ਤੁਸੀਂ ਸੇਵਾ-ਦਰ-ਸੇਵਾ ਸੰਚਾਰ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਤ ਕਰਦੇ ਹੋ (mTLS, zero-trust)?

Question

Accepted Answer

ਇੱਕ microservices ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਤੁਸੀਂ ਨੈਟਵਰਕ ਉੱਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰ ਸਕਦੇ ਸਿਰਫ ਇਸ ਲਈ ਕਿ ਇਹ "ਅੰਦਰੂਨੀ" ਹੈ। **Zero-trust** ਮੰਨਦਾ ਹੈ ਕਿ ਨੈਟਵਰਕ ਦੁਸ਼ਮਣ ਹੈ, ਇਸ ਲਈ ਹਰ ਇੱਕ ਕਾਲ ਦੀ ਪ੍ਰਮਾਣਤਾ ਜਾਂਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਅਨੁਮਤੀ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ, ਅਤੇ ਟ੍ਰੈਫਿਕ **mTLS** ਨਾਲ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

## ਆਪਸੀ TLS (mTLS)

ਆਮ TLS ਦੇ ਉਲਟ, **ਦੋਵੇਂ** ਪੱਖ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪੇਸ਼ ਕਰਦੇ ਹਨ। ਹਰੇਕ ਸੇਵਾ ਆਪਣੀ ਪਛਾਣ ਸਾਬਿਤ ਕਰਦੀ ਹੈ, ਅਤੇ ਟ੍ਰੈਫਿਕ ਗਤੀ ਵਿੱਚ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

ਇੱਕ service mesh mTLS ਨੂੰ ਆਪਣੇ ਆਪ ਫਰਾਹਮ ਕਰ ਸਕਦਾ ਹੈ ਬਿਨਾ ਕਿਸੇ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਪਰਿਵਰਤਨ ਕੇ।

## ਸੇਵਾ-ਦਰ-ਸੇਵਾ ਅਧਿਕਾਰ

ਪਛਾਣ (ਕੌਣ ਕਾਲ ਕਰ ਰਿਹਾ ਹੈ) ਪਲੱਸ ਨੀਤੀ (ਉਹ ਕੀ ਕਰ ਸਕਦੇ ਹਨ)। Tokens (JWT) ਜਾਂ SPIFFE ਪਛਾਣ ਕਾਲ ਕਨੇ ਵਾਲੇ ਦੀ ਪਛਾਣ ਲੰਘਦੀ ਹੈ।

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## ਗਹਿਰਾਈ ਵਿੱਚ ਰੱਖਿਆ

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## ਖਤਰਾ

ਅੰਦਰੂਨੀ ਨੈਟਵਰਕ ਉੱਤੇ ਭਰੋਸਾ ਕਰਨਾ ("ਇਹ ਫਾਇਰਵਾਲ ਦੇ ਪਿੱਛੇ ਹੈ") ਇਹ ਹੈ ਕਿ ਇੱਕ ਹੀ ਭੰਗ ਸੇਵਾ ਪੂਰੀ ਨਿਮਾਤਾ ਬਾਰੇ ਕਿਵੇਂ ਬਣ ਜਾਂਦਾ ਹੈ।

## ਇਹ ਮਹੱਤਵਪੂਰਨ ਕਿਉਂ ਹੈ

ਇੱਕ ਸਮਤਲ ਅੰਦਰੂਨੀ ਨੈਟਵਰਕ ਵਿੱਚ, ਇੱਕ ਹੀ ਭਰੀ ਸੇਵਾ ਹੋਰ ਸਭ ਕੁਝ ਤੱਕ ਪਹੁੰਚ ਸਕਦੀ ਹੈ; zero-trust ਉਸ ਧਮਾਲ ਦੀ ਰੇਡੀਅਸ ਨੂੰ ਰੱਖਦਾ ਹੈ।

mTLS ਪਲਸ ਪ੍ਰਤੀ-ਕਾਲ ਅਧਿਕਾਰ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇੱਕ ਹਮਲਾ ਕਾਰ ਜੋ ਅੰਦਰ ਲੈਂਡ ਕਰਦਾ ਹੈ ਫਿਰ ਵੀ ਸੇਵਾਵਾਂ ਨੂੰ ਨਕਲ ਨਹੀਂ ਕਰ ਸਕਦਾ ਜਾਂ ਲੇਟਰਲੀ ਸੁੱਟ ਨਹੀਂ ਸਕਦਾ, ਜੋ ਇੱਕ ਆਧੁਨਿਕ microservices ਪਲੇਟਫਾਰਮ ਦਾ ਮੁਖ ਸੁਰੱਖਿਆ ਵਾਅਦਾ ਹੈ।