Skip to content

安全增强档 · SPIFFE Hardened Plus

Hardened PlusBetaCome 在 SPIFFE 标准之上收敛的一套安全增强实施档:裁剪出更小的可信子集 + 叠加更严格的安全约束,面向金融、政府、能源、医疗等对安全等级、合规、供应链有更高要求的场景。它完全兼容 SPIFFE——是 SPIFFE 的一个受约束实施档,而非另一套标准。想获取加固基线或参与试点,联系我们

为什么需要一个"增强档"

SPIFFE 标准 为了通用性,很多地方给了"MAY / SHOULD"的弹性(可选的算法、可选的 EKU、宽松的 TTL、多种 attestation…)。这种弹性利于普及,但在金融、政府、能源、医疗等高安全场景反而成为负担:

  • 弹性 = 攻击面:能力越多、可选项越多,配错、被滥用的空间越大。
  • 合规要口径:等保 2.0 / 密评 / 行业规范往往要求确定的算法、确定的密钥托管、确定的审计,而非"可选"。
  • 供应链信任:高安全场景希望身份强绑定硬件根信任,而不只是软令牌。

安全增强档做的事:把这些"可选"收敛成"必须",把大而全裁成小而硬。

增强档拟约束的方向(草案)

以下为设计方向,具体条款随版本演进(以最终发布版为准):

维度SPIFFE 标准(通用)安全增强档(收敛方向)
节点认证多种可选(join_token / 云 IID / k8s_psat …)强制硬件根信任(TPM tpm_devid 等),禁用一次性弱令牌用于长存节点
密钥托管KeyManager 可为 memory/disk/KMS强制 HSM / KMS,CA 私钥禁止落盘
SVID 有效期默认 1h,可配更短 TTL + 更激进轮换,收紧泄露窗口
算法可 EC / RSA 多档收敛为审定算法档(如指定曲线/长度;可选国密演进)
X.509 约束名称约束 MAY强制名称约束(name constraints),限制签发爆炸半径
SVID 类型X.509 / JWT / WIT按场景白名单允许的类型,禁用不需要的载体
授权与审计方法级 OPA + 可选审计强制审计日志接 SIEM、最小权限、下游/admin 条目严格管控
联邦支持 https_web / https_spiffe高安全域收敛认证 profile 与 bundle 分发流程

这些方向都能在现有 SPIRE 上通过配置 + 插件 + 策略落地——增强档的价值,是把它们固化成可核查的一致口径,并配套加固基线合规映射

与 SPIFFE 标准的关系

兼容性承诺:增强档签发的 SVID 仍是标准 SPIFFE SVID,可被任何标准 SPIFFE 验证方接受;增强只是"更严的签发/运行侧约束",不破坏互操作。

路线图(概要)

  • v0(现在):方向与口径草案(本页)。
  • v0.x:发布可执行的加固基线(server/agent 配置模板 + OPA 策略集 + 校验清单)。
  • v1:配套合规映射(等保 2.0 / 密评 / 行业规范逐条对照)与审计报表模板。

想参与定义、试点或获取加固基线,请联系我们

相关阅读

内容基于 SPIFFE/SPIRE 官方开源资料整理与翻译,仅供学习交流;商标与版权归各自所有者。SPIFFE 与 SPIRE 是 CNCF 项目。