SPIFFE
Was ist SPIFFE?
SPIFFEOffener Standard zur Vergabe kryptografischer, portabler Identitäten an Workloads über URI-basierte SPIFFE-IDs und kurzlebige X.509- oder JWT-SVIDs.
SPIFFE (Secure Production Identity Framework For Everyone) ist ein CNCF-Standard, der definiert, wie Workloads — Container, VMs, Services — verifizierbare, kryptografische Identitäten unabhängig von der Netzwerkposition erhalten. Eine SPIFFE-ID ist eine URI der Form spiffe://trust-domain/path und benennt eine Workload eindeutig. Identitäten werden als SVIDs (SPIFFE Verifiable Identity Documents) ausgestellt — X.509 für mTLS oder JWT für tokenbasierte Auth. Trust Domains begrenzen ein SPIFFE-Deployment, Federation ermöglicht organisationenübergreifendes Vertrauen. SPIFFE ist die Identitätsbasis für Istio, Kuma, SPIRE und viele Zero-Trust-Architekturen und ersetzt statische Anmeldedaten durch automatisch rotierende, bezeugte Workload-Identitäten.
● Beispiele
- 01
spiffe://prod.example/ns/payments/sa/checkout — Identität des Checkout-ServiceAccount im Payments-Namespace.
- 02
mTLS-Verbindung, bei der beide Seiten ein SPIFFE-X.509-SVID anstelle eines statischen Client-Zertifikats prüfen.
● Häufige Fragen
Was ist SPIFFE?
Offener Standard zur Vergabe kryptografischer, portabler Identitäten an Workloads über URI-basierte SPIFFE-IDs und kurzlebige X.509- oder JWT-SVIDs. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet SPIFFE?
Offener Standard zur Vergabe kryptografischer, portabler Identitäten an Workloads über URI-basierte SPIFFE-IDs und kurzlebige X.509- oder JWT-SVIDs.
Wie funktioniert SPIFFE?
SPIFFE (Secure Production Identity Framework For Everyone) ist ein CNCF-Standard, der definiert, wie Workloads — Container, VMs, Services — verifizierbare, kryptografische Identitäten unabhängig von der Netzwerkposition erhalten. Eine SPIFFE-ID ist eine URI der Form spiffe://trust-domain/path und benennt eine Workload eindeutig. Identitäten werden als SVIDs (SPIFFE Verifiable Identity Documents) ausgestellt — X.509 für mTLS oder JWT für tokenbasierte Auth. Trust Domains begrenzen ein SPIFFE-Deployment, Federation ermöglicht organisationenübergreifendes Vertrauen. SPIFFE ist die Identitätsbasis für Istio, Kuma, SPIRE und viele Zero-Trust-Architekturen und ersetzt statische Anmeldedaten durch automatisch rotierende, bezeugte Workload-Identitäten.
Wie schützt man sich gegen SPIFFE?
Schutzmaßnahmen gegen SPIFFE kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SPIFFE?
Übliche alternative Bezeichnungen: SPIFFE-Framework.
● Verwandte Begriffe
- cloud-security№ 1079
SPIRE-Runtime
Open-Source-Referenzimplementierung von SPIFFE: ein Server-Agent-System, das Workloads attestiert und kurzlebige X.509- oder JWT-SVIDs ausstellt.
- cloud-security№ 1248
Workload-Identität
Kryptografische Identität für einen Service, Container oder eine Funktion, mit der dieser sich gegenüber anderen Systemen ohne langlebige geteilte Secrets authentifiziert.
- cloud-security№ 1014
Service-Mesh-Sicherheit
Sammlung von Identitäts-, Verschlüsselungs- und Autorisierungskontrollen, die ein Service Mesh bereitstellt, um Service-zu-Service-Traffic in Cloud-Native-Umgebungen abzusichern.
- cloud-security№ 559
Istio-Sicherheit
Sicherheits-Feature-Set des Istio-Service-Mesh: Workload-Identität via SPIFFE, automatisches mTLS und AuthorizationPolicy/RequestAuthentication für feingranulare Zugriffskontrolle.
- network-security№ 1262
Zero Trust Network
Eine Netzwerkarchitektur, die Nutzer, Geräte oder Dienste niemals automatisch vertraut und jede Verbindung kontinuierlich identitätsbasiert prüft.