本书介绍了服务身份的 SPIFFE 标准,以及 SPIFFE 的参考实现 SPIRE。这些项目为现代异构基础设施提供了一个统一的身份控制平面。这两个项目都是开源的,隶属于云原生计算基金会(CNCF)。
随着企业发展他们的应用架构以充分利用新的基础设施技术,他们的安全模式也必须不断发展。软件已经从一个单片机上的单个应用发展到了几十甚至几百个紧密联系的微服务,这些微服务可能分布在公共云或私人数据中心的数千个虚拟机上。在这个新的基础设施世界里,SPIFFE 和 SPIRE 帮助保障系统的安全。
本书努力提炼了 SPIFFE 和 SPIRE 的最重要的专家经验,以提供对身份问题的深刻理解,并协助你解决这些问题。通过这些项目,开发和运维可以利用新的基础设施技术构建软件,同时让安全团队摆脱昂贵和耗时的人工安全流程。
关于零号乌龟
访问控制、秘密管理和身份是相互依赖的。大规模地管理秘密需要有效的访问控制;实施访问控制需要身份;证明身份需要拥有一个秘密。保护一个秘密需要想出一些办法来保护另一个秘密,这就需要保护那个秘密,以此类推。
这让人想起一个著名的轶事:一个女人打断了一位哲学家的讲座,告诉他世界是在乌龟的背上。当哲学家问她乌龟靠的是什么时,她说:“还是乌龟!"。找到底层的乌龟,即所有其他安全所依赖的坚实基础,是 SPIFFE 和 SPIRE 项目的目标。
本书封面上的 “零号乌龟” 就是这只底层乌龟。零代表了数据中心和云计算的安全基础。零号是值得信赖的,愉快地支持所有其他的乌龟。
SPIFFE 和 SPIRE 是帮助你为你的组织找到底层乌龟的项目。通过这本书中的工具,我们希望你也能为 “底层乌龟” 找到一个家。