Identidad de Workload
¿Qué es Identidad de Workload?
Identidad de WorkloadIdentidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
La identidad de workload es la práctica de dar a cada workload en ejecución — un pod de Kubernetes, una función serverless, una VM, un job batch — su propia credencial atestada de corta duración, en lugar de depender de claves estáticas compartidas. Implementaciones cloud-native incluyen GKE Workload Identity (service account de Kubernetes mapeada a una de Google), AWS IAM Roles for Service Accounts (IRSA) mediante federación OIDC, Azure Workload Identity e identidades basadas en SPIFFE/SPIRE. Los workloads obtienen tokens o SVIDs X.509 desde un endpoint local de confianza (IMDS, kubelet, agente) y los usan para llamar a APIs cloud, bases de datos u otros servicios. Es la base del zero trust y reduce el radio de impacto de las fugas de credenciales.
● Ejemplos
- 01
GKE Workload Identity permite a un pod llamar a Cloud Storage con su service account de Google asociada.
- 02
AWS IRSA: un pod en EKS asume un rol de IAM mediante un token OIDC proyectado.
● Preguntas frecuentes
¿Qué es Identidad de Workload?
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Identidad de Workload?
Identidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
¿Cómo funciona Identidad de Workload?
La identidad de workload es la práctica de dar a cada workload en ejecución — un pod de Kubernetes, una función serverless, una VM, un job batch — su propia credencial atestada de corta duración, en lugar de depender de claves estáticas compartidas. Implementaciones cloud-native incluyen GKE Workload Identity (service account de Kubernetes mapeada a una de Google), AWS IAM Roles for Service Accounts (IRSA) mediante federación OIDC, Azure Workload Identity e identidades basadas en SPIFFE/SPIRE. Los workloads obtienen tokens o SVIDs X.509 desde un endpoint local de confianza (IMDS, kubelet, agente) y los usan para llamar a APIs cloud, bases de datos u otros servicios. Es la base del zero trust y reduce el radio de impacto de las fugas de credenciales.
¿Cómo defenderse de Identidad de Workload?
Las defensas contra Identidad de Workload combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Identidad de Workload?
Nombres alternativos comunes: Identidad de servicio, Identidad de pod.
● Términos relacionados
- cloud-security№ 1078
SPIFFE
Estándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración.
- cloud-security№ 1079
Runtime SPIRE
Implementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- cloud-security№ 559
Seguridad de Istio
Conjunto de funciones de seguridad de la malla Istio: identidad de workload vía SPIFFE, TLS mutuo automático y AuthorizationPolicy/RequestAuthentication para control de acceso fino.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.
- identity-access№ 1011
Cuenta de servicio
Identidad no humana utilizada por una aplicación, script o servicio para autenticarse ante otros sistemas, normalmente sin inicio de sesión interactivo.