обеспечение весенней загрузки приложения с помощью mTLS - работает на Swisscom App Cloud

Question

У меня есть приложение с загрузочной пружиной, развернутое в Swisscom App Cloud, которое должно быть защищено с помощью mTLS.

Очевидно, что есть весенняя защита ... В частности, в Swisscom App Cloud я читал о защите трафика на https://docs.developer.swisscom.com/adminguide/securing-traffic.html.

Мне неясно, как эти двое играют вместе ...

• Если я включу mTLS с помощью Spring Security, будет ли это работать как есть, или мне потребуется дополнительная настройка для приложения Swisscom?Облако?(Я сталкивался с HTTP-маршрутизацией, в которой упоминается прохождение клиентских сертификатов для mTLS https://docs.developer.swisscom.com/concepts/http-routing.html)
• . Является ли конфигурация mTLS в Swisscom App Cloud заменой того, что я в противном случае включил бы с помощью Spring Security, или мне все равно нужно что-то настраивать?в моем приложении?
• Защита трафика упоминает манифест развертывания и манифест BOSH, является ли последняя (и, возможно, дополнительная) конфигурация необходимой для включения mTLS в Swisscom App Cloud (т. е. нужен ли мне доступ к конфигурациям помимо манифеста развертывания))?

---

Обновление

В моем случае используется REST API, который будет использоваться клиентом за пределами Swisscom App Cloud.Было решено, что он должен быть защищен с помощью mTLS.

Answer 1

Руководство администратора, на которое вы ссылаетесь, предназначено для операторов платформы (например, Swisscom), поэтому оно не может быть использовано конечными пользователями.

Каков ваш вариант использования?Если для проверки списка требуется только требование безопасности, имейте в виду, что сама платформа скоро будет использовать mTLS для внутреннего использования, поэтому весь путь до тех пор, пока не будет защищен контейнер приложения.Этого может быть достаточно для вашего аудитора.

Если вам действительно нужно самостоятельно проверить сертификаты клиентов, CF может использовать для этого X-Forwarded-Client-Cert (https://docs.cloudfoundry.org/concepts/http-routing.html#-forward-client-certificate-to-applications).

Однако мыв настоящее время это не включено (до сих пор в этом не было необходимости), но мы можем это сделать.

Обновление:

Согласно этому объяснению 1016 *, вставка X-Forwarded-Client-Cert фактически выполняется платформой прозрачно, поэтому, если вы добавите сертификат клиентского приложения в хранилище доверенных сертификатов серверного приложения, он проверит сертификат клиента.

Обновление 2: Как вы можете видеть из приведенных ниже обсуждений, похоже, что в настоящее время концептуально не существует простого способа разрешить приложениям правильно выполнять mTLS с использованием X-Forwarded-Client-Cert. В настоящее время единственным вариантом является использование маршрутов tcp, что вы можете запросить с помощью своегоСлужба поддержки Appcloud.