[Перевод] Как автоматизировать выдачу сертификатов для развертываний Kubernetes с помощью Autocert
При публичном веб-браузинге TLS-аутентификация происходит лишь в одном направлении — свои сертификаты показывает только сервер. Передача публичных веб-страниц без аутентификации клиента вполне логична, но не в случае Kubernetes. Если другие субъекты будут получать доступ к уязвимой информации в сервисах/кластерах, то будет логично валидировать личность и таких субъектов тоже.
Повсеместное использование TLS — одна из рекомендаций разработчиков Kubernetes по повышению безопасности и надёжности кластеров.
«TLS должен быть включён у каждого поддерживающего его компонента, чтобы предотвратить сниффинг трафика, проверять идентификацию сервера и (в случае взаимного TLS) проверять идентификацию клиента».
В случае доступа клиентов к уязвимым данным в сервисах/кластерах логично валидировать и личность таких клиентов. Это называется взаимным TLS (mutual TLS, mTLS).
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] Анализ активности пользователей Windows
- ВПО DarkWatchman: SFX-архивы, XOR-шифрование и алгоритм генерации доменов
- Гранулярное погружение в атаки на кэш в ARMv8. Разбираем типы атак и митигации
- [Перевод] Метаданные под защитой: как обеспечить кибербезопасность
- Образ классической пиарщицы в российском агентстве. Транзакционный взгляд с щедрой порцией юмора
- Интеграция платформ через Keycloak: SSO и JWT в действии
- CROP media: Бренд-айдентика в SMM: как выделиться в соцсетях + чек-лист от CROP media
- Q2.team: Исповедь SEO-специалиста: 5 заблуждений клиентов, которые тормозят продвижение
- Тринадцатый: Как мы создали брендинг, вдохновленный литературой
- Андрей Громоватый: #Онижедети