Runtime SPIRE
¿Qué es Runtime SPIRE?
Runtime SPIREImplementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración.
SPIRE (SPIFFE Runtime Environment) es la implementación de referencia de SPIFFE lista para producción. Consta de un SPIRE Server central que mantiene entradas de registro y una CA, y un SPIRE Agent que se ejecuta en cada nodo, atesta nodos y workloads y expone la SPIFFE Workload API sobre un socket UNIX local. Los plugins de attestation demuestran propiedades del workload — service account de Kubernetes, hash de imagen de contenedor, metadatos de instancia en AWS/GCP/Azure, medidas TPM en bare-metal — antes de que el agente obtenga un SVID de corta duración para él. SPIRE soporta federación entre trust domains e integra con Istio, Kuma, Envoy, Vault y los principales clouds. Elimina los secretos de larga duración en favor de identidad criptográfica atestada.
● Ejemplos
- 01
Un SPIRE Agent en un nodo Kubernetes atesta pods mediante el plugin PSAT y entrega SVIDs.
- 02
Federación de dos trust domains SPIRE entre unidades de negocio para validar SVIDs entre servicios.
● Preguntas frecuentes
¿Qué es Runtime SPIRE?
Implementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Runtime SPIRE?
Implementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración.
¿Cómo funciona Runtime SPIRE?
SPIRE (SPIFFE Runtime Environment) es la implementación de referencia de SPIFFE lista para producción. Consta de un SPIRE Server central que mantiene entradas de registro y una CA, y un SPIRE Agent que se ejecuta en cada nodo, atesta nodos y workloads y expone la SPIFFE Workload API sobre un socket UNIX local. Los plugins de attestation demuestran propiedades del workload — service account de Kubernetes, hash de imagen de contenedor, metadatos de instancia en AWS/GCP/Azure, medidas TPM en bare-metal — antes de que el agente obtenga un SVID de corta duración para él. SPIRE soporta federación entre trust domains e integra con Istio, Kuma, Envoy, Vault y los principales clouds. Elimina los secretos de larga duración en favor de identidad criptográfica atestada.
¿Cómo defenderse de Runtime SPIRE?
Las defensas contra Runtime SPIRE combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Runtime SPIRE?
Nombres alternativos comunes: SPIFFE Runtime Environment.
● Términos relacionados
- cloud-security№ 1078
SPIFFE
Estándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración.
- cloud-security№ 1248
Identidad de Workload
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- cloud-security№ 559
Seguridad de Istio
Conjunto de funciones de seguridad de la malla Istio: identidad de workload vía SPIFFE, TLS mutuo automático y AuthorizationPolicy/RequestAuthentication para control de acceso fino.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.