SPIRE Runtime
Что такое SPIRE Runtime?
SPIRE RuntimeЭталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID.
SPIRE (SPIFFE Runtime Environment) — продакшен-готовая эталонная реализация SPIFFE. Она состоит из центрального SPIRE Server, который хранит регистрационные записи и подписной CA, и SPIRE Agent, работающего на каждом узле и выполняющего аттестацию узла и нагрузок, а также предоставляющего SPIFFE Workload API через локальный UNIX-сокет. Плагины аттестации подтверждают свойства нагрузки — Kubernetes ServiceAccount, хеш образа контейнера, метаданные инстанса в AWS/GCP/Azure, TPM-измерения на bare-metal — прежде чем агент запросит короткоживущий SVID. SPIRE поддерживает федерацию между trust domain'ами и интегрируется с Istio, Kuma, Envoy, Vault и основными облаками. Заменяет долгоживущие секреты криптографическими, заверенными идентичностями.
● Примеры
- 01
SPIRE Agent на узле Kubernetes аттестует поды через плагин PSAT и выдаёт SVID.
- 02
Федерация двух SPIRE trust domain'ов бизнес-единиц, чтобы сервисы могли проверять SVID друг друга.
● Частые вопросы
Что такое SPIRE Runtime?
Эталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID. Относится к категории Облачная безопасность в кибербезопасности.
Что означает SPIRE Runtime?
Эталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID.
Как работает SPIRE Runtime?
SPIRE (SPIFFE Runtime Environment) — продакшен-готовая эталонная реализация SPIFFE. Она состоит из центрального SPIRE Server, который хранит регистрационные записи и подписной CA, и SPIRE Agent, работающего на каждом узле и выполняющего аттестацию узла и нагрузок, а также предоставляющего SPIFFE Workload API через локальный UNIX-сокет. Плагины аттестации подтверждают свойства нагрузки — Kubernetes ServiceAccount, хеш образа контейнера, метаданные инстанса в AWS/GCP/Azure, TPM-измерения на bare-metal — прежде чем агент запросит короткоживущий SVID. SPIRE поддерживает федерацию между trust domain'ами и интегрируется с Istio, Kuma, Envoy, Vault и основными облаками. Заменяет долгоживущие секреты криптографическими, заверенными идентичностями.
Как защититься от SPIRE Runtime?
Защита от SPIRE Runtime обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SPIRE Runtime?
Распространённые альтернативные названия: SPIFFE Runtime Environment.
● Связанные термины
- cloud-security№ 1078
SPIFFE
Открытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
- cloud-security№ 1248
Идентичность нагрузки
Криптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
- cloud-security№ 1014
Безопасность service mesh
Набор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
- cloud-security№ 559
Безопасность Istio
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
- network-security№ 1262
Сеть с нулевым доверием
Архитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.