Skip to content

安全加固 · 纵深防御

安全不是单点防护,而是纵深防御:以 SPIFFE 工作负载身份为核心,层层叠加密码、证书、威胁情报、主机入侵检测、加密隧道等加固——任一层被突破,后一层仍在。

SPIRE 内建纵深防御

身份层的第一道纵深,在 SPIRE 源码层面就已内建(详见 SVID 颁发流程):

机制一句话
主体不能自证身份CSR 不含 SPIFFE ID,身份由 Server 依认证结果裁定,杜绝伪造。
短生命周期 + 自动轮换X.509-SVID 默认 1h、JWT 默认 5m,临期自动轮换,泄露窗口极小。
私钥不落盘工作负载私钥永不离机;签名私钥留在 KeyManager(可 HSM/KMS)不导出。
有效期封顶链SVID 被签发 CA 封顶,CA 被上游封顶,失效自上而下传播。
防 PID 复用认证后二次校验进程仍存活,防 PID 回收后冒领身份。
方法级 OPA 授权每个 gRPC 方法按五档权限判定,传输层身份 ≠ 授权。
签发后校验每次签名后复核产物是否符合 SPIFFE 约束。
CA 污点与撤销支持 TaintX509CA / RevokeX509CA,泄露时强制下游轮换并撤销旧授权。
审计日志记录注册变更、认证、签发等关键操作。

生产加固清单

  • [ ] 密钥托管:CA 私钥交 HSM/KMS(KMS / Key Vault / Vault Transit),不用 memory/disk
  • [ ] 强认证:禁用弱认证(join_token),改用平台绑定强认证(云 IID / k8s_psat / x509pop / tpm_devid)。
  • [ ] 精确 selector:注册条目用精确、组合选择器,避免过宽匹配导致越权取证。
  • [ ] TCP 仅 mTLS:Server TCP 端点只接受 mTLS,管理类 API 走本机 UDS。
  • [ ] 速率限制:为认证 / 签发接口开启限流,防止被滥用。
  • [ ] 审计接 SIEM:开启审计日志并接入 SIEM,留痕可追溯。
  • [ ] 监控到期:监控 CA 到期时间、SVID 签发速率、Agent 在线数(Prometheus)。

通过多层产品加固

SPIFFE 身份回答"服务是谁",但生产安全还要覆盖密码、证书、网络、主机与情报。BetaCome 以身份为核心,在外围叠加加固产品,组成纵深防御:

加固层产品一句话
凭据与访问密码管理机密集中托管、权限分级、到期自动轮转,取代散落明文密钥。
凭据与访问证书自动轮转TLS 证书自动申请、部署与续期,消除证书过期事故。
凭据与访问SSH 安全短时证书登录取代长期公钥,集中授权、全程审计。
网络加密隧道 iotunnel跨网加密隧道与内网穿透,连接既看不见也认得准。
检测与响应威胁情报情报订阅、IOC 匹配、失陷检测,与身份行为联动。
检测与响应主机入侵检测 HIDS文件完整性、进程与日志异常检测,守住主机层。

深入

需要为你的环境做一轮纵深加固评估?联系我们

内容基于 SPIFFE/SPIRE 官方开源资料整理与翻译,仅供学习交流;商标与版权归各自所有者。SPIFFE 与 SPIRE 是 CNCF 项目。