SPIFFE
Qu'est-ce que SPIFFE ?
SPIFFEStandard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie.
SPIFFE (Secure Production Identity Framework For Everyone) est un standard CNCF qui définit comment les workloads — conteneurs, VM, services — reçoivent des identités cryptographiques vérifiables, indépendantes de leur localisation réseau. Un SPIFFE ID est une URI de la forme spiffe://trust-domain/path qui nomme un workload de façon unique. Les identités sont émises sous forme de SVIDs (SPIFFE Verifiable Identity Documents) : certificats X.509 pour mTLS ou JWT pour l'authentification par jeton. Les trust domains délimitent un déploiement SPIFFE, et la fédération permet la confiance inter-organisations. SPIFFE est la fondation d'identité d'Istio, Kuma, SPIRE et de nombreuses architectures zero-trust, remplaçant des secrets statiques par des identités attestées rotées automatiquement.
● Exemples
- 01
spiffe://prod.exemple/ns/payments/sa/checkout — identité du service account checkout dans payments.
- 02
Connexion mTLS où chaque côté valide un SVID X.509 SPIFFE plutôt qu'un certificat client statique.
● Questions fréquentes
Qu'est-ce que SPIFFE ?
Standard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie SPIFFE ?
Standard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie.
Comment fonctionne SPIFFE ?
SPIFFE (Secure Production Identity Framework For Everyone) est un standard CNCF qui définit comment les workloads — conteneurs, VM, services — reçoivent des identités cryptographiques vérifiables, indépendantes de leur localisation réseau. Un SPIFFE ID est une URI de la forme spiffe://trust-domain/path qui nomme un workload de façon unique. Les identités sont émises sous forme de SVIDs (SPIFFE Verifiable Identity Documents) : certificats X.509 pour mTLS ou JWT pour l'authentification par jeton. Les trust domains délimitent un déploiement SPIFFE, et la fédération permet la confiance inter-organisations. SPIFFE est la fondation d'identité d'Istio, Kuma, SPIRE et de nombreuses architectures zero-trust, remplaçant des secrets statiques par des identités attestées rotées automatiquement.
Comment se défendre contre SPIFFE ?
Les défenses contre SPIFFE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de SPIFFE ?
Noms alternatifs courants : Framework SPIFFE.
● Termes liés
- cloud-security№ 1079
Runtime SPIRE
Implémentation open source de référence de SPIFFE : un système serveur-agent qui atteste les workloads et émet des SVID X.509 ou JWT à courte durée de vie.
- cloud-security№ 1248
Identité de Workload
Identité cryptographique attribuée à un service, un conteneur ou une fonction pour s'authentifier auprès d'autres systèmes sans secrets partagés longue durée.
- cloud-security№ 1014
Sécurité du Service Mesh
Ensemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
- cloud-security№ 559
Sécurité Istio
Ensemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin.
- network-security№ 1262
Réseau Zero Trust
Architecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.