Идентичность нагрузки
Что такое Идентичность нагрузки?
Идентичность нагрузкиКриптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
Идентичность нагрузки (workload identity) — практика выдавать каждой работающей нагрузке (Kubernetes-под, serverless-функция, ВМ, batch-задача) собственные аттестованные короткоживущие учётные данные вместо общего статического ключа. Cloud-native реализации: GKE Workload Identity (сопоставление Kubernetes ServiceAccount с Google ServiceAccount), AWS IAM Roles for Service Accounts (IRSA) через OIDC-федерацию, Azure Workload Identity, идентичности на основе SPIFFE/SPIRE. Нагрузки получают токены или X.509 SVID через локальную доверенную точку (IMDS, kubelet, агент) и используют их при вызове облачных API, баз данных или других сервисов. Модель является основой zero trust и резко уменьшает зону поражения при утечке учётных данных.
● Примеры
- 01
GKE Workload Identity позволяет поду обращаться к Cloud Storage от имени сопоставленной Google ServiceAccount.
- 02
AWS IRSA: под EKS принимает IAM-роль через проецированный OIDC-токен.
● Частые вопросы
Что такое Идентичность нагрузки?
Криптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Идентичность нагрузки?
Криптографическая идентичность, выдаваемая сервису, контейнеру или функции, чтобы они могли аутентифицироваться без долговременных общих секретов.
Как работает Идентичность нагрузки?
Идентичность нагрузки (workload identity) — практика выдавать каждой работающей нагрузке (Kubernetes-под, serverless-функция, ВМ, batch-задача) собственные аттестованные короткоживущие учётные данные вместо общего статического ключа. Cloud-native реализации: GKE Workload Identity (сопоставление Kubernetes ServiceAccount с Google ServiceAccount), AWS IAM Roles for Service Accounts (IRSA) через OIDC-федерацию, Azure Workload Identity, идентичности на основе SPIFFE/SPIRE. Нагрузки получают токены или X.509 SVID через локальную доверенную точку (IMDS, kubelet, агент) и используют их при вызове облачных API, баз данных или других сервисов. Модель является основой zero trust и резко уменьшает зону поражения при утечке учётных данных.
Как защититься от Идентичность нагрузки?
Защита от Идентичность нагрузки обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Идентичность нагрузки?
Распространённые альтернативные названия: Идентичность сервиса, Идентичность пода.
● Связанные термины
- cloud-security№ 1078
SPIFFE
Открытый стандарт, присваивающий программным нагрузкам криптографические переносимые идентичности через URI-SPIFFE-ID и короткоживущие X.509/JWT SVID.
- cloud-security№ 1079
SPIRE Runtime
Эталонная open-source реализация SPIFFE: система из сервера и агентов, выполняющая аттестацию нагрузок и выдающая короткоживущие X.509/JWT SVID.
- cloud-security№ 1014
Безопасность service mesh
Набор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
- cloud-security№ 559
Безопасность Istio
Набор средств безопасности service mesh Istio: идентичность нагрузок через SPIFFE, автоматический mTLS и AuthorizationPolicy/RequestAuthentication для тонкого контроля доступа.
- network-security№ 1262
Сеть с нулевым доверием
Архитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.
- identity-access№ 1011
Сервисная учётная запись
Нечеловеческая идентичность, используемая приложением, скриптом или сервисом для аутентификации в других системах, как правило, без интерактивного входа.