spire 标签归档

共 4 篇文章 · 返回首页

【身份与访问控制工程】服务身份：mTLS、SPIFFE/SPIRE 与 Workload Identity

2026-06-17 | architecture · security | #mtls #spiffe #spire #workload-identity #x509 #svid #oauth2 #jwt-profile #service-mesh #zero-trust

前 9 篇讨论的都是'人'的身份——用户怎么登录、怎么验证。但微服务世界中，80% 的 API 调用是服务之间的。服务身份（Workload Identity）是整个 IAM 体系的另一半：mTLS 解决'传输层你是谁'，SPIFFE/SPIRE 解决'在平台层你是谁且怎么证明'，JWT Profile for OAuth 解决'我怎么拿到一个服务身份的 Token'。本文从这三条线拆解服务身份的工程实现。

【零信任安全架构】mTLS 大规模部署的工程现实：联邦、故障排查与根 CA 轮换

2026-06-12 | architecture · security | #mtls #spire #spiffe #federation #root-ca-rotation #certificate-lifecycle #envoy #sds #zero-trust

mTLS 是零信任服务间通信的基石，但从'单集群内启用 mTLS'到'全公司多集群、混合云的 mTLS'，中间隔着 SPIRE 联邦、跨信任域证书验证、mTLS 握手并发瓶颈、连接池协议兼容性和故障排查等工程问题。本文不重复 SPIFFE/SPIRE 基础，而是聚焦大规模部署中才暴露的问题。

零信任安全架构深度系列

2026-06-12 | architecture · security | #zero-trust #beyondcorp #nist-sp800-207 #spiffe #spire #mtls #microsegmentation #device-posture #continuous-verification #ztna #cisa

零信任是 IAM 的自然延伸——当身份变成新边界，VPN 的'拨入即信任'模型必须被'永不信任、始终验证'取代。本系列从 NIST SP 800-207 规范、Google BeyondCorp 六篇论文、SPIFFE/SPIRE 联邦到微分段、持续验证、ZTNA 和零信任迁移的工程策略，系统拆解零信任的每一种组件和每一步实施。

【网络工程】mTLS 工程实践：服务间双向认证

2025-08-05 | network | #tls #mtls #spiffe #spire #istio #certificate #zero-trust

mTLS（双向 TLS）在微服务架构中实现服务间的身份认证和通信加密。本文从工程角度剖析 mTLS 的握手流程差异、证书分发的三种模式、SPIFFE/SPIRE 的标准化身份框架，以及 Istio 和 Linkerd 中 mTLS 的实现原理。覆盖性能开销测量、调试方法和大规模部署的证书轮换策略。