SkillProgramaçãoExecução

Configuração de mTLS (Zero-Trust)

Configura TLS mútuo para autenticação serviço-a-serviço em uma arquitetura zero-trust. Cobre setup de CA, rotação de certificados, mTLS gerenciado por service mesh (Istio, Linkerd) ou pela aplicação, e verificação de certificado de cliente.

Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Garantir que toda chamada serviço-a-serviço seja autenticada via TLS mútuo, aplicando o princípio de zero trust. Envolve definir a autoridade certificadora, a estratégia de rotação de certificados, escolher entre mTLS gerenciado por mesh ou pela aplicação, e estabelecer regras de verificação de identidade entre serviços.

Aplicação

Quando
faz sentido.

Usar
  • Arquitetura com múltiplos serviços que se comunicam entre si.
  • Compliance (PCI, HIPAA) que exige autenticação entre serviços.
  • Defesa em profundidade, indo além de ACLs de rede.
  • Necessidade de identidade verificável por workload em comunicação interna.
Não usar
  • Deployment de serviço único, sem chamadas serviço-a-serviço.
  • Borda voltada ao usuário externo — isso é TLS de servidor, não mTLS (use certificados de servidor).
  • Sistemas pré-PMF, onde o custo operacional supera o risco.
Prompt

Instruções
para a IA.

O objetivo central é que todo serviço prove sua identidade em cada chamada, sem confiar na rede. Antes de começar, garanta os pré-requisitos: service mesh instalado (no caso mesh-managed) ou ferramental de PKI escolhido, modelo de identidade de workload definido (uma identidade por serviço, pod ou tenant), estratégia de rotação decidida e observabilidade de expiração de certificados para alertar antes de falhas.

### Abordagens

O mTLS gerenciado por mesh é o preferido: Istio ou Linkerd cuidam da emissão e rotação de certificados, PeerAuthentication: STRICT força o mTLS e tudo é transparente para a aplicação. No modo gerenciado pela aplicação, ela mesma carrega certificado e chave e os apresenta em cada chamada — mais controle, mais responsabilidade.

### Autoridade certificadora

Opções comuns: SPIRE/SPIFFE (identidade por workload), HashiCorp Vault PKI (certificados dinâmicos) e cert-manager + Let's Encrypt (nativo de Kubernetes). Prefira certificados de curta duração por workload (24h a 30 dias).

### Rotação e verificação

No modo mesh, a rotação é automática e não exige mudanças na aplicação; no modo app-managed, faça reload gracioso na troca de certificado. Na verificação, o cliente valida o certificado do servidor (TLS padrão) e o servidor valida o do cliente (o "M" de mTLS), conferindo se Subject/SAN batem com a identidade esperada.

### Armadilhas comuns

Evite certificados de vida longa (rotação acima de 90 dias), certificados curinga entre serviços, mistura de modos strict e permissive no mesh, e validação desabilitada em dev que vaza para produção.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).