spire SPIFFE 运行时环境开源项目

我要开发同款
匿名用户2021年02月19日
63阅读
开发技术GO语言
所属分类Google Go、安全相关、管理和监控
授权协议Apache-2.0

作品详情

SPIRE(SPIFFE运行时环境。)是一个API工具链,用于在各种托管平台上的软件系统之间建立信任。SPIRE公开了SPIFFEWorkloadAPI,该API可以证明正在运行的软件系统并向其发布SPIFFEID和SVID。这进而允许两个工作负载在彼此之间建立信任,例如通过建立mTLS连接或通过签名和验证JWT令牌。SPIRE还可以使工作负载安全地对秘密存储、数据库或云提供商服务进行身份验证。

SPIFFE(SecureProductionIdentityFrameworkForEveryone)以特制的X.509证书形式为现代生产环境中的每个工作负载提供安全标识。SPIFFE消除了对应用程序级身份验证和复杂网络级ACL配置的需求。SPIFFE标准是许多CNCF参与者和其他相关方,聚集在一起提出的共同方法,以便服务彼此呈现和授权他们的身份。

一个SPIRE部署由一个SPIRE服务器和一个或多个SPIRE代理组成。服务器充当通过代理发布给一组工作负载的身份的签名授权机构。它还维护一个工作负载标识注册表,并且必须核实这些标识才能发布这些标识。代理将SPIFFEWorkloadAPI本地公开给工作负载,并且必须将其安装在运行工作负载的每个节点上。

SPIREServer负责管理和发布其配置的SPIFFE信任域中的所有身份。它存储注册条目(用于指定确定特定SPIFFEID发出条件的选择器)和签名密钥,使用节点证明自动认证代理的身份,并在经过认证的代理请求时为工作负载创建SVID。

SPIREAgent在已确定工作负载的每个节点上运行:

从服务器请求SVID并缓存它们,直到工作负载请求其SVID将SPIFFEWorkloadAPI暴露给节点上的工作负载,并证明调用它的工作负载的身份提供已识别的工作负载及其SVID

声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态

评论