SkillProgramaçãoExecução
Configuração de mTLS (Zero-Trust)
Configura TLS mútuo para autenticação serviço-a-serviço em uma arquitetura zero-trust. Cobre setup de CA, rotação de certificados, mTLS gerenciado por service mesh (Istio, Linkerd) ou pela aplicação, e verificação de certificado de cliente.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Garantir que toda chamada serviço-a-serviço seja autenticada via TLS mútuo, aplicando o princípio de zero trust. Envolve definir a autoridade certificadora, a estratégia de rotação de certificados, escolher entre mTLS gerenciado por mesh ou pela aplicação, e estabelecer regras de verificação de identidade entre serviços.
Aplicação
Quando
faz sentido.
Usar
- Arquitetura com múltiplos serviços que se comunicam entre si.
- Compliance (PCI, HIPAA) que exige autenticação entre serviços.
- Defesa em profundidade, indo além de ACLs de rede.
- Necessidade de identidade verificável por workload em comunicação interna.
Não usar
- Deployment de serviço único, sem chamadas serviço-a-serviço.
- Borda voltada ao usuário externo — isso é TLS de servidor, não mTLS (use certificados de servidor).
- Sistemas pré-PMF, onde o custo operacional supera o risco.
Prompt
Instruções
para a IA.
O objetivo central é que todo serviço prove sua identidade em cada chamada, sem confiar na rede. Antes de começar, garanta os pré-requisitos: service mesh instalado (no caso mesh-managed) ou ferramental de PKI escolhido, modelo de identidade de workload definido (uma identidade por serviço, pod ou tenant), estratégia de rotação decidida e observabilidade de expiração de certificados para alertar antes de falhas.
### Abordagens
O mTLS gerenciado por mesh é o preferido: Istio ou Linkerd cuidam da emissão e rotação de certificados,
### Autoridade certificadora
Opções comuns: SPIRE/SPIFFE (identidade por workload), HashiCorp Vault PKI (certificados dinâmicos) e cert-manager + Let's Encrypt (nativo de Kubernetes). Prefira certificados de curta duração por workload (24h a 30 dias).
### Rotação e verificação
No modo mesh, a rotação é automática e não exige mudanças na aplicação; no modo app-managed, faça reload gracioso na troca de certificado. Na verificação, o cliente valida o certificado do servidor (TLS padrão) e o servidor valida o do cliente (o "M" de mTLS), conferindo se Subject/SAN batem com a identidade esperada.
### Armadilhas comuns
Evite certificados de vida longa (rotação acima de 90 dias), certificados curinga entre serviços, mistura de modos strict e permissive no mesh, e validação desabilitada em dev que vaza para produção.
### Abordagens
O mTLS gerenciado por mesh é o preferido: Istio ou Linkerd cuidam da emissão e rotação de certificados,
PeerAuthentication: STRICT força o mTLS e tudo é transparente para a aplicação. No modo gerenciado pela aplicação, ela mesma carrega certificado e chave e os apresenta em cada chamada — mais controle, mais responsabilidade.### Autoridade certificadora
Opções comuns: SPIRE/SPIFFE (identidade por workload), HashiCorp Vault PKI (certificados dinâmicos) e cert-manager + Let's Encrypt (nativo de Kubernetes). Prefira certificados de curta duração por workload (24h a 30 dias).
### Rotação e verificação
No modo mesh, a rotação é automática e não exige mudanças na aplicação; no modo app-managed, faça reload gracioso na troca de certificado. Na verificação, o cliente valida o certificado do servidor (TLS padrão) e o servidor valida o do cliente (o "M" de mTLS), conferindo se Subject/SAN batem com a identidade esperada.
### Armadilhas comuns
Evite certificados de vida longa (rotação acima de 90 dias), certificados curinga entre serviços, mistura de modos strict e permissive no mesh, e validação desabilitada em dev que vaza para produção.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).