Segurança de Service Mesh
O que é Segurança de Service Mesh?
Segurança de Service MeshConjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
A segurança de service mesh é o modelo oferecido por meshes como Istio, Linkerd, Consul e Cilium Service Mesh. Um proxy sidecar ou ao nível do nó é colocado junto a cada workload e utilizado para aplicar mTLS entre serviços, rotação automática de certificados, autorização fina (permitir/negar por identidade de origem, rota, método, claims JWT) e observabilidade do tráfego. O mesh transfere a confiança da localização de rede para a identidade da carga, suportando arquiteturas zero-trust dentro do Kubernetes e em ambientes multi-cluster. Os riscos incluem má configuração do sidecar, comprometimento do control plane, fragilidades na autoridade certificadora e tráfego que contorna o mesh quando a injeção é incompleta. As defesas incluem hardening tipo CIS, revisão de políticas e monitorização do plano de controlo.
● Exemplos
- 01
AuthorizationPolicy do Istio que restringe chamadas a payments-service apenas a partir do checkout-service.
- 02
Auto-mTLS do Linkerd entre todos os pods de um namespace sem alterar a aplicação.
● Perguntas frequentes
O que é Segurança de Service Mesh?
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Segurança de Service Mesh?
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
Como se defender contra Segurança de Service Mesh?
As defesas contra Segurança de Service Mesh costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança de Service Mesh?
Nomes alternativos comuns: Segurança do mesh, Segurança do sidecar.