Habilidades mtls-configuration

🔐

mtls-configuration

Name: mtls-configuration
Author: wshobson

Seguro 🌐 Acesso à rede⚙️ Comandos externos

Configurar mTLS para rede de confiança zero

Proteja a comunicação serviço-a-serviço com autenticação TLS mútua. Esta skill oferece modelos prontos para uso com Istio, Linkerd, SPIFFE e cert-manager para implementar segurança de confiança zero em ambientes Kubernetes.

Suporta: Claude Codex Code(CC)

📊 71 Adequado

Baixar o ZIP da skill

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

Ative e comece a usar

Testar

A utilizar "mtls-configuration". Enable strict mTLS for my Istio mesh in the production namespace

Resultado esperado:

Created PeerAuthentication resource in istio-system namespace with STRICT mode
Applied mesh-wide mTLS requiring mutual authentication for all services
Added DestinationRule using ISTIO_MUTUAL mode for automatic certificate management
Note: Existing connections will be rejected until clients update their configurations
Use 'istioctl authn tls-check' to verify mTLS status after deployment

A utilizar "mtls-configuration". Configure cert-manager for automatic workload certificates with 24-hour rotation

Resultado esperado:

Created ClusterIssuer named 'istio-ca' for certificate signing
Generated Certificate resource with 24-hour duration and 8-hour renewBefore
Specified commonName and dnsNames for service identity
Configured server auth and client auth certificate usages
Secret 'my-service-tls' will be created automatically when Certificate is issued

A utilizar "mtls-configuration". Set up SPIRE for workload identity in my Kubernetes cluster

Resultado esperado:

Created ConfigMap for SPIRE Server with sqlite3 datastore
Configured k8s_psat node attestor with demo-cluster service account allow list
Set UpstreamAuthority plugin with disk-based bootstrap credentials
Generated DaemonSet for SPIRE Agent with socket volume mount
Trust domain configured as 'example.org'

Auditoria de Segurança

Seguro

v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

Arquivos analisados

527

Linhas analisadas

achados

Total de auditorias

Fatores de risco

Auditado por: claude Ver Histórico de Auditoria →

Pontuação de qualidade

Arquitetura

100

Manutenibilidade

Conteúdo

Comunidade

100

Segurança

Conformidade com especificações

O Que Você Pode Construir

Implantar segurança de service mesh

Configurar políticas mTLS em toda a mesh e gerenciamento de certificados para clusters Kubernetes multi-inquilino

Depurar falhas de mTLS

Diagnosticar e resolver falhas de handshake TLS entre serviços usando comandos istioctl e kubectl

Implementar arquitetura de confiança zero

Projetar e documentar hierarquias de certificados e requisitos mTLS para conformidade com PCI-DSS ou HIPAA

Tente Estes Prompts

Ativar mTLS estrito

Ativar mTLS estrito em toda a minha mesh do Istio no namespace de produção. Criar recursos PeerAuthentication e DestinationRule para aplicação em nível de namespace.

Integração com cert-manager

Configurar o cert-manager para emitir certificados de carga de trabalho para meus serviços do Istio com duração de 24 horas e renovação automática antes do vencimento.

Identidade de carga de trabalho SPIFFE

Criar configurações do Servidor e Agente SPIRE para identidade de carga de trabalho em um ambiente Kubernetes multi-cluster com domínio de confiança example.org.

Depurar handshake TLS

Meus serviços do Istio não conseguem se comunicar. Usar comandos istioctl para verificar status de autenticação entre pares, regras de destino e depurar erros de handshake TLS.

Melhores Práticas

Comece com modo PERMISSIVE durante a migração e depois transicione para STRICT após validar todos os serviços
Use certificados de vida curta (24 horas ou menos) com rotação automática para identidades de carga de trabalho
Monitore o vencimento de certificados e configure alertas para evitar interrupções de serviço

Evitar

Desativar mTLS por conveniência em ambientes de produção
Usar certificados autoassinados sem uma hierarquia adequada de AC
Ignorar datas de vencimento de certificados ou pular o planejamento de rotação

Perguntas Frequentes

Quais plataformas de service mesh são suportadas?

Istio, Linkerd e SPIFFE/SPIRE são totalmente cobertos. Os modelos incluem configurações de PeerAuthentication, DestinationRule, Server e SPIRE.

Quais períodos de validade de certificados são recomendados?

Use certificados de 24 horas para cargas de trabalho com renovação automática. Certificados de AC raiz podem ter validade maior com planejamento adequado de rotação.

Como esta skill se integra com ferramentas existentes?

Esta skill gera manifestos YAML. Aplique-os com kubectl ou integre com ferramentas GitOps como ArgoCD ou Flux.

Meus dados de certificado estão seguros?

Esta skill não gera, armazena ou transmite nenhum dado de certificado. Todos os dados de certificado são tratados pelo cert-manager ou infraestrutura de AC do seu cluster.

Por que meus serviços estão falhando após ativar mTLS?

Verifique se os serviços suportam mTLS, confirme se as DestinationRules estão aplicadas e garanta que os proxies sidecar foram recarregados. Use o modo PERMISSIVE durante a migração.

Como isso difere do TLS padrão?

mTLS requer que tanto o cliente quanto o servidor apresentem certificados. Isso fornece autenticação bidirecional para comunicação serviço-a-serviço de confiança zero.

Detalhes do Desenvolvedor

Autor

wshobson

Licença

MIT

Repositório

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Referência

main

Estrutura de arquivos

📄 SKILL.md