mTLSとTLS 1.3
Mezusphereアーキテクチャのすべての接続はTLSで暗号化されています。パブリック向けトラフィックは、幅広いブラウザとデバイスの互換性のためにTLS 1.2+を使用します。MezusphereのエッジとWarpgate間の内部接続はTLS 1.3と相互認証(mTLS)を使用し、双方が証明書を提示してお互いの身元を検証します。
パブリックTLS
エンドユーザーがMezusphereを通じて公開されたサービスに接続すると、トラフィックはエッジでTLSにより暗号化されます。Mezusphereは証明書のライフサイクル全体を管理します:
- 自動発行:ルート作成時に証明書がプロビジョニング
- 自動更新:証明書は有効期限前に操作不要で自動ローテーション
- 強力なデフォルト:TLS 1.2+、最新の暗号スイート、すべての主要ブラウザとOSに対応
証明書マネージャーの設定、Let’s Encryptとの連携、Kubernetesでのcert-managerセットアップ、証明書ストアの管理を行う必要はありません。パブリックTLSはプラットフォームのプリミティブです。
これが置き換えるもの
| 従来のアプローチ | Mezusphereの場合 |
|---|---|
| AWS ACM + ALBでの証明書発行と終端 | 自動 |
| cert-manager + Let’s EncryptのKubernetes設定 | 自動 |
| NGINXやTraefikのTLS設定 | 自動 |
| 手動の証明書ローテーション監視 | 自動 |
相互TLS(mTLS)
WarpgateとMezusphereのエッジノード間のすべての接続はTLS 1.3と相互認証を使用します。これは:
- Warpgateが証明書を提示:エッジに対して自身のアイデンティティを証明
- エッジが証明書を返送:Warpgateに対してMezusphereの正規ノードであることを証明
- 双方が検証:トラフィックが流れる前にお互いの証明書を検証
この相互検証により、中間者攻撃を防止し、Warpgateは正規のMezusphereエッジノードにのみトラフィックを送信し、エッジノードは検証済みのWarpgateにのみトラフィックを転送することを保証します。
仕組み
- Warpgateが起動し、サービスアカウント認証情報を使ってコントロールプレーンに認証
- WarpgateがMezusphereの内部認証局から短期間有効なTLSクライアント証明書を受け取る
- Warpgateがこの証明書を使って相互認証でエッジノードに接続
- エッジノードがWarpgateの証明書を内部CAに対して検証
- 証明書は有効期限前に自動的にローテーション
mTLSレイヤーを直接操作する必要はありません。生成する証明書も、管理するキーストアも、配布するCAバンドルもありません。内部PKIがすべてを処理します。
内部PKI
Mezusphereは独自の内部認証局(CA)を運用し、すべてのプラットフォームコンポーネントの証明書を発行・管理します。このPKIが提供するもの:
- コンポーネントアイデンティティ:すべてのWarpgate、エッジノード、コントロールプレーンサービスが暗号的に検証可能なアイデンティティを持つ
- 自動発行:コンポーネント登録時に手動ステップなしで証明書が発行
- 短寿命証明書:証明書の有効期間は限定的で自動的にローテーションされ、個々の証明書漏洩の影響を低減
- 統一信頼モデル:すべてのプラットフォームコンポーネントが同一の信頼階層に参加
内部PKIは、プラットフォームの「ゼロトラスト」セキュリティ特性を支える基盤です。すべての接続が認証され、すべてのコンポーネントが検証され、暗号的なアイデンティティ証明なしにトラフィックは流れません。
ネットワーク要件
Warpgateがすべての接続を外向きに開始するため、ネットワーク要件は最小限です:
| 要件 | 詳細 |
|---|---|
| アウトバウンドHTTPS | Mezusphereのエッジへのポート443 |
| インバウンドポート | 不要 |
| ファイアウォールルール | 不要 |
| VPN | 不要 |
| パブリックIP | 不要 |
WarpgateはNAT背後、プライベートサブネット、制限付きネットワーク環境でも動作します。必要なのはポート443でのアウトバウンドHTTPS接続性のみです。