安全增强档 · SPIFFE Hardened Plus
Hardened Plus 是 BetaCome 在 SPIFFE 标准之上收敛的一套安全增强实施档:裁剪出更小的可信子集 + 叠加更严格的安全约束,面向金融、政府、能源、医疗等对安全等级、合规、供应链有更高要求的场景。它完全兼容 SPIFFE——是 SPIFFE 的一个受约束实施档,而非另一套标准。想获取加固基线或参与试点,联系我们。
为什么需要一个"增强档"
SPIFFE 标准 为了通用性,很多地方给了"MAY / SHOULD"的弹性(可选的算法、可选的 EKU、宽松的 TTL、多种 attestation…)。这种弹性利于普及,但在金融、政府、能源、医疗等高安全场景反而成为负担:
- 弹性 = 攻击面:能力越多、可选项越多,配错、被滥用的空间越大。
- 合规要口径:等保 2.0 / 密评 / 行业规范往往要求确定的算法、确定的密钥托管、确定的审计,而非"可选"。
- 供应链信任:高安全场景希望身份强绑定硬件根信任,而不只是软令牌。
安全增强档做的事:把这些"可选"收敛成"必须",把大而全裁成小而硬。
增强档拟约束的方向(草案)
以下为设计方向,具体条款随版本演进(以最终发布版为准):
| 维度 | SPIFFE 标准(通用) | 安全增强档(收敛方向) |
|---|---|---|
| 节点认证 | 多种可选(join_token / 云 IID / k8s_psat …) | 强制硬件根信任(TPM tpm_devid 等),禁用一次性弱令牌用于长存节点 |
| 密钥托管 | KeyManager 可为 memory/disk/KMS | 强制 HSM / KMS,CA 私钥禁止落盘 |
| SVID 有效期 | 默认 1h,可配 | 更短 TTL + 更激进轮换,收紧泄露窗口 |
| 算法 | 可 EC / RSA 多档 | 收敛为审定算法档(如指定曲线/长度;可选国密演进) |
| X.509 约束 | 名称约束 MAY | 强制名称约束(name constraints),限制签发爆炸半径 |
| SVID 类型 | X.509 / JWT / WIT | 按场景白名单允许的类型,禁用不需要的载体 |
| 授权与审计 | 方法级 OPA + 可选审计 | 强制审计日志接 SIEM、最小权限、下游/admin 条目严格管控 |
| 联邦 | 支持 https_web / https_spiffe | 高安全域收敛认证 profile 与 bundle 分发流程 |
这些方向都能在现有 SPIRE 上通过配置 + 插件 + 策略落地——增强档的价值,是把它们固化成可核查的一致口径,并配套加固基线与合规映射。
与 SPIFFE 标准的关系
兼容性承诺:增强档签发的 SVID 仍是标准 SPIFFE SVID,可被任何标准 SPIFFE 验证方接受;增强只是"更严的签发/运行侧约束",不破坏互操作。
路线图(概要)
- v0(现在):方向与口径草案(本页)。
- v0.x:发布可执行的加固基线(server/agent 配置模板 + OPA 策略集 + 校验清单)。
- v1:配套合规映射(等保 2.0 / 密评 / 行业规范逐条对照)与审计报表模板。
想参与定义、试点或获取加固基线,请联系我们。