SPIRE-Runtime
Was ist SPIRE-Runtime?
SPIRE-RuntimeOpen-Source-Referenzimplementierung von SPIFFE: ein Server-Agent-System, das Workloads attestiert und kurzlebige X.509- oder JWT-SVIDs ausstellt.
SPIRE (SPIFFE Runtime Environment) ist die produktionsreife Referenzimplementierung von SPIFFE. Sie besteht aus einem zentralen SPIRE-Server mit Registrierungseinträgen und Signing-CA sowie einem SPIRE-Agent auf jedem Node, der Node- und Workload-Attestation durchführt und die SPIFFE Workload API über einen lokalen UNIX-Socket bereitstellt. Attestation-Plugins belegen Workload-Eigenschaften — Kubernetes-ServiceAccount, Container-Image-Hash, Instance-Metadaten in AWS/GCP/Azure, TPM-Messungen auf Bare-Metal — bevor der Agent ein kurzlebiges SVID anfragt. SPIRE unterstützt Federation zwischen Trust Domains und integriert mit Istio, Kuma, Envoy, Vault sowie den großen Clouds. Es ersetzt langlebige Geheimnisse durch kryptografisch attestierte Identitäten.
● Beispiele
- 01
SPIRE-Agent auf einem Kubernetes-Node attestiert Pods via PSAT-Plugin und liefert SVIDs.
- 02
Föderation zweier SPIRE-Trust-Domains zwischen Geschäftsbereichen, damit Dienste gegenseitig SVIDs prüfen können.
● Häufige Fragen
Was ist SPIRE-Runtime?
Open-Source-Referenzimplementierung von SPIFFE: ein Server-Agent-System, das Workloads attestiert und kurzlebige X.509- oder JWT-SVIDs ausstellt. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet SPIRE-Runtime?
Open-Source-Referenzimplementierung von SPIFFE: ein Server-Agent-System, das Workloads attestiert und kurzlebige X.509- oder JWT-SVIDs ausstellt.
Wie funktioniert SPIRE-Runtime?
SPIRE (SPIFFE Runtime Environment) ist die produktionsreife Referenzimplementierung von SPIFFE. Sie besteht aus einem zentralen SPIRE-Server mit Registrierungseinträgen und Signing-CA sowie einem SPIRE-Agent auf jedem Node, der Node- und Workload-Attestation durchführt und die SPIFFE Workload API über einen lokalen UNIX-Socket bereitstellt. Attestation-Plugins belegen Workload-Eigenschaften — Kubernetes-ServiceAccount, Container-Image-Hash, Instance-Metadaten in AWS/GCP/Azure, TPM-Messungen auf Bare-Metal — bevor der Agent ein kurzlebiges SVID anfragt. SPIRE unterstützt Federation zwischen Trust Domains und integriert mit Istio, Kuma, Envoy, Vault sowie den großen Clouds. Es ersetzt langlebige Geheimnisse durch kryptografisch attestierte Identitäten.
Wie schützt man sich gegen SPIRE-Runtime?
Schutzmaßnahmen gegen SPIRE-Runtime kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SPIRE-Runtime?
Übliche alternative Bezeichnungen: SPIFFE Runtime Environment.
● Verwandte Begriffe
- cloud-security№ 1078
SPIFFE
Offener Standard zur Vergabe kryptografischer, portabler Identitäten an Workloads über URI-basierte SPIFFE-IDs und kurzlebige X.509- oder JWT-SVIDs.
- cloud-security№ 1248
Workload-Identität
Kryptografische Identität für einen Service, Container oder eine Funktion, mit der dieser sich gegenüber anderen Systemen ohne langlebige geteilte Secrets authentifiziert.
- cloud-security№ 1014
Service-Mesh-Sicherheit
Sammlung von Identitäts-, Verschlüsselungs- und Autorisierungskontrollen, die ein Service Mesh bereitstellt, um Service-zu-Service-Traffic in Cloud-Native-Umgebungen abzusichern.
- cloud-security№ 559
Istio-Sicherheit
Sicherheits-Feature-Set des Istio-Service-Mesh: Workload-Identität via SPIFFE, automatisches mTLS und AuthorizationPolicy/RequestAuthentication für feingranulare Zugriffskontrolle.
- network-security№ 1262
Zero Trust Network
Eine Netzwerkarchitektur, die Nutzer, Geräte oder Dienste niemals automatisch vertraut und jede Verbindung kontinuierlich identitätsbasiert prüft.