《零信任的基石:使用 SPIFFE 为基础设施创建通用身份》翻译电子书分享

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量109 收藏
点赞数
文章标签: java 大数据 编程语言 区块链 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38754564/article/details/127218909
版权

78d99596349fee5616869b16c7b7643c.gif

国庆假期除了去浙江和安徽玩了一圈欣赏江南山水和徽派建筑之外,还抽空翻译了一本电子书。本书译自 Solving the Bottom Turtle — a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity。你可以选择在线阅读(推荐):https://lib.jimmysong.io/spiffe/,或者下载本书中文版 PDF(关注本公众号在后台回复 SPIFFE 即可获得下载链接)。

1f9d85e4e9d8f23960dd39e288ecf19f.jpeg

目录

  1. 1. SPIFFE 的历史和动机

  2. 2. 收益

  3. 3. 身份背后的通用概念

  4. 4. SPIFFE 和 SPIRE 概念介绍

  5. 5. 开始前的准备

  6. 6. 设计一个 SPIRE 部署

  7. 7. 与其他系统集成

  8. 8. 使用 SPIFFE 身份通知授权

  9. 9. SPIFFE 与其他安全技术对比

  10. 10. 从业者故事

关于本书

本书介绍了服务身份的 SPIFFE 标准,以及 SPIFFE 的参考实现 SPIRE。这些项目为现代异构基础设施提供了一个统一的身份控制平面。这两个项目都是开源的,是云原生计算基金会(CNCF)的一部分。

随着企业发展他们的应用架构以充分利用新的基础设施技术,他们的安全模式也必须不断发展。软件已经从一个盒子上的单片机发展到几十或几百个紧密联系的微服务,这些微服务可能分布在公共云或私人数据中心的数千个虚拟机上。在这个新的基础设施世界里,SPIFFE 和 SPIRE 帮助保持系统的安全。

本书努力提炼 SPIFFE 和 SPIRE 的最重要的专家的经验,以提供对身份问题的深刻理解,帮助你解决这个问题。通过这些项目,开发和运维可以使用新的基础设施技术构建软件,同时让安全团队从昂贵和耗时的人工安全流程中解脱出来。

关于零号乌龟

访问控制、秘密管理和身份都是相互依赖的。大规模地管理秘密需要有效的访问控制;实施访问控制需要身份;证明身份需要拥有一个秘密。保护一个秘密需要想出一些办法来保护另一个秘密,这就需要保护那个秘密,以此类推。

这让人想起一个著名的轶事:一个女人打断了一位哲学家的讲座,告诉他世界是在乌龟的背上。当哲学家问她乌龟靠的是什么时,她说:“还是乌龟!"。找到底层的乌龟,即所有其他安全所依赖的坚实基础,是 SPIFFE 和 SPIRE 项目的目标。

本书封面上的 “零号乌龟” 就是这只底层乌龟。零代表了数据中心和云计算的安全基础。零号是值得信赖的,愉快地支持所有其他的乌龟。

SPIFFE 和 SPIRE 是帮助你为你的组织找到底层乌龟的项目。通过这本书中的工具,我们希望你也能为 “底层乌龟” 找到一个家。

获取更多云原生社区资讯,加入微信群,请加入云原生社区,点击阅读原文了解更多。

weixin_38754564
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么 Istio 要使用 SPIRE 做身份认证?
ServiceMesher
06-22 199
今年 6 月初,Istio 1.14 发布[1],该版本中最值得关注的特性是新增对 SPIRE 的支持。SPIFFE[2]和 SPIRE 都是 CNCF 孵化项目,其中 SPIRE 是 SPIFFE 的实现之一。本文将带你了解 SPIRE 对于零信任架构的意义,以及 Istio 是为何使用 SPIRE 实现身份认证。Kubernetes 中的身份认证我们都知道 Is...
零信任之微分段(微隔离)
西京刀客
01-11 5422
文章目录零信任之微分段(微隔离)什么是微分段(微隔离)微隔离系统工作范围零信任与微隔离的关系微隔离技术、IAM技术,SDP技术关系怎么实现微隔离SDP微隔离厂商illumiolllumio背后的投资者Illumio六部曲参考 零信任之微分段(微隔离) 什么是微分段(微隔离) 感觉这几年微隔离炒的的挺热,对于网络安全,它究竟是什么? 应对人类历史上最狡猾、“横向移动”效率极高的新型冠状病毒最有效的方法是隔离,同样,“微隔离”(Micro Segmentation)也是网络安全领域,预防和应对未知威胁的最有效的
SPIFFESPIRE:云安全身份验证的标准和实现
DaoCloud_daoke的博客
08-29 817
在容器化、微服务、公有云和私有云流行起来之前,基于边界的网络模型已经在传统企业内使用了 20 多年。这种安全模型将网络划分为不同的隔离区,不同区域之间又通过防火墙进行隔离,它假设同一隔离区内的任何人都是可信的,隔离区外的任何人都是不可信的。这一模型在近 10 年间暴露出了很多缺陷...
零信任安全:SPIFFESPIRE 通用身份验证的标准和实现
CSDN云计算
09-16 336
最近正在读《Solving the Bottom Turtle》[1]这本书,这篇是对部分内容的总结和思考,由于内容较多,会分几篇来发。这本书的副标题是:a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity. 通过通用身份SPIFFE 的方式在基础设施中建立信任。大家记住其中的有几个关键...
云原生项目SPIFFESPIRE之间的关系
qq_25650463的博客
10-13 1084
SPIFFESPIRE 是一对的,SPIFFE 定义了服务的认证标准和认证信息的标准,SPIRE 是它的一个实现,但是目前还没有达到生产可用。 参考地址:https://blog.csdn.net/M2l0ZgSsVc7r69eFdTj/article/details/78955606 近日,SPIFFESPIRE 通过 CNCF 技术监督委员会(Technical Oversight Committee,TOC)投票,成为孵化级托管项目。SPIFFE 规范定义了一种标准,通过使用平台无感的加密
基于SDP技术构建零信任安全
yib0y的博客
03-11 7093
视频链接: http://picture.17wclass.com/kc/20200228/13293828022063d5f518194200.mp4 内容摘要: 物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。 但随着业务迁移到云端,APT攻击的泛滥,以及...
解读零信任身份管理
weixin_70101757的博客
07-25 620
如何识别用户身份,确保安全的前提是保证访问的用户和其代表的身份是一致的,是系统安全的前提和关键。另一方面,企业很难对内部员工的网络环境、应用操作行为进行精准识别和判断,缺少较强的认证机制,误操作、违规操作极难被监控,尤其最近疫情期间的远程办公环境下,这类问题集中暴露,甚至引发了一些严重的安全事故。用户的可信建立在对用户进行认证的基础上,用户提供动态口令、人脸识别、指纹识别以及认证令牌等方式进行身份鉴别,结合用户行为、地址位置、访问时间等进行风险分析与判断,并实时做出调整。设计零信任框架下的身份管理系统,..
奇安信零信任身份安全.pptx
11-25
该解决方案以身份基石,提供了基于身份的信任评估、业务安全访问、持续信任评估和动态访问控制等功能。奇安信零信任身份安全解决方案可以帮助企业构建自适应内生安全机制,保护企业的数据和资产免受内外部威胁。 ...
Gartner&奇安信联合白皮书:《零信任架构及解决方案》.pdf
02-25
零信任安全架构基于“以身份基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力,构筑以身份基石的动态虚拟边界产品与解决方案,助力企业实现全面身份 化、授权动态化、风险度量化、管理自动化的新...
数字时代:零信任剑行天下 拥抱零信任2.0.pdf
02-03
综上所述,零信任安全模型是数字时代的关键安全策略,它以持续验证、动态适应和最小权限为核心,旨在保护数字经济的各个层面,从基础设施到应用程序,从个人到整个组织。随着技术的不断发展,零信任将进一步深化和...
身份管理」黑客攻击事件2011 - 零信任.zip
11-24
身份管理】黑客攻击事件2011 - 零信任 在2011年,身份管理领域遭遇了一系列重大黑客攻击,这些攻击事件揭示了传统安全策略的不足,促使了零信任安全模型的兴起。零信任理念的核心是“永不信任,始终验证”,即...
使用SPIRE(自动)提供TLS证书给Envoy以进行更强大的身份验证
weixin_44100234的博客
03-08 913
使用SPIRE(自动)提供TLS证书给Envoy以进行更强大的身份验证 作者:Andrew Harding 你好!这是来自Scytale的Andrew Harding。如果你目前正在使用Envoy提供安全的服务到服务通信,我想向你展示如何利用开源SPIRE项目,通过基于多个因子工作负载认证,自动交付和轮换密钥和证书来显着提高你的身份验证安全性。 Envoy和SPIRE已经存在了一段时间,但我...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 566
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
Karen198的博客
07-31 423
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 484
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 335
1.导入hutool的maven依赖。2.直接复制一下代码运行。
26.jdk源码阅读之ConcurrentLinkedQueue
前端、移动端、后端源码级底层原理分享
07-29 951
ConcurrentLinkedQueue 是 Java 中提供的一个基于无界非阻塞算法的线程安全队列。它是一个适用于高并发环境的队列实现,基于链表结构。
Java并发(十一)一文搞懂Java并发各种容器
m0_58466443的博客
07-29 833
同步容器将所有对容器状态的访问都串行化,以保证线程安全性,这种策略会严重降低并发性。Java 1.5 后提供了多种并发容器,使用并发容器来替代同步容器,可以极大地提高伸缩性并降低风险。并发容器对应的普通容器描述HashMapJava 1.8 之前采用分段锁机制细化锁粒度,降低阻塞,从而提高并发性;Java 1.8 之后基于 CAS 实现。SortedMap基于跳表实现的ArrayListSet基于实现。SortedSet基于实现。Queue线程安全的无界队列。底层采用单链表。支持 FIFO。
数据中心零信任实践:微隔离的基石与关键技术
1. **边界管理**:零信任访控不再局限于单一的域间边界,而是扩展到访问两端,既控制基础设施(如IP地址和端口)的访问,也监控业务访问,如根据业务角色和安全状态来确定访问权限。 2. **决策机制**:零信任采用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值