SPIFFE
O que é SPIFFE?
SPIFFEPadrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
SPIFFE (Secure Production Identity Framework For Everyone) é um padrão da CNCF que define como workloads — contentores, VMs, serviços — recebem identidades criptográficas verificáveis, independentes da localização de rede. Um SPIFFE ID é uma URI no formato spiffe://trust-domain/path que identifica unicamente um workload. As identidades são emitidas como SVIDs (SPIFFE Verifiable Identity Documents), seja certificados X.509 para mTLS ou JWTs para autenticação baseada em tokens. Os trust domains delimitam um deployment SPIFFE, e a federação permite confiança entre organizações. SPIFFE é a base de identidade do Istio, Kuma, SPIRE e de muitas arquiteturas zero-trust, substituindo credenciais estáticas por identidades atestadas e rotacionadas automaticamente.
● Exemplos
- 01
spiffe://prod.exemplo/ns/payments/sa/checkout — identidade da service account checkout no namespace payments.
- 02
Ligação mTLS em que cada lado valida um SVID X.509 SPIFFE em vez de um certificado estático.
● Perguntas frequentes
O que é SPIFFE?
Padrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa SPIFFE?
Padrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
Como funciona SPIFFE?
SPIFFE (Secure Production Identity Framework For Everyone) é um padrão da CNCF que define como workloads — contentores, VMs, serviços — recebem identidades criptográficas verificáveis, independentes da localização de rede. Um SPIFFE ID é uma URI no formato spiffe://trust-domain/path que identifica unicamente um workload. As identidades são emitidas como SVIDs (SPIFFE Verifiable Identity Documents), seja certificados X.509 para mTLS ou JWTs para autenticação baseada em tokens. Os trust domains delimitam um deployment SPIFFE, e a federação permite confiança entre organizações. SPIFFE é a base de identidade do Istio, Kuma, SPIRE e de muitas arquiteturas zero-trust, substituindo credenciais estáticas por identidades atestadas e rotacionadas automaticamente.
Como se defender contra SPIFFE?
As defesas contra SPIFFE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SPIFFE?
Nomes alternativos comuns: Framework SPIFFE.
● Termos relacionados
- cloud-security№ 1079
Runtime SPIRE
Implementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
- cloud-security№ 1248
Identidade de Workload
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
- cloud-security№ 1014
Segurança de Service Mesh
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- cloud-security№ 559
Segurança do Istio
Conjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.