Como você protege a comunicação serviço a serviço (mTLS, zero-trust)?

Question

Accepted Answer

Dentro de uma rede de microsserviços, você não pode confiar na rede apenas porque é "interna". **Zero-trust** assume que a rede é hostil, então cada chamada é autenticada e autorizada, e o tráfego é criptografado com **mTLS**.

## TLS Mútuo (mTLS)

Ao contrário do TLS normal, **ambos** os lados apresentam certificados. Cada serviço prova sua identidade, e o tráfego é criptografado em trânsito.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Uma malha de serviço pode fornecer mTLS automaticamente sem alterações de código da aplicação.

## Autorização serviço a serviço

Identidade (quem está chamando) mais política (o que eles podem fazer). Tokens (JWT) ou identidades SPIFFE carregam a identidade do chamador.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Defesa em profundidade

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Armadilha

Confiar na rede interna ("está atrás do firewall") é como um serviço comprometido se torna um compromisso completo.

## Por que isso importa

Em uma rede interna plana, um serviço comprometido pode alcançar tudo de outra forma; zero-trust contém esse raio de explosão.

mTLS mais autorização por chamada significa que um invasor que invade ainda não pode se passar por serviços ou se mover lateralmente, que é a promessa de segurança central de uma plataforma de microsserviços moderna.