Unimoni
Créer un compte
Base de connaissances/Architecture

Pourquoi mTLS plutôt qu’un bearer token

Contexte

Les agents tournent sur des centaines d’hôtes clients. Chacun a besoin d’une identité.

Options

  • Un seul secret partagé — compromettre n’importe quel hôte = les compromettre tous
  • Bearer token par hôte — doit être renouvelé ; un token à longue durée de vie dans un fichier est un risque sérieux
  • mTLS avec un certificat client par hôte + TTL court — la compromission d’un hôte est bornée à la fenêtre jusqu’à la prochaine rotation (24h)

Notre choix

mTLS + rotation automatique. Identité = peer cert subject. agentIDFromCert(r) est l’unique source d’identité dans le handler d’ingest.

Pourquoi push plutôt que pull (comme Prometheus)
Stratégie multi-région