《零信任的基石:使用 SPIFFE 为基础设施创建通用身份》翻译电子书分享

最新推荐文章于 2024-05-01 19:17:00 发布
最新推荐文章于 2024-05-01 19:17:00 发布
阅读量102 收藏
点赞数
文章标签: java 大数据 编程语言 区块链 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38754564/article/details/127218909
版权

78d99596349fee5616869b16c7b7643c.gif

国庆假期除了去浙江和安徽玩了一圈欣赏江南山水和徽派建筑之外,还抽空翻译了一本电子书。本书译自 Solving the Bottom Turtle — a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity。你可以选择在线阅读(推荐):https://lib.jimmysong.io/spiffe/,或者下载本书中文版 PDF(关注本公众号在后台回复 SPIFFE 即可获得下载链接)。

1f9d85e4e9d8f23960dd39e288ecf19f.jpeg

目录

  1. 1. SPIFFE 的历史和动机

  2. 2. 收益

  3. 3. 身份背后的通用概念

  4. 4. SPIFFE 和 SPIRE 概念介绍

  5. 5. 开始前的准备

  6. 6. 设计一个 SPIRE 部署

  7. 7. 与其他系统集成

  8. 8. 使用 SPIFFE 身份通知授权

  9. 9. SPIFFE 与其他安全技术对比

  10. 10. 从业者故事

关于本书

本书介绍了服务身份的 SPIFFE 标准,以及 SPIFFE 的参考实现 SPIRE。这些项目为现代异构基础设施提供了一个统一的身份控制平面。这两个项目都是开源的,是云原生计算基金会(CNCF)的一部分。

随着企业发展他们的应用架构以充分利用新的基础设施技术,他们的安全模式也必须不断发展。软件已经从一个盒子上的单片机发展到几十或几百个紧密联系的微服务,这些微服务可能分布在公共云或私人数据中心的数千个虚拟机上。在这个新的基础设施世界里,SPIFFE 和 SPIRE 帮助保持系统的安全。

本书努力提炼 SPIFFE 和 SPIRE 的最重要的专家的经验,以提供对身份问题的深刻理解,帮助你解决这个问题。通过这些项目,开发和运维可以使用新的基础设施技术构建软件,同时让安全团队从昂贵和耗时的人工安全流程中解脱出来。

关于零号乌龟

访问控制、秘密管理和身份都是相互依赖的。大规模地管理秘密需要有效的访问控制;实施访问控制需要身份;证明身份需要拥有一个秘密。保护一个秘密需要想出一些办法来保护另一个秘密,这就需要保护那个秘密,以此类推。

这让人想起一个著名的轶事:一个女人打断了一位哲学家的讲座,告诉他世界是在乌龟的背上。当哲学家问她乌龟靠的是什么时,她说:“还是乌龟!"。找到底层的乌龟,即所有其他安全所依赖的坚实基础,是 SPIFFE 和 SPIRE 项目的目标。

本书封面上的 “零号乌龟” 就是这只底层乌龟。零代表了数据中心和云计算的安全基础。零号是值得信赖的,愉快地支持所有其他的乌龟。

SPIFFE 和 SPIRE 是帮助你为你的组织找到底层乌龟的项目。通过这本书中的工具,我们希望你也能为 “底层乌龟” 找到一个家。

获取更多云原生社区资讯,加入微信群,请加入云原生社区,点击阅读原文了解更多。

weixin_38754564
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Gartner&奇安信联合白皮书:《零信任架构及解决方案》.pdf
02-25
零信任安全架构基于“以身份基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力,构筑以身份基石的动态虚拟边界产品与解决方案,助力企业实现全面身份 化、授权动态化、风险度量化、管理自动化的新...
SPIFFESPIRE:云安全身份验证的标准和实现
DaoCloud_daoke的博客
08-29 736
在容器化、微服务、公有云和私有云流行起来之前,基于边界的网络模型已经在传统企业内使用了 20 多年。这种安全模型将网络划分为不同的隔离区,不同区域之间又通过防火墙进行隔离,它假设同一隔离区内的任何人都是可信的,隔离区外的任何人都是不可信的。这一模型在近 10 年间暴露出了很多缺陷...
云原生项目SPIFFESPIRE之间的关系
qq_25650463的博客
10-13 1073
SPIFFESPIRE 是一对的,SPIFFE 定义了服务的认证标准和认证信息的标准,SPIRE 是它的一个实现,但是目前还没有达到生产可用。 参考地址:https://blog.csdn.net/M2l0ZgSsVc7r69eFdTj/article/details/78955606 近日,SPIFFESPIRE 通过 CNCF 技术监督委员会(Technical Oversight Committee,TOC)投票,成为孵化级托管项目。SPIFFE 规范定义了一种标准,通过使用平台无感的加密
基于SDP技术构建零信任安全
yib0y的博客
03-11 6996
视频链接: http://picture.17wclass.com/kc/20200228/13293828022063d5f518194200.mp4 内容摘要: 物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。 但随着业务迁移到云端,APT攻击的泛滥,以及...
零信任安全:SPIFFESPIRE 通用身份验证的标准和实现
hanfengzxh的博客
09-16 614
最近正在读 《Solving the Bottom Turtle》 这本书,这篇是对部分内容的总结和思考,由于内容较多,会分几篇来发。 这本书的副标题是: a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity. 通过通用身份SPIFFE 的方式在基础设施中建立信任。 大家记住其中的有几个关键词:通用身份SPIFFE 的方式、基础设施、建立信任。 背景 零信任是一种异常火热的安全模型,在之前翻译
为什么 Istio 要使用 SPIRE 做身份认证?
ServiceMesher
06-22 194
今年 6 月初,Istio 1.14 发布[1],该版本中最值得关注的特性是新增对 SPIRE 的支持。SPIFFE[2]和 SPIRE 都是 CNCF 孵化项目,其中 SPIRE 是 SPIFFE 的实现之一。本文将带你了解 SPIRE 对于零信任架构的意义,以及 Istio 是为何使用 SPIRE 实现身份认证。Kubernetes 中的身份认证我们都知道 Is...
快手:社区为基石,信任为风帆-中金公司-20210413.pdf
04-17
快手:社区为基石,信任为风帆-中金公司-20210413.pdf
慈善基础设施:全球慈善行业的基石2020精品报告.pdf
04-24
慈善基础设施:全球慈善行业的基石2020精品报告.pdf
2021第二届国际零信任峰会PPT汇总(11份).zip
02-08
2021第二届国际零信任峰会将以“数字时代:零信任剑行天下”为主题,着重围绕着零信任与SASE、ZTE、云原生等新理念与技术在中国的落地实践展开探讨。 1、零信任落地挑战及解决之道 2、零信任在云平台上的实践 3、...
2021最新零信任技术和安全实践及研究报告白皮书等合集(44份).zip
09-29
微软《零信任成熟度模型》 微软安全零信任应用报告 微软实施零信任安全模型 2020零信任技术报告 2020零信任架构 2021零信任安全态势白皮书 2021零信任解决方案白皮书 ...NIST《零信任架构规划》白皮书-英文版和翻译
使用SPIRE(自动)提供TLS证书给Envoy以进行更强大的身份验证
weixin_44100234的博客
03-08 897
使用SPIRE(自动)提供TLS证书给Envoy以进行更强大的身份验证 作者:Andrew Harding 你好!这是来自Scytale的Andrew Harding。如果你目前正在使用Envoy提供安全的服务到服务通信,我想向你展示如何利用开源SPIRE项目,通过基于多个因子工作负载认证,自动交付和轮换密钥和证书来显着提高你的身份验证安全性。 Envoy和SPIRE已经存在了一段时间,但我...
解读零信任身份管理
weixin_70101757的博客
07-25 590
如何识别用户身份,确保安全的前提是保证访问的用户和其代表的身份是一致的,是系统安全的前提和关键。另一方面,企业很难对内部员工的网络环境、应用操作行为进行精准识别和判断,缺少较强的认证机制,误操作、违规操作极难被监控,尤其最近疫情期间的远程办公环境下,这类问题集中暴露,甚至引发了一些严重的安全事故。用户的可信建立在对用户进行认证的基础上,用户提供动态口令、人脸识别、指纹识别以及认证令牌等方式进行身份鉴别,结合用户行为、地址位置、访问时间等进行风险分析与判断,并实时做出调整。设计零信任框架下的身份管理系统,..
用Calico、SPIRE和Envoy实现零信任服务网格
sun007700的专栏
08-24 493
https://v.qq.com/x/page/r0877dlsl09.html
链表刷题集
yajunjiao的专栏
04-30 813
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
最新发布
????
05-01 1798
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1348
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 653
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1160
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
云原生分布式存储基石:etcd深入解析 pdf 下载
07-29
云原生分布式存储基石:etcd深入解析是一本专门探讨etcd的书籍,对于想要深入了解etcd的人来说是一本非常重要和有价值的资料。 etcd是一个高可用、持久化的键值存储系统,它主要用于分布式系统中的数据共享和配置同步。云计算和容器技术的发展使得分布式系统的数量和复杂度越来越高,etcd作为一个高性能的一致性分布式存储系统,在这样的环境中扮演着非常重要的角色。 通过深入解析etcd,读者可以了解到etcd的基本原理、架构设计和实现细节。它涵盖了etcd的核心概念,包括分布式一致性算法、raft协议、数据复制和数据恢复等。此外,它还介绍了etcd在具体场景下的应用,比如服务发现、分布式配置管理等。 通过阅读《云原生分布式存储基石:etcd深入解析》,读者可以学习到以下内容: 1. etcd的特点和优势:了解etcd相对于其他分布式存储系统的优势,以及为什么它在云原生应用开发中被广泛采用。 2. etcd的架构和原理:深入了解etcd的工作原理,比如如何实现数据的一致性、如何管理节点、如何处理故障等。 3. etcd的应用场景:了解etcd在实际场景中的应用,比如容器编排、微服务架构、分布式事务等。 4. etcd的最佳实践和性能优化:学习如何正确配置和使用etcd,在实际应用中获取最佳性能和稳定性。 《云原生分布式存储基石:etcd深入解析》对于开发人员、系统架构师和运维人员来说都是一本非常有价值的参考书。它提供了详细的技术细节和实践经验,帮助读者更好地理解和使用etcd,从而构建更强大、高性能的分布式系统。为了获取该书的PDF版本,你可以尝试在相关的网站或者电子书店进行搜索和购买。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值