스킬 mtls-configuration
🔐

mtls-configuration

안전 🌐 네트워크 접근⚙️ 외부 명령어

제로 트러스트 네트워크를 위한 mTLS 구성

상호 TLS 인증으로 서비스 간 통신을 보호합니다. 이 스킬은 Kubernetes 환경에서 제로 트러스트 보안을 구현하기 위해 Istio, Linkerd, SPIFFE, cert-manager에 즉시 사용 가능한 템플릿을 제공합니다.

지원: Claude Codex Code(CC)
📊 71 적절함
1

스킬 ZIP 다운로드

2

Claude에서 업로드

설정 → 기능 → 스킬 → 스킬 업로드로 이동

3

토글을 켜고 사용 시작

테스트해 보기

"mtls-configuration" 사용 중입니다. Enable strict mTLS for my Istio mesh in the production namespace

예상 결과:

  • Created PeerAuthentication resource in istio-system namespace with STRICT mode
  • Applied mesh-wide mTLS requiring mutual authentication for all services
  • Added DestinationRule using ISTIO_MUTUAL mode for automatic certificate management
  • Note: Existing connections will be rejected until clients update their configurations
  • Use 'istioctl authn tls-check' to verify mTLS status after deployment

"mtls-configuration" 사용 중입니다. Configure cert-manager for automatic workload certificates with 24-hour rotation

예상 결과:

  • Created ClusterIssuer named 'istio-ca' for certificate signing
  • Generated Certificate resource with 24-hour duration and 8-hour renewBefore
  • Specified commonName and dnsNames for service identity
  • Configured server auth and client auth certificate usages
  • Secret 'my-service-tls' will be created automatically when Certificate is issued

"mtls-configuration" 사용 중입니다. Set up SPIRE for workload identity in my Kubernetes cluster

예상 결과:

  • Created ConfigMap for SPIRE Server with sqlite3 datastore
  • Configured k8s_psat node attestor with demo-cluster service account allow list
  • Set UpstreamAuthority plugin with disk-based bootstrap credentials
  • Generated DaemonSet for SPIRE Agent with socket volume mount
  • Trust domain configured as 'example.org'

보안 감사

안전
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
스캔된 파일
527
분석된 줄 수
2
발견 사항
4
총 감사 수

위험 요인

🌐 네트워크 접근 (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ 외부 명령어 (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
감사자: claude 감사 이력 보기 →

품질 점수

38
아키텍처
100
유지보수성
87
콘텐츠
29
커뮤니티
100
보안
91
사양 준수

만들 수 있는 것

서비스 메시 보안 배포

멀티 테넌트 Kubernetes 클러스터를 위한 메시 전체 mTLS 정책 및 인증서 관리 구성

mTLS 실패 디버깅

istioctl 및 kubectl 명령어를 사용하여 서비스 간 TLS 핸드셰이크 실패 진단 및 해결

제로 트러스트 아키텍처 구현

PCI-DSS 또는 HIPAA 준수를 위한 인증서 계층 구조 및 mTLS 요구 사항 설계 및 문서화

이 프롬프트를 사용해 보세요

엄격한 mTLS 활성화 
프로덕션 네임스페이스의 Istio 메시 전체에 엄격한 mTLS를 활성화합니다. 네임스페이스 수준 적용을 위한 PeerAuthentication 및 DestinationRule 리소스를 생성합니다.
cert-manager 통합 
24시간 유효 기간 및 만료 전 자동 갱신으로 Istio 서비스에 워크로드 인증서를 발급하도록 cert-manager를 구성합니다.
SPIFFE 워크로드 아이디 
example.org 신뢰 도메인이 포함된 멀티 클러스터 Kubernetes 환경에서 워크로드 아이디를 위한 SPIRE 서버 및 에이전트 구성을 생성합니다.
TLS 핸드셰이크 디버깅 
Istio 서비스가 통신할 수 없습니다. istioctl 명령어를 사용하여 피어 인증 상태, 대상 규칙 및 TLS 핸드셰이크 오류를 확인합니다.

모범 사례

  • 마이그레이션 중 PERMISSIVE 모드로 시작하고, 모든 서비스 유효성 검사 후 STRICT로 전환
  • 워크로드 아이디에는 자동 순환이 포함된 단기 인증서(24시간 이하) 사용
  • 인증서 만료 모니터링 및 서비스 중단 방지를 위한 경고 설정

피하기

  • 편의를 위해 프로덕션 환경에서 mTLS 비활성화
  • 적절한 CA 계층 없이 자체 서명 인증서 사용
  • 인증서 만료 날짜 무시하거나 순환 계획 건너뛰기

자주 묻는 질문

어떤 서비스 메시 플랫폼이 지원되나요?
Istio, Linkerd 및 SPIFFE/SPIRE가 완전히 지원됩니다. 템플릿에는 PeerAuthentication, DestinationRule, Server 및 SPIRE 구성이 포함됩니다.
어떤 인증서 유효 기간이 권장되나요?
워크로드에는 자동 갱신이 포함된 24시간 인증서를 사용하세요. 루트 CA 인증서는 적절한 순환 계획으로 더 긴 유효 기간을 가질 수 있습니다.
이 스킬은 기존 도구와 어떻게 통합되나요?
이 스킬은 YAML 매니페스트를 생성합니다. kubectl으로 적용하거나 ArgoCD 또는 Flux와 같은 GitOps 도구와 통합하세요.
내 인증서 데이터가 안전한가요?
이 스킬은 인증서를 생성, 저장 또는 전송하지 않습니다. 모든 인증서 데이터는 클러스터의 cert-manager 또는 CA 인프라에서 처리됩니다.
mTLS를 활성화한 후 서비스가 실패하는 이유는 무엇인가요?
서비스가 mTLS를 지원하는지 확인하고, DestinationRules가 적용되었는지 확인하며, 사이드카 프록시가 다시 로드되었는지 확인하세요. 마이그레이션 중 PERMISSIVE 모드를 사용하세요.
표준 TLS와 어떻게 다른가요?
mTLS는 클라이언트와 서버 모두 인증서를 제시해야 합니다. 이는 제로 트러스트 서비스 간 통신을 위한 양방향 인증을 제공합니다.

개발자 세부 정보

작성자

wshobson

라이선스

MIT

리포지토리

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

참조

main

파일 구조

📄 SKILL.md