如何保护服务间通信的安全（mTLS、零信任）？

Question

Accepted Answer

在微服务网络内部，你不能仅仅因为网络是“内部的”就信任它。**零信任**假设网络是敌对的，因此每一次调用都要经过身份验证和授权，并使用 **mTLS** 对流量进行加密。

## 双向 TLS（mTLS）

与普通 TLS 不同，**双方**都需出示证书。每个服务都要证明自己的身份，并且传输中的流量都被加密。

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

服务网格（service mesh）可以自动提供 mTLS，而无需改动任何应用代码。

## 服务间授权

身份（谁在调用）加上策略（他们被允许做什么）。令牌（JWT）或 SPIFFE 身份承载调用方的身份信息。

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## 纵深防御

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## 陷阱

信任内部网络（“它在防火墙后面”）正是单个被攻破的服务演变为整体沦陷的根源。

## 为什么这很重要

在一个扁平的内部网络中，一个被攻破的服务原本可以触及一切；零信任则能遏制这种爆炸半径。

mTLS 加上逐次调用的授权，意味着即便攻击者已经潜入内部，仍然无法冒充服务或横向移动，而这正是现代微服务平台在安全方面的核心承诺。