mTLSとTLS 1.3

Mezusphere(メズスフェア)アーキテクチャのすべての接続はTLSで暗号化されています。パブリック向けトラフィックは、幅広いブラウザとデバイスの互換性のためにTLS 1.2+を使用します。Mezusphere(メズスフェア)のエッジとWarpgate(ワープゲート)間の内部接続はTLS 1.3と相互認証(mTLS)を使用し、双方が証明書を提示してお互いの身元を検証します。

パブリックTLS

エンドユーザーがMezusphere(メズスフェア)を通じて公開されたサービスに接続すると、トラフィックはエッジでTLSにより暗号化されます。Mezusphere(メズスフェア)は証明書のライフサイクル全体を管理します:

  • 自動発行:ルート作成時に証明書がプロビジョニング
  • 自動更新:証明書は有効期限前に操作不要で自動ローテーション
  • 強力なデフォルト:TLS 1.2+、最新の暗号スイート、すべての主要ブラウザとOSに対応

証明書マネージャーの設定、Let’s Encryptとの連携、Kubernetesでのcert-managerセットアップ、証明書ストアの管理を行う必要はありません。パブリックTLSはプラットフォームのプリミティブです。

これが置き換えるもの

従来のアプローチMezusphere(メズスフェア)の場合
AWS ACM + ALBでの証明書発行と終端自動
cert-manager + Let’s EncryptのKubernetes設定自動
NGINXやTraefikのTLS設定自動
手動の証明書ローテーション監視自動

相互TLS(mTLS)

Warpgate(ワープゲート)Mezusphere(メズスフェア)のエッジノード間のすべての接続はTLS 1.3と相互認証を使用します。これは:

  • Warpgate(ワープゲート)が証明書を提示:エッジに対して自身のアイデンティティを証明
  • エッジが証明書を返送Warpgate(ワープゲート)に対してMezusphere(メズスフェア)の正規ノードであることを証明
  • 双方が検証:トラフィックが流れる前にお互いの証明書を検証

この相互検証により、中間者攻撃を防止し、Warpgate(ワープゲート)は正規のMezusphere(メズスフェア)エッジノードにのみトラフィックを送信し、エッジノードは検証済みのWarpgate(ワープゲート)にのみトラフィックを転送することを保証します。

仕組み

  1. Warpgate(ワープゲート)が起動し、サービスアカウント認証情報を使ってコントロールプレーンに認証
  2. Warpgate(ワープゲート)Mezusphere(メズスフェア)の内部認証局から短期間有効なTLSクライアント証明書を受け取る
  3. Warpgate(ワープゲート)がこの証明書を使って相互認証でエッジノードに接続
  4. エッジノードがWarpgate(ワープゲート)の証明書を内部CAに対して検証
  5. 証明書は有効期限前に自動的にローテーション

mTLSレイヤーを直接操作する必要はありません。生成する証明書も、管理するキーストアも、配布するCAバンドルもありません。内部PKIがすべてを処理します。

内部PKI

Mezusphere(メズスフェア)は独自の内部認証局(CA)を運用し、すべてのプラットフォームコンポーネントの証明書を発行・管理します。このPKIが提供するもの:

  • コンポーネントアイデンティティ:すべてのWarpgate(ワープゲート)、エッジノード、コントロールプレーンサービスが暗号的に検証可能なアイデンティティを持つ
  • 自動発行:コンポーネント登録時に手動ステップなしで証明書が発行
  • 短寿命証明書:証明書の有効期間は限定的で自動的にローテーションされ、個々の証明書漏洩の影響を低減
  • 統一信頼モデル:すべてのプラットフォームコンポーネントが同一の信頼階層に参加

内部PKIは、プラットフォームの「ゼロトラスト」セキュリティ特性を支える基盤です。すべての接続が認証され、すべてのコンポーネントが検証され、暗号的なアイデンティティ証明なしにトラフィックは流れません。

ネットワーク要件

Warpgate(ワープゲート)がすべての接続を外向きに開始するため、ネットワーク要件は最小限です:

要件詳細
アウトバウンドHTTPSMezusphere(メズスフェア)のエッジへのポート443
インバウンドポート不要
ファイアウォールルール不要
VPN不要
パブリックIP不要

Warpgate(ワープゲート)はNAT背後、プライベートサブネット、制限付きネットワーク環境でも動作します。必要なのはポート443でのアウトバウンドHTTPS接続性のみです。