Runtime SPIRE
O que é Runtime SPIRE?
Runtime SPIREImplementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
SPIRE (SPIFFE Runtime Environment) é a implementação de referência de SPIFFE pronta para produção. É composto por um SPIRE Server central, que mantém entradas de registo e uma CA, e por um SPIRE Agent que corre em cada nó, faz atestação de nós e de workloads e expõe a SPIFFE Workload API através de um socket UNIX local. Os plugins de atestação provam propriedades do workload — service account Kubernetes, hash da imagem do contentor, metadados de instância em AWS/GCP/Azure, medições TPM bare-metal — antes de o agente obter um SVID de curta duração. O SPIRE suporta federação entre trust domains e integra-se com Istio, Kuma, Envoy, Vault e as principais clouds. Substitui segredos de longa duração por identidades criptográficas atestadas.
● Exemplos
- 01
Um SPIRE Agent num nó Kubernetes atesta pods via plugin PSAT e fornece SVIDs.
- 02
Federação de dois trust domains SPIRE entre unidades de negócio para validar SVIDs entre serviços.
● Perguntas frequentes
O que é Runtime SPIRE?
Implementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Runtime SPIRE?
Implementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
Como funciona Runtime SPIRE?
SPIRE (SPIFFE Runtime Environment) é a implementação de referência de SPIFFE pronta para produção. É composto por um SPIRE Server central, que mantém entradas de registo e uma CA, e por um SPIRE Agent que corre em cada nó, faz atestação de nós e de workloads e expõe a SPIFFE Workload API através de um socket UNIX local. Os plugins de atestação provam propriedades do workload — service account Kubernetes, hash da imagem do contentor, metadados de instância em AWS/GCP/Azure, medições TPM bare-metal — antes de o agente obter um SVID de curta duração. O SPIRE suporta federação entre trust domains e integra-se com Istio, Kuma, Envoy, Vault e as principais clouds. Substitui segredos de longa duração por identidades criptográficas atestadas.
Como se defender contra Runtime SPIRE?
As defesas contra Runtime SPIRE costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Runtime SPIRE?
Nomes alternativos comuns: SPIFFE Runtime Environment.
● Termos relacionados
- cloud-security№ 1078
SPIFFE
Padrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
- cloud-security№ 1248
Identidade de Workload
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
- cloud-security№ 1014
Segurança de Service Mesh
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- cloud-security№ 559
Segurança do Istio
Conjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.