SPIFFE
SPIFFE 是什么?
SPIFFE为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
SPIFFE(Secure Production Identity Framework For Everyone)是 CNCF 的标准,定义了容器、虚拟机、服务等工作负载如何获得与网络位置无关、可加密验证的身份。SPIFFE ID 形如 spiffe://trust-domain/path 的 URI,用以唯一标识工作负载。身份以 SVID(SPIFFE Verifiable Identity Document)的形式签发,可以是用于 mTLS 的 X.509 证书,也可以是用于令牌化认证的 JWT。Trust domain 定义了一个 SPIFFE 部署的边界,顶层联邦机制可实现跨组织的信任。SPIFFE 是 Istio、Kuma、SPIRE 以及众多零信任架构的身份基础,使用自动轮换、经过证明的工作负载身份取代静态凭据。
● 示例
- 01
spiffe://prod.example/ns/payments/sa/checkout —— payments 命名空间下 checkout service account 的身份。
- 02
mTLS 连接中双方校验 SPIFFE X.509 SVID 而非静态客户端证书。
● 常见问题
SPIFFE 是什么?
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。 它属于网络安全的 云安全 分类。
SPIFFE 是什么意思?
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
SPIFFE 是如何工作的?
SPIFFE(Secure Production Identity Framework For Everyone)是 CNCF 的标准,定义了容器、虚拟机、服务等工作负载如何获得与网络位置无关、可加密验证的身份。SPIFFE ID 形如 spiffe://trust-domain/path 的 URI,用以唯一标识工作负载。身份以 SVID(SPIFFE Verifiable Identity Document)的形式签发,可以是用于 mTLS 的 X.509 证书,也可以是用于令牌化认证的 JWT。Trust domain 定义了一个 SPIFFE 部署的边界,顶层联邦机制可实现跨组织的信任。SPIFFE 是 Istio、Kuma、SPIRE 以及众多零信任架构的身份基础,使用自动轮换、经过证明的工作负载身份取代静态凭据。
如何防御 SPIFFE?
针对 SPIFFE 的防御通常结合技术控制与运营实践,详见上方完整定义。
SPIFFE 还有哪些其他名称?
常见的别称包括: Secure Production Identity Framework For Everyone。
● 相关术语
- cloud-security№ 1079
SPIRE 运行时
SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。
- cloud-security№ 1248
工作负载身份
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
- cloud-security№ 1014
服务网格安全
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
- cloud-security№ 559
Istio 安全
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
- network-security№ 1262
零信任网络
默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。