SPIRE 运行时
SPIRE 运行时 是什么?
SPIRE 运行时SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。
SPIRE(SPIFFE Runtime Environment)是 SPIFFE 的生产级参考实现。它由维护注册条目和签名 CA 的中心化 SPIRE Server,以及运行在每个节点上、负责节点与工作负载证明、并通过本地 UNIX 套接字暴露 SPIFFE Workload API 的 SPIRE Agent 构成。Attestation 插件可证明工作负载的属性——Kubernetes service account、容器镜像哈希、AWS/GCP/Azure 实例元数据、裸机 TPM 度量——然后代理才为其获取短期 SVID。SPIRE 支持跨 trust domain 的联邦,并与 Istio、Kuma、Envoy、Vault、AWS/Azure/GCP 集成。它以可加密验证且经过证明的身份取代长期凭据。
● 示例
- 01
Kubernetes 节点上的 SPIRE Agent 使用 PSAT 插件证明 Pod 并提供 SVID。
- 02
两个业务单元的 SPIRE trust domain 互相联邦,使彼此的服务能验证对方的 SVID。
● 常见问题
SPIRE 运行时 是什么?
SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。 它属于网络安全的 云安全 分类。
SPIRE 运行时 是什么意思?
SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。
SPIRE 运行时 是如何工作的?
SPIRE(SPIFFE Runtime Environment)是 SPIFFE 的生产级参考实现。它由维护注册条目和签名 CA 的中心化 SPIRE Server,以及运行在每个节点上、负责节点与工作负载证明、并通过本地 UNIX 套接字暴露 SPIFFE Workload API 的 SPIRE Agent 构成。Attestation 插件可证明工作负载的属性——Kubernetes service account、容器镜像哈希、AWS/GCP/Azure 实例元数据、裸机 TPM 度量——然后代理才为其获取短期 SVID。SPIRE 支持跨 trust domain 的联邦,并与 Istio、Kuma、Envoy、Vault、AWS/Azure/GCP 集成。它以可加密验证且经过证明的身份取代长期凭据。
如何防御 SPIRE 运行时?
针对 SPIRE 运行时 的防御通常结合技术控制与运营实践,详见上方完整定义。
SPIRE 运行时 还有哪些其他名称?
常见的别称包括: SPIFFE 运行时环境。
● 相关术语
- cloud-security№ 1078
SPIFFE
为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
- cloud-security№ 1248
工作负载身份
为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
- cloud-security№ 1014
服务网格安全
服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
- cloud-security№ 559
Istio 安全
Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
- network-security№ 1262
零信任网络
默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。