Fähigkeiten mtls-configuration

📦

mtls-configuration

Name: mtls-configuration
Author: sickn33

Sicher

mTLS für Zero-Trust Kubernetes konfigurieren

Auch verfügbar von: wshobson

Diese Skill bietet umfassende mTLS-Konfigurationsvorlagen und Best Practices für die Absicherung von Service-zu-Service-Kommunikation in Kubernetes unter Verwendung von Istio, Linkerd und SPIFFE.

Unterstützt: Claude Codex Code(CC)

⚠️ 68 Schlecht

Die Skill-ZIP herunterladen

In Claude hochladen

Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen

Einschalten und loslegen

Teste es

Verwendung von "mtls-configuration". How do I enable strict mTLS in Istio?

Erwartetes Ergebnis:

Um striktes mTLS mesh-weit in Istio zu aktivieren, wenden Sie eine PeerAuthentication-Ressource an...

Verwendung von "mtls-configuration". Configure mTLS for external API

Erwartetes Ergebnis:

Für externe Dienste verwenden Sie DestinationRule mit SIMPLE oder MUTUAL TLS-Modus...

Verwendung von "mtls-configuration". Debug TLS handshake failures

Erwartetes Ergebnis:

Verwenden Sie istioctl authn tls-check, um den mTLS-Status zu überprüfen, und prüfen Sie dann die Peer-Authentifizierung...

Sicherheitsaudit

Sicher

v1 • 2/25/2026

This is a documentation skill providing mTLS configuration templates for Kubernetes service meshes (Istio, Linkerd, SPIFFE). All 42 static findings are false positives: external_commands detected are kubectl/istioctl examples in code blocks (not execution), network references are documentation URLs, certificate paths are template examples (not real credentials), and weak crypto flags were triggered by TLS mode names (ISTIO_MUTUAL, MUTUAL) which are standard secure configurations. No malicious intent or security risks identified.

Gescannte Dateien

362

Analysierte Zeilen

befunde

Gesamtzahl Audits

Probleme mit hohem Risiko (1)

SKILL.md:22 SKILL.md:307-318 SKILL.md:322-339

False Positive: External Commands Detection

Static scanner detected 'Ruby/shell backtick execution' at 18 locations. These are kubectl, istioctl, openssl command examples in markdown code blocks - not actual execution. Users would run these commands themselves as part of mTLS configuration.

Probleme mit mittlerem Risiko (3)

SKILL.md:136-150 SKILL.md:173-174 SKILL.md:245-246 SKILL.md:310

False Positive: Certificate File References

Static scanner flagged certificate/key file paths as sensitive. These are template paths in YAML configurations (e.g., /etc/certs/client.pem), not actual certificates.

SKILL.md:358-361

False Positive: Network URL References

Static scanner flagged hardcoded URLs. These are legitimate documentation URLs to Istio, SPIFFE, cert-manager, and NIST - appropriate for a reference skill.

SKILL.md:112-116 SKILL.md:128-140 SKILL.md:329-330

False Positive: Weak Cryptographic Algorithm

Static scanner flagged 'weak crypto' at 8 locations. The skill uses TLS modes ISTIO_MUTUAL, MUTUAL, and SIMPLE which are standard secure configurations - not weak algorithms.

Probleme mit niedrigem Risiko (2)

SKILL.md:225

False Positive: SQLite Database Reference

Static scanner flagged SQLite path. This is SPIRE server's standard datastore configuration - legitimate operational documentation.

SKILL.md:212

False Positive: Hardcoded IP Address

Static scanner flagged bind_address. The 0.0.0.0 is standard SPIRE server configuration to listen on all interfaces - not a security issue.

Auditiert von: claude

Qualitätsbewertung

Architektur

100

Wartbarkeit

Inhalt

Community

Sicherheit

100

Spezifikationskonformität

Was du bauen kannst

DevOps Engineer richtet Service-Mesh-Sicherheit ein

Konfigurieren Sie striktes mTLS für alle Dienste in einem Istio Service Mesh, um PCI-DSS-Compliance-Anforderungen zu erfüllen.

Sicherheitsarchitekt entwirft Zertifizierungsstelle

Entwerfen Sie eine Zertifikatshierarchie unter Verwendung von cert-manager mit Istio-Integration für automatisierte Rotation.

Entwickler behebt mTLS-Handshake-Fehler

Diagnostizieren Sie, warum Service-zu-Service-Aufrufe mit TLS-Fehlern fehlschlagen, unter Verwendung der bereitgestellten Debugging-Befehle.

Probiere diese Prompts

Grundlegendes mTLS-Setup

Wie aktiviere ich striktes mTLS mesh-weit in Istio? Zeigen Sie die benötigte YAML-Konfiguration.

Externes Service mTLS

Konfigurieren Sie mTLS für die Verbindung zu einer externen Partner-API. Der Partner stellt sein CA-Zertifikat bereit.

Zertifikatsrotation

Richten Sie automatische Zertifikatsrotation unter Verwendung von cert-manager mit einer Zertifikatslebensdauer von 24 Stunden ein.

TLS-Probleme debuggen

Mein Dienst erhält TLS-Handshake-Fehler. Zeigen Sie mir, wie ich mTLS-Probleme in Istio debuggen kann.

Bewährte Verfahren

Beginnen Sie mit dem PERMISSIVE-Modus und migrieren Sie schrittweise zu STRICT, um Serviceunterbrechungen zu vermeiden
Verwenden Sie kurzlebige Zertifikate (24 Stunden oder weniger), um die Exposition durch kompromittierte Schlüssel zu begrenzen
Überwachen Sie den Zertifikatsablauf und richten Sie automatisierte Warnungen vor Rotationsfristen ein
Implementieren Sie eine ordnungsgemäße CA-Hierarchie mit Root-CA und Intermediate-CAs zur Isolation

Vermeiden

Deaktivieren von mTLS in der Produktion aus Bequemlichkeit - dies untergräbt das Zero-Trust-Sicherheitsmodell
Verwendung selbstsignierter Zertifikate ohne ordnungsgemäße CA-Hierarchie - schwer zu verwalten und zu prüfen
Ignorieren von Zertifikatsablaufdaten - führt zu Serviceausfällen, wenn Zertifikate ablaufen
Überspringen der TLS-Verifizierung zur Behebung von Konnektivitätsproblemen - erstellt Sicherheitslücken

Häufig gestellte Fragen

Was ist mTLS?

Mutual TLS (mTLS) ist ein Sicherheitsprotokoll, bei dem sich sowohl Client als auch Server gegenseitig mit Zertifikaten authentifizieren. Es stellt sicher, dass nur autorisierte Dienste kommunizieren können.

Benötige ich ein Service Mesh für mTLS?

Service Meshes wie Istio und Linkerd automatisieren mTLS durch die Verwendung von Sidecar-Proxies. Sie können mTLS auch manuell unter Verwendung von Service-Bibliotheken implementieren, erfordert jedoch mehr Konfiguration.

Wie oft sollte ich Zertifikate rotieren?

Best Practice ist die Verwendung kurzlebiger Zertifikate (24 Stunden oder weniger) mit automatisierter Rotation. Dies begrenzt das Expositionsfenster, wenn ein Zertifikat kompromittiert wird.

Was ist der Unterschied zwischen PERMISSIVE und STRICT mTLS?

PERMISSIVE erlaubt sowohl mTLS- als auch Klartextverkehr. STRICT erfordert mTLS für den gesamten Verkehr. Verwenden Sie PERMISSIVE während der Migration, dann wechseln Sie zu STRICT.

Wie debugge ich mTLS-Probleme?

Verwenden Sie istioctl authn tls-check, um den mTLS-Status zu überprüfen, prüfen Sie die PeerAuthentication- und DestinationRule-Konfigurationen, und überprüfen Sie TLS-Fehler in den Proxy-Logs.

Kann mTLS über Cluster hinweg funktionieren?

Ja, Sie können clusterübergreifendes mTLS unter Verwendung einer gemeinsamen CA oder Mesh-Föderation konfigurieren. SPIFFE/SPIRE bietet Workload-Identität, die über Clustergrenzen hinweg funktioniert.

Entwicklerdetails

Autor

sickn33

Lizenz

MIT

Repository

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/mtls-configuration

Ref

main

Dateistruktur

📄 SKILL.md