安全加固 · 纵深防御
安全不是单点防护,而是纵深防御:以 SPIFFE 工作负载身份为核心,层层叠加密码、证书、威胁情报、主机入侵检测、加密隧道等加固——任一层被突破,后一层仍在。
SPIRE 内建纵深防御
身份层的第一道纵深,在 SPIRE 源码层面就已内建(详见 SVID 颁发流程):
| 机制 | 一句话 |
|---|---|
| 主体不能自证身份 | CSR 不含 SPIFFE ID,身份由 Server 依认证结果裁定,杜绝伪造。 |
| 短生命周期 + 自动轮换 | X.509-SVID 默认 1h、JWT 默认 5m,临期自动轮换,泄露窗口极小。 |
| 私钥不落盘 | 工作负载私钥永不离机;签名私钥留在 KeyManager(可 HSM/KMS)不导出。 |
| 有效期封顶链 | SVID 被签发 CA 封顶,CA 被上游封顶,失效自上而下传播。 |
| 防 PID 复用 | 认证后二次校验进程仍存活,防 PID 回收后冒领身份。 |
| 方法级 OPA 授权 | 每个 gRPC 方法按五档权限判定,传输层身份 ≠ 授权。 |
| 签发后校验 | 每次签名后复核产物是否符合 SPIFFE 约束。 |
| CA 污点与撤销 | 支持 TaintX509CA / RevokeX509CA,泄露时强制下游轮换并撤销旧授权。 |
| 审计日志 | 记录注册变更、认证、签发等关键操作。 |
生产加固清单
- [ ] 密钥托管:CA 私钥交 HSM/KMS(KMS / Key Vault / Vault Transit),不用
memory/disk。 - [ ] 强认证:禁用弱认证(
join_token),改用平台绑定强认证(云 IID /k8s_psat/x509pop/tpm_devid)。 - [ ] 精确 selector:注册条目用精确、组合选择器,避免过宽匹配导致越权取证。
- [ ] TCP 仅 mTLS:Server TCP 端点只接受 mTLS,管理类 API 走本机 UDS。
- [ ] 速率限制:为认证 / 签发接口开启限流,防止被滥用。
- [ ] 审计接 SIEM:开启审计日志并接入 SIEM,留痕可追溯。
- [ ] 监控到期:监控 CA 到期时间、SVID 签发速率、Agent 在线数(Prometheus)。
通过多层产品加固
SPIFFE 身份回答"服务是谁",但生产安全还要覆盖密码、证书、网络、主机与情报。BetaCome 以身份为核心,在外围叠加加固产品,组成纵深防御:
| 加固层 | 产品 | 一句话 |
|---|---|---|
| 凭据与访问 | 密码管理 | 机密集中托管、权限分级、到期自动轮转,取代散落明文密钥。 |
| 凭据与访问 | 证书自动轮转 | TLS 证书自动申请、部署与续期,消除证书过期事故。 |
| 凭据与访问 | SSH 安全 | 短时证书登录取代长期公钥,集中授权、全程审计。 |
| 网络 | 加密隧道 iotunnel | 跨网加密隧道与内网穿透,连接既看不见也认得准。 |
| 检测与响应 | 威胁情报 | 情报订阅、IOC 匹配、失陷检测,与身份行为联动。 |
| 检测与响应 | 主机入侵检测 HIDS | 文件完整性、进程与日志异常检测,守住主机层。 |
深入
- Hardened Plus 安全增强档 —— 在 SPIFFE 标准之上叠加更严约束
- 合规性对比 —— 对照合规要求看纵深防御的覆盖
- SVID 颁发流程 —— 身份层安全机制的代码级依据
需要为你的环境做一轮纵深加固评估?联系我们。