SPIFFE
¿Qué es SPIFFE?
SPIFFEEstándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración.
SPIFFE (Secure Production Identity Framework For Everyone) es un estándar de la CNCF que define cómo los workloads — contenedores, VMs, servicios — reciben identidades criptográficas verificables independientes de su ubicación de red. Un SPIFFE ID es una URI del tipo spiffe://trust-domain/path que nombra de manera única a un workload. Las identidades se emiten como SVIDs (SPIFFE Verifiable Identity Documents), bien como certificados X.509 para mTLS o como JWT para autenticación basada en tokens. Los trust domains delimitan un despliegue SPIFFE, y la federación permite confianza entre organizaciones. SPIFFE es la base de identidad de Istio, Kuma, SPIRE y muchas arquitecturas zero-trust, sustituyendo credenciales estáticas por identidades atestadas y rotadas automáticamente.
● Ejemplos
- 01
spiffe://prod.ejemplo/ns/payments/sa/checkout — identidad de la service account checkout en payments.
- 02
Conexión mTLS donde cada lado valida un SVID X.509 SPIFFE en lugar de un certificado estático.
● Preguntas frecuentes
¿Qué es SPIFFE?
Estándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa SPIFFE?
Estándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración.
¿Cómo funciona SPIFFE?
SPIFFE (Secure Production Identity Framework For Everyone) es un estándar de la CNCF que define cómo los workloads — contenedores, VMs, servicios — reciben identidades criptográficas verificables independientes de su ubicación de red. Un SPIFFE ID es una URI del tipo spiffe://trust-domain/path que nombra de manera única a un workload. Las identidades se emiten como SVIDs (SPIFFE Verifiable Identity Documents), bien como certificados X.509 para mTLS o como JWT para autenticación basada en tokens. Los trust domains delimitan un despliegue SPIFFE, y la federación permite confianza entre organizaciones. SPIFFE es la base de identidad de Istio, Kuma, SPIRE y muchas arquitecturas zero-trust, sustituyendo credenciales estáticas por identidades atestadas y rotadas automáticamente.
¿Cómo defenderse de SPIFFE?
Las defensas contra SPIFFE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SPIFFE?
Nombres alternativos comunes: Marco SPIFFE.
● Términos relacionados
- cloud-security№ 1079
Runtime SPIRE
Implementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración.
- cloud-security№ 1248
Identidad de Workload
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- cloud-security№ 559
Seguridad de Istio
Conjunto de funciones de seguridad de la malla Istio: identidad de workload vía SPIFFE, TLS mutuo automático y AuthorizationPolicy/RequestAuthentication para control de acceso fino.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.