SPIFFE

本书介绍了服务身份的 SPIFFE 标准，以及 SPIFFE 的参考实现 SPIRE。这些项目为现代异构基础设施提供了一个统一的身份控制平面。这两个项目都是开源的，是云原生计算基金会（CNCF）的一部分。 随着企业发展他们的应用架构

本书系统的讲解了 SPFFE 来解决零信任的身份问题。

本章介绍了 SPIFFE 的动机和它是如何诞生的。 压倒性的动机和需要 我们到达今天的位置，首先要经历一些成长的痛苦。 当互联网在 1981 年首次广泛使用时，它只有 213 个不同的服务器，而安全问题几乎没有被考虑到。随着互联计算机数量

本章从业务和技术的角度解释了在基础设施中部署 SPIFFE 和 SPIRE 的好处。 适用于任何地方任何人 SPIFFE 和 SPIRE 旨在加强对软件组件的识别，以一种通用的方式，任何人在任何地方都可以在分布式系统中加以利用。现代基础设施的技术环境是错

本章解释了什么是身份，以及分配、管理和使用身份的基本知识。这些是你需要知道的概念，以便了解 SPIFFE 和 SPIRE 的工作方式。 什么是身份？ 对于人类来说，身份是复杂的。人类是独特的个体，不能被克隆，也不能用替代的代码取代

在第三章介绍的概念基础上，本章说明了 SPIFFE 标准。解释 SPIRE 实现的组成部分以及它们是如何结合在一起的。最后，讨论威胁模型以及如果特定组件被破坏会发生什么。 什么是 SPIFFE？ 普适安全生产身份框架（SPIFFE）

本章旨在让你为上线 SPIFFE/SPIRE 时需要做出的许多决定做好准备。 准备人力 如果你读了前面的章节，你一定很想开始使用 SPIRE，以一种可以在许多不同类型的系统和所有组织的服务中利用的方式管理身份。然而，在你开始之前，你

读者将了解到 SPIRE 部署的组成部分，有哪些部署模式，以及在部署 SPIRE 时需要考虑哪些性能和安全问题。 你的 SPIRE 部署的设计应满足你的团队和组织的技术要求。它还应包括支持可用性、可靠性、安全性、可扩展性和性能的要求。该设

本章探讨了 SPIFFE 和 SPIRE 如何与环境集成。 SPIFFE 从一开始就被设计成可插拔和可扩展的，所以将 SPIFFE 和 SPIRE 与其他软件系统集成的话题是一个广泛的话题。一个特定的集成的架构超出了本书的范围。相反，本章意在捕捉一些可能的常见集成，

本章解释了如何实施使用 SPIFFE 身份的授权策略。 在 SPIFFE 的基础上建立授权 SPIFFE 专注于软件安全加密身份的发布和互操作性，但正如本书前面提到的，它并不直接解决这些身份的使用或消费问题。 SPIFFE 经常作为一个强大的授权系统的基石，