Cum protejezi comunicația de la serviciu la serviciu (mTLS, zero-trust)?

Question

Accepted Answer

Într-o rețea de microservicii nu poți avea încredere în rețea doar pentru că este "internă". **Zero-trust** presupune că rețeaua este ostilă, deci fiecare apel este autentificat și autorizat, iar traficul este criptat cu **mTLS**.

## TLS Mutual (mTLS)

SpreOTLS normal, **ambele** părți prezintă certificate. Fiecare serviciu și-a dovedit identitatea, iar traficul este criptat în tranzit.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

O plasă de servicii poate furniza mTLS automat fără nicio modificare a codului aplicației.

## Autorizare de la serviciu la serviciu

Identitate (cine apelează) plus politică (ce au voie să facă). Tokenuri (JWT) sau identități SPIFFE poartă identitatea apelantului.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Apărare în adâncime

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Capcană

Încrederea în rețeaua internă ("este în spatele firewall-ului") este modul în care un serviciu compromis devine un compromis complet.

## De ce este important

Într-o rețea internă plată, un serviciu compromis poate altfel ajunge la orice; zero-trust conține acea rază de explozie.

mTLS plus autorizare per apel înseamnă că un atacator care intră înăuntru tot nu poate impersona serviciile sau se muta lateral, care este promisiunea de securitate principală a unei platforme de microservicii moderne.