mTLS는 서버와 클라이언트가 서로 인증서를 검증한다
일반 TLS의 서버 인증 뒤에 클라이언트 인증서 제시와 정책 인가가 추가된다.
Client
ClientHello
지원 목록
verify server
서버 인증서 검증
client cert
자기 인증서 제시
request
인가된 API 호출
Server
ServerHello
선택 결과
server cert
신원 증명
verify client
CA와 subject 확인
authorize
서비스 계정 매핑
좋은 곳서비스 간 통신
클라이언트가 사람보다 워크로드인 환경
운영발급/폐기 자동화
짧은 수명과 rotation이 중요
주의인증과 인가 분리
인증서가 맞아도 권한 정책이 필요
장애CA/시간/체인 실패
양쪽 검증 실패를 별도 로그로 남김