास करू शकत नाही कारण ते "अंतर्गत" आहे. **Zero-trust** असे गृहीत धरते की नेटवर्क शत्रुतापूर्ण आहे, म्हणून प्रत्येक कॉल प्रमाणित आणि अधिकृत आहे, आणि ट्रॅफिक **mTLS** सह एनक्रिप्ट केली जाते.

## Mutual TLS (mTLS)

सामान्य TLS च्या विपरीत, **दोन्ही** बाजू प्रमाणपत्र सादर करते. प्रत्येक सेवा त्याची ओळख सिद्ध करते, आणि ट्रॅफिक ट्रांजिटमध्ये एनक्रिप्ट केली जाते.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

सेवा मेश अ‍ॅप कोडमधील कोणतेही बदल न करता mTLS स्वयंचलितपणे प्रदान करू शकता.

## सेवा-से-सेवा प्राधिकरण

ओळख (कोण कॉल करत आहे) तसेच धोरण (ते काय करू शकतात). टोकन्स (JWT) किंवा SPIFFE ओळखें कॉलरची ओळख वाहून नेतात.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## खोलातून संरक्षण

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## पतन

अंतर्गत नेटवर्कवर विश्वास करणे ("हे फायरवॉलच्या मागे आहे") हे असे आहे की एक धोक्यात आलेली सेवा संपूर्ण समझोते ठेवते.

## हे महत्वाचे का आहे

सपाट अंतर्गत नेटवर्कमध्ये, एक धोक्यात आलेली सेवा अन्यथा सर्वकाही पोहोचू शकते; zero-trust त्या ब्लास्ट त्रिज्या समाविष्ट करते.

mTLS तसेच प्रति-कॉल प्राधिकरण याचा अर्थ असा आहे की एक हल्लेखोर जो अंदर उतरला तरी सेवांचे नकल करू शकत नाही किंवा पार्श्वतः हालचाल करू शकत नाही, जो आधुनिक मायक्रोसर्विसेज प्लॅटफॉर्मचे मूळ सुरक्षा वचन आहे.