Segurança de Service Mesh
O que é Segurança de Service Mesh?
Segurança de Service MeshConjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
A segurança de service mesh é o modelo oferecido por meshes como Istio, Linkerd, Consul e Cilium Service Mesh. Um proxy sidecar ou ao nível do nó é colocado junto a cada workload e utilizado para aplicar mTLS entre serviços, rotação automática de certificados, autorização fina (permitir/negar por identidade de origem, rota, método, claims JWT) e observabilidade do tráfego. O mesh transfere a confiança da localização de rede para a identidade da carga, suportando arquiteturas zero-trust dentro do Kubernetes e em ambientes multi-cluster. Os riscos incluem má configuração do sidecar, comprometimento do control plane, fragilidades na autoridade certificadora e tráfego que contorna o mesh quando a injeção é incompleta. As defesas incluem hardening tipo CIS, revisão de políticas e monitorização do plano de controlo.
● Exemplos
- 01
AuthorizationPolicy do Istio que restringe chamadas a payments-service apenas a partir do checkout-service.
- 02
Auto-mTLS do Linkerd entre todos os pods de um namespace sem alterar a aplicação.
● Perguntas frequentes
O que é Segurança de Service Mesh?
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Segurança de Service Mesh?
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
Como funciona Segurança de Service Mesh?
A segurança de service mesh é o modelo oferecido por meshes como Istio, Linkerd, Consul e Cilium Service Mesh. Um proxy sidecar ou ao nível do nó é colocado junto a cada workload e utilizado para aplicar mTLS entre serviços, rotação automática de certificados, autorização fina (permitir/negar por identidade de origem, rota, método, claims JWT) e observabilidade do tráfego. O mesh transfere a confiança da localização de rede para a identidade da carga, suportando arquiteturas zero-trust dentro do Kubernetes e em ambientes multi-cluster. Os riscos incluem má configuração do sidecar, comprometimento do control plane, fragilidades na autoridade certificadora e tráfego que contorna o mesh quando a injeção é incompleta. As defesas incluem hardening tipo CIS, revisão de políticas e monitorização do plano de controlo.
Como se defender contra Segurança de Service Mesh?
As defesas contra Segurança de Service Mesh costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança de Service Mesh?
Nomes alternativos comuns: Segurança do mesh, Segurança do sidecar.
● Termos relacionados
- cloud-security№ 559
Segurança do Istio
Conjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.
- cloud-security№ 1248
Identidade de Workload
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
- cloud-security№ 1078
SPIFFE
Padrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
● Veja também
- № 1079Runtime SPIRE
- № 756OPA (Open Policy Agent)
- № 839Política como Código
- № 991Segurança como Código