Unimoni
Crear cuenta
Base de conocimiento/Arquitectura

Por qué mTLS y no un bearer token

Contexto

Los agentes viven en cientos de hosts de clientes. Cada uno necesita una identidad.

Opciones

  • Un único secreto compartido — comprometer cualquier host = comprometerlos todos
  • Bearer token por host — hay que rotarlo; un token de larga duración en un archivo es un riesgo serio
  • mTLS con certificado de cliente por host + TTL corto — el compromiso de un host queda acotado a la ventana hasta la siguiente rotación (24h)

Lo que elegimos

mTLS + rotación automática. Identidad = peer cert subject. agentIDFromCert(r) es la única fuente de identidad en el handler de ingest.

Por qué push y no pull (como Prometheus)
Estrategia multi-región