📦

mtls-configuration

Name: mtls-configuration
Author: sickn33

آمن

Configure mTLS for Zero-Trust Kubernetes

متاح أيضًا من: wshobson

Ce skill fournit des modèles de configuration mTLS complets et les meilleures pratiques pour sécuriser la communication service-à-service dans Kubernetes en utilisant Istio, Linkerd et SPIFFE.

يدعم: Claude Codex Code(CC)

📊 71 كافٍ

تنزيل ZIP المهارة

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

فعّل وابدأ الاستخدام

اختبرها

استخدام "mtls-configuration". How do I enable strict mTLS in Istio?

النتيجة المتوقعة:

Pour activer le mTLS strict à l'échelle du mesh dans Istio, appliquez une ressource PeerAuthentication...

استخدام "mtls-configuration". Configure mTLS for external API

النتيجة المتوقعة:

Pour les services externes, utilisez DestinationRule avec le mode TLS SIMPLE ou MUTUAL...

استخدام "mtls-configuration". Debug TLS handshake failures

النتيجة المتوقعة:

Utilisez istioctl authn tls-check pour vérifier le statut mTLS, puis vérifiez les configurations PeerAuthentication et DestinationRule...

التدقيق الأمني

آمن

v1 • 2/25/2026

This is a documentation skill providing mTLS configuration templates for Kubernetes service meshes (Istio, Linkerd, SPIFFE). All 42 static findings are false positives: external_commands detected are kubectl/istioctl examples in code blocks (not execution), network references are documentation URLs, certificate paths are template examples (not real credentials), and weak crypto flags were triggered by TLS mode names (ISTIO_MUTUAL, MUTUAL) which are standard secure configurations. No malicious intent or security risks identified.

الملفات التي تم فحصها

362

الأسطر التي تم تحليلها

النتائج

إجمالي عمليات التدقيق

مشكلات عالية المخاطر (1)

SKILL.md:22 SKILL.md:307-318 SKILL.md:322-339

False Positive: External Commands Detection

Static scanner detected 'Ruby/shell backtick execution' at 18 locations. These are kubectl, istioctl, openssl command examples in markdown code blocks - not actual execution. Users would run these commands themselves as part of mTLS configuration.

مشكلات متوسطة المخاطر (3)

SKILL.md:136-150 SKILL.md:173-174 SKILL.md:245-246 SKILL.md:310

False Positive: Certificate File References

Static scanner flagged certificate/key file paths as sensitive. These are template paths in YAML configurations (e.g., /etc/certs/client.pem), not actual certificates.

SKILL.md:358-361

False Positive: Network URL References

Static scanner flagged hardcoded URLs. These are legitimate documentation URLs to Istio, SPIFFE, cert-manager, and NIST - appropriate for a reference skill.

SKILL.md:112-116 SKILL.md:128-140 SKILL.md:329-330

False Positive: Weak Cryptographic Algorithm

Static scanner flagged 'weak crypto' at 8 locations. The skill uses TLS modes ISTIO_MUTUAL, MUTUAL, and SIMPLE which are standard secure configurations - not weak algorithms.

مشكلات منخفضة المخاطر (2)

SKILL.md:225

False Positive: SQLite Database Reference

Static scanner flagged SQLite path. This is SPIRE server's standard datastore configuration - legitimate operational documentation.

SKILL.md:212

False Positive: Hardcoded IP Address

Static scanner flagged bind_address. The 0.0.0.0 is standard SPIRE server configuration to listen on all interfaces - not a security issue.

تم تدقيقه بواسطة: claude

درجة الجودة

الهندسة المعمارية

100

قابلية الصيانة

المحتوى

المجتمع

الأمان

100

الامتثال للمواصفات

ماذا يمكنك بناءه

DevOps Engineer configurant la sécurité du Service Mesh

Configurer le mTLS strict pour tous les services dans un service mesh Istio afin de répondre aux exigences de conformité PCI-DSS.

Architecte Sécurité conceivant l'Autorité de Certification

Concevoir une hiérarchie de certificats en utilisant cert-manager avec l'intégration Istio pour la rotation automatique.

Développeur déboguant les échecs de négociation mTLS

Diagnostiquer pourquoi les appels service-à-service échouent avec des erreurs TLS en utilisant les commandes de débogage fournies.

جرّب هذه الموجهات

Configuration mTLS de base

Comment activer le mTLS strict à l'échelle du mesh dans Istio ? Afficher la configuration YAML nécessaire.

mTLS pour Service Externe

Configurer le mTLS pour la connexion à une API partenaire externe. Le partenaire fournit son certificat CA.

Rotation des Certificats

Configurer la rotation automatique des certificats en utilisant cert-manager avec une durée de vie de 24 heures.

Déboguer les Problèmes TLS

Mon service reçoit des erreurs de négociation TLS. Montrez-moi comment déboguer les problèmes mTLS dans Istio.

أفضل الممارسات

Commencez par le mode PERMISSIVE et migrez progressivement vers STRICT pour éviter les perturbations de service
Utilisez des certificats à courte durée de vie (24 heures ou moins) pour limiter l'exposition des clés compromises
Surveillez l'expiration des certificats et configurez des alertes automatisées avant les échéances de rotation
Implémentez une hiérarchie CA appropriée avec une CA racine et des CA intermédiaires pour l'isolement

تجنب

Désactiver le mTLS en production pour plus de commodité - cela defeat le modèle de sécurité zero-trust
Utiliser des certificats auto-signés sans hiérarchie CA appropriée - difficile à gérer et auditer
Ignorer les dates d'expiration des certificats - conduit à des pannes de service lorsque les certificats expirent
Ignorer la vérification TLS pour résoudre les problèmes de connectation - crée des vulnérabilités de sécurité

الأسئلة المتكررة

Qu'est-ce que mTLS ?

TLS mutuel (mTLS) est un protocole de sécurité où le client et le serveur s'authentifient mutuellement à l'aide de certificats. Il garantit que seuls les services autorisés peuvent communiquer.

Ai-je besoin d'un service mesh pour mTLS ?

Les service meshes comme Istio et Linkerd automatisent le mTLS en utilisant des sidecars proxy. Vous pouvez également implémenter mTLS manuellement en utilisant des bibliothèques de services, mais cela nécessite plus de configuration.

À quelle fréquence dois-je faire tourner les certificats ?

La meilleure pratique est d'utiliser des certificats à courte durée de vie (24 heures ou moins) avec une rotation automatique. Cela limite la fenêtre d'exposition si un certificat est compromis.

Quelle est la différence entre PERMISSIVE et STRICT mTLS ?

PERMISSIVE autorise à la fois le trafic mTLS et le trafic en texte brut. STRICT requiert le mTLS pour tout le trafic. Utilisez PERMISSIVE pendant la migration, puis passez à STRICT.

Comment déboguer les problèmes mTLS ?

Utilisez istioctl authn tls-check pour vérifier le statut mTLS, vérifiez les configurations PeerAuthentication et DestinationRule, et examinez les erreurs TLS dans les logs du proxy.

mTLS peut-il fonctionner à travers les clusters ?

Oui, vous pouvez configurer le mTLS inter-cluster en utilisant une CA partagée ou la federation de mesh. SPIFFE/SPIRE fournit une identité de workload qui fonctionne à travers les frontières des clusters.

تفاصيل المطور

المؤلف

sickn33

الترخيص

MIT

المستودع

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/mtls-configuration

مرجع

main

بنية الملفات

📄 SKILL.md