Навыки mtls-configuration
🔐

mtls-configuration

Безопасно 🌐 Доступ к сети⚙️ Внешние команды

Настройка mTLS для сети с нулевым доверием

Защитите межсервисное взаимодействие с помощью взаимной аутентификации TLS. Этот навык предоставляет готовые шаблоны для Istio, Linkerd, SPIFFE и cert-manager для реализации безопасности с нулевым доверием в средах Kubernetes.

Поддерживает: Claude Codex Code(CC)
📊 71 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «mtls-configuration». Enable strict mTLS for my Istio mesh in the production namespace

Ожидаемый результат:

  • Created PeerAuthentication resource in istio-system namespace with STRICT mode
  • Applied mesh-wide mTLS requiring mutual authentication for all services
  • Added DestinationRule using ISTIO_MUTUAL mode for automatic certificate management
  • Note: Existing connections will be rejected until clients update their configurations
  • Use 'istioctl authn tls-check' to verify mTLS status after deployment

Использование «mtls-configuration». Configure cert-manager for automatic workload certificates with 24-hour rotation

Ожидаемый результат:

  • Created ClusterIssuer named 'istio-ca' for certificate signing
  • Generated Certificate resource with 24-hour duration and 8-hour renewBefore
  • Specified commonName and dnsNames for service identity
  • Configured server auth and client auth certificate usages
  • Secret 'my-service-tls' will be created automatically when Certificate is issued

Использование «mtls-configuration». Set up SPIRE for workload identity in my Kubernetes cluster

Ожидаемый результат:

  • Created ConfigMap for SPIRE Server with sqlite3 datastore
  • Configured k8s_psat node attestor with demo-cluster service account allow list
  • Set UpstreamAuthority plugin with disk-based bootstrap credentials
  • Generated DaemonSet for SPIRE Agent with socket volume mount
  • Trust domain configured as 'example.org'

Аудит безопасности

Безопасно
v4 • 1/17/2026

This is a pure documentation skill containing YAML templates and guidance for mTLS configuration. All 58 static findings are false positives triggered by markdown documentation patterns (backticks for inline code), file paths in example YAML configs, and algorithm names in security documentation. No executable code, network calls, file access, or command execution capabilities exist. The skill does not generate, store, or transmit any certificates or keys.

2
Просканировано файлов
527
Проанализировано строк
2
находки
4
Всего аудитов

Факторы риска

🌐 Доступ к сети (6)
skill-report.json:6 SKILL.md:344 SKILL.md:345 SKILL.md:346 SKILL.md:347 SKILL.md:198
⚙️ Внешние команды (17)
SKILL.md:23-37 SKILL.md:37-41 SKILL.md:41-52 SKILL.md:52-58 SKILL.md:58-96 SKILL.md:96-100 SKILL.md:100-137 SKILL.md:137-141 SKILL.md:141-184 SKILL.md:184-188 SKILL.md:188-260 SKILL.md:260-264 SKILL.md:264-289 SKILL.md:289-293 SKILL.md:293-304 SKILL.md:304-308 SKILL.md:308-325
Проверено: claude Посмотреть историю аудитов →

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
29
Сообщество
100
Безопасность
91
Соответствие спецификации

Что вы можете построить

Развертывание безопасности сервисной сетки

Настройка политик mTLS и управления сертификатами для мультитенантных кластеров Kubernetes

Отладка сбоев mTLS

Диагностика и устранение сбоев TLS-рукопожатия между сервисами с помощью команд istioctl и kubectl

Реализация архитектуры с нулевым доверием

Проектирование и документирование иерархий сертификатов и требований mTLS для соответствия PCI-DSS или HIPAA

Попробуйте эти промпты

Включить строгий mTLS 
Включите строгий mTLS в моей сетке Istio в пространстве имён production. Создайте ресурсы PeerAuthentication и DestinationRule для применения на уровне пространства имён.
Интеграция cert-manager 
Настройте cert-manager для выдачи рабочих сертификатов для моих сервисов Istio с 24-часовым сроком действия и автоматическим продлением до истечения срока.
Идентификация рабочих нагрузок SPIFFE 
Создайте конфигурации SPIRE Server и Agent для идентификации рабочих нагрузок в мультикластерной среде Kubernetes с доменом доверия example.org.
Отладка TLS-рукопожатия 
Мои сервисы Istio не могут общаться. Используйте команды istioctl для проверки статуса аутентификации пиров, правил назначения и отладки ошибок TLS-рукопожатия.

Лучшие практики

  • Начните с режима PERMISSIVE при миграции, затем перейдите к STRICT после проверки всех сервисов
  • Используйте краткосрочные сертификаты (24 часа или меньше) с автоматической ротацией для идентификации рабочих нагрузок
  • Отслеживайте срок действия сертификатов и настройте оповещения для предотвращения сбоев сервисов

Избегать

  • Отключение mTLS для удобства в рабочих средах
  • Использование самоподписанных сертификатов без правильной иерархии ЦС
  • Игнорирование дат истечения срока сертификатов или пропуск планирования ротации

Часто задаваемые вопросы

Какие платформы сервисных сеток поддерживаются?
Istio, Linkerd и SPIFFE/SPIRE полностью поддерживаются. Шаблоны включают конфигурации PeerAuthentication, DestinationRule, Server и SPIRE.
Какие периоды действия сертификатов рекомендуются?
Используйте 24-часовые сертификаты для рабочих нагрузок с автоматическим продлением. Сертификаты корневого ЦС могут иметь более длительный срок действия при правильном планировании ротации.
Как этот навык интегрируется с существующими инструментами?
Этот навык генерирует YAML-манифесты. Применяйте их с помощью kubectl или интегрируйте с GitOps-инструментами, такими как ArgoCD или Flux.
Безопасны ли мои данные сертификатов?
Этот навык не генерирует, не хранит и не передаёт никакие данные сертификатов. Все данные сертификатов обрабатываются вашим cert-manager или инфраструктурой ЦС кластера.
Почему мои сервисы выходят из строя после включения mTLS?
Проверьте, поддерживают ли сервисы mTLS, убедитесь, что правила назначения применены, и что прокси-сайдкары перезагружены. Используйте режим PERMISSIVE во время миграции.
Чем это отличается от стандартного TLS?
mTLS требует, чтобы и клиент, и сервер представляли сертификаты. Это обеспечивает двустороннюю аутентификацию для межсервисного взаимодействия с нулевым доверием.

Сведения для разработчиков

Автор

wshobson

Лицензия

MIT

Репозиторий

https://github.com/wshobson/agents/tree/main/plugins/cloud-infrastructure/skills/mtls-configuration

Ссылка

main

Структура файлов

📄 SKILL.md