Jak zabezpieczyć komunikację między usługami (mTLS, zero-trust)?

Question

Accepted Answer

W sieci mikrousług nie możesz ufać sieci tylko dlatego, że jest "wewnętrzna". **Zero-trust** zakłada, że sieć jest wroga, więc każde wywołanie jest uwierzytelnianie i autoryzowane, a ruch jest szyfrowany za pomocą **mTLS**.

## Wzajemny TLS (mTLS)

W przeciwieństwie do normalnego TLS **obie** strony przedstawiają certyfikaty. Każda usługa udowadnia swoją tożsamość, a ruch jest szyfrowany w tranzycie.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Mesh usług może zapewniać mTLS automatycznie bez żadnych zmian kodu aplikacji.

## Autoryzacja między usługami

Tożsamość (kto dzwoni) plus polityka (co mogą zrobić). Tokeny (JWT) lub tożsamości SPIFFE noszą identyfikator dzwoniącego.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Obrona w głębi

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Pułapka

Zaufanie sieci wewnętrznej ("jest za zaporą") to jak jeden naruszony serwis staje się pełnym kompromisem.

## Dlaczego to ważne

W płaskiej sieci wewnętrznej jeden skompromitowany serwis może w inny sposób osiągnąć wszystko; zero-trust zawiera ten promień wybuchu.

mTLS plus autoryzacja dla każdego wywołania oznacza, że atakujący, który wyląduje wewnątrz, wciąż nie może podszywać się pod usługi ani poruszać się lateralnie, co jest główną obietnicą bezpieczeństwa nowoczesnej platformy mikrousług.