Runtime SPIRE
Qu'est-ce que Runtime SPIRE ?
Runtime SPIREImplémentation open source de référence de SPIFFE : un système serveur-agent qui atteste les workloads et émet des SVID X.509 ou JWT à courte durée de vie.
SPIRE (SPIFFE Runtime Environment) est l'implémentation de référence de SPIFFE pour la production. Il se compose d'un SPIRE Server central qui maintient les entrées de registration et une CA, et d'un SPIRE Agent qui s'exécute sur chaque nœud, effectue l'attestation nœud et workload, et expose la SPIFFE Workload API via une socket UNIX locale. Les plugins d'attestation prouvent des propriétés du workload — service account Kubernetes, empreinte d'image, métadonnées d'instance AWS/GCP/Azure, mesures TPM bare-metal — avant que l'agent ne récupère un SVID court pour lui. SPIRE supporte la fédération entre trust domains et s'intègre à Istio, Kuma, Envoy, Vault et aux principaux clouds. Il supprime les secrets longue durée au profit d'identités cryptographiques attestées.
● Exemples
- 01
Un SPIRE Agent sur un nœud Kubernetes atteste les pods via le plugin PSAT et délivre des SVID.
- 02
Fédération de deux trust domains SPIRE entre unités d'affaires pour que les services valident mutuellement leurs SVID.
● Questions fréquentes
Qu'est-ce que Runtime SPIRE ?
Implémentation open source de référence de SPIFFE : un système serveur-agent qui atteste les workloads et émet des SVID X.509 ou JWT à courte durée de vie. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Runtime SPIRE ?
Implémentation open source de référence de SPIFFE : un système serveur-agent qui atteste les workloads et émet des SVID X.509 ou JWT à courte durée de vie.
Comment fonctionne Runtime SPIRE ?
SPIRE (SPIFFE Runtime Environment) est l'implémentation de référence de SPIFFE pour la production. Il se compose d'un SPIRE Server central qui maintient les entrées de registration et une CA, et d'un SPIRE Agent qui s'exécute sur chaque nœud, effectue l'attestation nœud et workload, et expose la SPIFFE Workload API via une socket UNIX locale. Les plugins d'attestation prouvent des propriétés du workload — service account Kubernetes, empreinte d'image, métadonnées d'instance AWS/GCP/Azure, mesures TPM bare-metal — avant que l'agent ne récupère un SVID court pour lui. SPIRE supporte la fédération entre trust domains et s'intègre à Istio, Kuma, Envoy, Vault et aux principaux clouds. Il supprime les secrets longue durée au profit d'identités cryptographiques attestées.
Comment se défendre contre Runtime SPIRE ?
Les défenses contre Runtime SPIRE combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Runtime SPIRE ?
Noms alternatifs courants : SPIFFE Runtime Environment.
● Termes liés
- cloud-security№ 1078
SPIFFE
Standard ouvert pour attribuer des identités cryptographiques portables aux workloads via des SPIFFE IDs sous forme d'URI et des SVID X.509 ou JWT à courte durée de vie.
- cloud-security№ 1248
Identité de Workload
Identité cryptographique attribuée à un service, un conteneur ou une fonction pour s'authentifier auprès d'autres systèmes sans secrets partagés longue durée.
- cloud-security№ 1014
Sécurité du Service Mesh
Ensemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
- cloud-security№ 559
Sécurité Istio
Ensemble des fonctionnalités de sécurité d'Istio : identité de workload via SPIFFE, mTLS automatique et AuthorizationPolicy/RequestAuthentication pour un contrôle d'accès fin.
- network-security№ 1262
Réseau Zero Trust
Architecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.