我有一个部署到Swisscom App Cloud的Spring Boot应用程序,应使用mTLS进行保护。
显然,这里有春天的安全性...专门针对Swisscom App Cloud,我读过有关在https://docs.developer.swisscom.com/adminguide/securing-traffic.html上确保流量安全的信息。
我不清楚这两个人如何一起玩...
如果我通过Spring Security启用了mTLS,是否可以按原样工作或需要Swisscom App Cloud的其他配置? (我遇到了HTTP路由,其中提到了传递mTLS https://docs.developer.swisscom.com/concepts/http-routing.html的客户端证书)
Swisscom App Cloud上的mTLS配置是否可以代替我本应通过春季安全性启用的配置,还是我仍需要在应用程序内进行配置?
确保流量安全涉及部署清单和BOSH清单,在Swisscom App Cloud上启用mTLS是否需要后者(可能还有其他)配置(即,除了部署清单之外,我是否还需要访问配置)?
更新资料
我的用例是,我拥有一个REST API,它将由Swisscom App Cloud之外的客户端使用。决定应使用mTLS对其进行保护。
最佳答案
您所指的管理指南仅供平台运营商(即Swisscom)使用,因此它不是最终用户可以利用的资源。
您的用例是什么?如果仅出于安全考虑需要检查列表,请注意平台本身将很快在内部使用mTLS,因此从整个路径直到保护应用程序容器为止。这对您的审计师而言可能就足够了。
如果确实需要自己验证客户端证书,则CF的方法是利用X-Forwarded-Client-Cert(https://docs.cloudfoundry.org/concepts/http-routing.html#-forward-client-certificate-to-applications)。
但是,我们目前尚未启用此功能(直到现在为止都不需要启用它),但是我们可以启用它。
更新:
根据此explanation,X-Forwarded-Client-Cert的插入实际上是由平台透明完成的。因此,如果将客户端应用程序的证书添加到服务器应用程序的信任库中,它将验证客户端证书。
更新2:
正如您在下面的讨论中所看到的,从概念上看,目前似乎没有简单的方法允许应用程序使用X-Forwarded-Client-Cert进行正确的mTLS。当前唯一的选择是使用tcp路由,您可以向您的Appcloud支持团队请求此路由。