Identidade de Workload
O que é Identidade de Workload?
Identidade de WorkloadIdentidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
Identidade de workload é a prática de atribuir a cada workload em execução — pod Kubernetes, função serverless, VM, job batch — as suas próprias credenciais atestadas e de curta duração, em vez de depender de chaves estáticas partilhadas. Implementações cloud-native incluem GKE Workload Identity (service account Kubernetes mapeada a uma do Google), AWS IAM Roles for Service Accounts (IRSA) via federação OIDC, Azure Workload Identity e identidades baseadas em SPIFFE/SPIRE. Os workloads obtêm tokens ou SVIDs X.509 através de um endpoint local de confiança (IMDS, kubelet, agente) e usam-nos para chamar APIs cloud, bases de dados ou outros serviços. O modelo é fundamental para zero trust e reduz o raio de impacto de fugas de credenciais.
● Exemplos
- 01
GKE Workload Identity permite a um pod chamar o Cloud Storage com a sua service account Google associada.
- 02
AWS IRSA: um pod EKS assume um role IAM através de um token OIDC projetado.
● Perguntas frequentes
O que é Identidade de Workload?
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Identidade de Workload?
Identidade criptográfica atribuída a um serviço, contentor ou função para se autenticar perante outros sistemas sem segredos partilhados de longa duração.
Como funciona Identidade de Workload?
Identidade de workload é a prática de atribuir a cada workload em execução — pod Kubernetes, função serverless, VM, job batch — as suas próprias credenciais atestadas e de curta duração, em vez de depender de chaves estáticas partilhadas. Implementações cloud-native incluem GKE Workload Identity (service account Kubernetes mapeada a uma do Google), AWS IAM Roles for Service Accounts (IRSA) via federação OIDC, Azure Workload Identity e identidades baseadas em SPIFFE/SPIRE. Os workloads obtêm tokens ou SVIDs X.509 através de um endpoint local de confiança (IMDS, kubelet, agente) e usam-nos para chamar APIs cloud, bases de dados ou outros serviços. O modelo é fundamental para zero trust e reduz o raio de impacto de fugas de credenciais.
Como se defender contra Identidade de Workload?
As defesas contra Identidade de Workload costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Identidade de Workload?
Nomes alternativos comuns: Identidade de serviço, Identidade de pod.
● Termos relacionados
- cloud-security№ 1078
SPIFFE
Padrão aberto para atribuir identidades criptográficas portáveis a workloads usando SPIFFE IDs baseados em URI e SVIDs X.509 ou JWT de curta duração.
- cloud-security№ 1079
Runtime SPIRE
Implementação de referência open source do SPIFFE: um sistema servidor-agente que atesta workloads e emite SVIDs X.509 ou JWT de curta duração.
- cloud-security№ 1014
Segurança de Service Mesh
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- cloud-security№ 559
Segurança do Istio
Conjunto de funcionalidades de segurança do Istio: identidade de workload via SPIFFE, mTLS automático e AuthorizationPolicy/RequestAuthentication para controlo de acesso fino.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.
- identity-access№ 1011
Conta de serviço
Identidade não humana usada por uma aplicação, script ou serviço para se autenticar noutros sistemas, normalmente sem início de sessão interativo.