SPIFFE
Что такое SPIFFE?
SPIFFEОткрытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
SPIFFE (Secure Production Identity Framework For Everyone) — стандарт CNCF, который определяет, как нагрузки (контейнеры, ВМ, сервисы) получают проверяемые криптографические идентичности, не зависящие от их сетевого расположения. SPIFFE ID — это URI вида spiffe://trust-domain/path, однозначно именующий нагрузку. Идентичности выдаются как SVID (SPIFFE Verifiable Identity Documents): X.509-сертификаты для mTLS или JWT для токенов. Trust domain очерчивает границу развёртывания SPIFFE, а федерация обеспечивает межорганизационное доверие. SPIFFE является фундаментом идентичности в Istio, Kuma, SPIRE и многих zero-trust архитектурах, заменяя статические секреты автоматически ротуемыми, заверенными идентичностями нагрузок.
● Примеры
- 01
spiffe://prod.example/ns/payments/sa/checkout — идентичность service account checkout в namespace payments.
- 02
mTLS-соединение, в котором обе стороны проверяют SPIFFE X.509 SVID вместо статического сертификата.
● Частые вопросы
Что такое SPIFFE?
Открытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID. Относится к категории Облачная безопасность в кибербезопасности.
Что означает SPIFFE?
Открытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
Как работает SPIFFE?
SPIFFE (Secure Production Identity Framework For Everyone) — стандарт CNCF, который определяет, как нагрузки (контейнеры, ВМ, сервисы) получают проверяемые криптографические идентичности, не зависящие от их сетевого расположения. SPIFFE ID — это URI вида spiffe://trust-domain/path, однозначно именующий нагрузку. Идентичности выдаются как SVID (SPIFFE Verifiable Identity Documents): X.509-сертификаты для mTLS или JWT для токенов. Trust domain очерчивает границу развёртывания SPIFFE, а федерация обеспечивает межорганизационное доверие. SPIFFE является фундаментом идентичности в Istio, Kuma, SPIRE и многих zero-trust архитектурах, заменяя статические секреты автоматически ротуемыми, заверенными идентичностями нагрузок.
Как защититься от SPIFFE?
Защита от SPIFFE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SPIFFE?
Распространённые альтернативные названия: Фреймворк SPIFFE.
● Связанные термины
- cloud-security№ 1079
SPIRE Runtime
Эталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID.
- cloud-security№ 1248
Идентичность нагрузки
Криптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
- cloud-security№ 1014
Безопасность service mesh
Набор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
- cloud-security№ 559
Безопасность Istio
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
- network-security№ 1262
Сеть с нулевым доверием
Архитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.