Как защитить gRPC сервис?

Несколько уровней. Transport: TLS обязателен, mTLS для service-to-service. Authentication: interceptor проверяет JWT/API key из metadata. Authorization: проверка прав по roles/scopes в interceptor. Rate limiting: per-client через interceptor. Input validation: проверяй все поля запроса. Logging/audit: логируй кто что вызывал. Health check отдельно, без auth. В Go: grpc.Creds(credentials.NewTLS(config)) для TLS, UnaryInterceptor для auth/authz, go-grpc-middleware для готовых interceptors. Не забывай про deadline — клиент не должен ждать вечно.