資訊專欄INFORMATION COLUMN
摘要:傳遞與雙向聯(lián)邦和具有與聯(lián)邦相同的,稱為跨領(lǐng)域信任。在中,彼此不完全信任的組織可能仍希望聯(lián)邦其信任域。為此,他們聯(lián)邦各自的信任域。這意味著檢查百事可樂不是被可口可樂的簽名。
作者:Daniel Feldman
介紹聯(lián)邦信任域是SPIFFE和SPIRE最高需求和活躍開發(fā)的功能之一。在這篇博文中,我將概述我們當(dāng)前的計劃以及實施它的挑戰(zhàn)。
什么是聯(lián)邦?SPIFFE信任域中的證書共享一個信任根。 這是一個根信任捆綁包,由使用非標準化格式和協(xié)議在控制平面之間和內(nèi)部共享的多個證書組成。
然而,這還不夠好。許多組織都有多個信任根源:可能是因為他們與不同的管理員有不同的組織劃分,或者因為他們有偶爾需要溝通的獨立的臨時和生產(chǎn)環(huán)境。類似的用例是組織之間的SPIFFE互操作性,例如云供應(yīng)商與其客戶之間的互操作性。這兩種用例都需要一個定義明確、可互操作的方法,以便一個信任域中的工作負載對不同信任域中的工作負載進行身份驗證。這是聯(lián)邦。
聯(lián)邦設(shè)計要實現(xiàn)聯(lián)邦,我們必須在不同的SPIFFE服務(wù)器之間共享公鑰。這不是一次性操作;由于密鑰輪換,每個信任域的公鑰會定期更改。每個聯(lián)邦域必須定期下載其他域的公鑰,其頻率至少與密鑰輪換一樣快。
定期下載證書的數(shù)據(jù)格式尚未最終確定。我們目前的想法是讓SPIFFE的實現(xiàn)去使用JWKS格式,在一個眾所周知的URL上公開發(fā)布證書。然后,要啟動聯(lián)邦關(guān)系,實現(xiàn)可以下載JWKS數(shù)據(jù),并從中導(dǎo)入證書。
我們喜歡JWKS,因為它是一種通用的、可擴展的格式,用于共享可以容納JWT和X.509證書的密鑰信息。(出于安全原因,SPIFFE需要不同的JWT和X.509標識的密鑰材料 - 它們不能只是以不同格式編碼的相同公鑰。)JWKS的靈活性允許單個聯(lián)邦A(yù)PI支持JWT和X.509 。
工作負載APISPIFFE工作負載API提供用于讀取聯(lián)邦公鑰的端點。此API與用于讀取當(dāng)前信任域的證書的API不同,所以應(yīng)用程序可以區(qū)分本地和聯(lián)邦域的客戶端。
SPIRE的實驗支持雖然它尚未正式標準化為SPIFFE的一部分,但是SPIRE已經(jīng)可以提供JWKS的實驗性實施。
挑戰(zhàn) 外部SPIFFE服務(wù)器的初始身份驗證聯(lián)邦A(yù)PI存在引導(dǎo)問題:如果雙方都沒有共享信任根,則無法建立初始安全連接。其一種解決方案,是使用兩個SPIFFE服務(wù)器信任的證書頒發(fā)機構(gòu)的Web PKI。另一種解決方案,是使用手動身份驗證機制來消除對公共證書頒發(fā)機構(gòu)(CA)的需求。
SPIRE使用與節(jié)點和工作負載注冊類似的方式實現(xiàn)聯(lián)邦。隨著我們擴展注冊API,可以通過該API操作聯(lián)邦,就像節(jié)點和工作負載注冊一樣。
網(wǎng)絡(luò)中斷容錯每次SPIFFE實現(xiàn),從同等的SPIFFE實現(xiàn),導(dǎo)入新證書時,它都會使用上一個已知捆綁包對連接進行身份驗證。如果網(wǎng)絡(luò)中斷很長,并且兩個SPIFFE實現(xiàn)無法通信,超過完整的密鑰輪換周期,那么它們將無法繼續(xù)進行通信,從而破壞了聯(lián)邦關(guān)系。
其一種解決方案,是將密鑰輪換間隔,設(shè)置為長于可能的最長網(wǎng)絡(luò)中斷長度(或者如果發(fā)生長中斷,則重新初始化聯(lián)邦)。這是設(shè)計權(quán)衡:如果密鑰輪換間隔較長,則受損密鑰也將在較長時間內(nèi)保持有效。
或者,如果Web PKI可用于SPIFFE服務(wù)器,則可用于保護聯(lián)邦連接。我們相信聯(lián)邦SPIFFE服務(wù)器之間的Web PKI,將是一種常見的設(shè)計模式,因為它避免了長網(wǎng)絡(luò)中斷導(dǎo)致密鑰輪換的問題。
傳遞與雙向聯(lián)邦Kerberos和Active Directory具有與聯(lián)邦相同的,稱為“跨領(lǐng)域信任”。在大多數(shù)情況下,跨領(lǐng)域信任是雙向的(雙方互相信任)和傳遞(如果A信任B,B信任C,然后A信托C)。
SPIFFE中的雙向聯(lián)邦通常(但并非總是如此)是可取的。對于公共API,API提供程序可能希望使用Web PKI來保護連接的服務(wù)器端,并使用SPIFFE來保護客戶端。因此,我們不會自動配置雙向聯(lián)邦。
對于具有許多信任域的大型組織,傳遞聯(lián)邦可以簡化實現(xiàn)復(fù)雜性。但是,傳遞聯(lián)邦可能難以推斷SPIFFE實現(xiàn)的安全屬性。出于這個原因,我們現(xiàn)在沒有在SPIFFE中實現(xiàn)傳遞聯(lián)邦。
目前,用戶必須通過添加更多聯(lián)邦關(guān)系,來手動配置傳遞和雙向聯(lián)邦。
聯(lián)邦信任域SVID的范圍在Web PKI中,每個人都信任相同的根證書頒發(fā)機構(gòu)。在SPIFFE中,彼此不完全信任的組織可能仍希望聯(lián)邦其信任域。應(yīng)用程序必須驗證每個SVID是否由擁有該信任域的SPIFFE服務(wù)器頒發(fā)。
想象一個奇怪的世界,可口可樂和百事可樂必須交換數(shù)據(jù)。為此,他們聯(lián)邦各自的信任域。可口可樂的SPIFFE證書根,添加到百事可樂的信托商店,反之亦然。在證書驗證的簡單實現(xiàn)中,可口可樂服務(wù)器可以欺騙性地冒充百事可樂網(wǎng)絡(luò)上的百事可樂服務(wù)器,因為百事可樂信任可口可樂的根證書!
這是問題所在:根證書沒有“范圍”。任何CA都可以為任何名稱簽署證書。如果所有CA都受信任,例如在單個公司內(nèi),則可以。在具有多個CA的環(huán)境中,每個CA都應(yīng)該只允許簽署具有特定名稱的證書,不然這會導(dǎo)致安全漏洞。
防止這種情況的一種方法是使用X.509名稱約束擴展。名稱約束擴展允許將CA證書限制為為特定域名頒發(fā)證書。但是,在TLS庫中對名稱約束擴展的支持是有限的,并且它不能解決未來SPIFFE身份格式(如JWT)的問題。由于這些原因,SPIFFE不包括名稱約束擴展。
這意味著所有使用SVID的應(yīng)用程序都必須檢查SVID中的SPIFFE ID,是否與簽署證書的實際CA的信任域匹配。這意味著檢查百事可樂SVID不是被可口可樂的CA簽名。當(dāng)前廣泛使用的應(yīng)用程序(例如Web服務(wù)器和代理)不執(zhí)行此檢查。
結(jié)論聯(lián)邦對于SPIFFE的成功實施至關(guān)重要。但是,以安全和可用的方式實施它仍然存在挑戰(zhàn)。我們正在努力與社區(qū)一起努力應(yīng)對這些挑戰(zhàn),如果您有遠見,我們很樂意聽取您的意見!
要了解有關(guān)SPIFFE聯(lián)邦的更多信息:
查看新的Java SPIFFE Federation Demo,它演示了在Tomcat服務(wù)器環(huán)境中使用SPIRE在兩個域之間進行聯(lián)邦。
加入SPIFFE Slack與專家討論SPIFFE。
加入SPIFFE SIG-SPEC雙月會議,設(shè)計SPIFFE聯(lián)邦會的未來。 (不久將有一個多帶帶的聯(lián)邦工作組。)
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11426.html
摘要:傳遞與雙向聯(lián)邦和具有與聯(lián)邦相同的,稱為跨領(lǐng)域信任。在中,彼此不完全信任的組織可能仍希望聯(lián)邦其信任域。為此,他們聯(lián)邦各自的信任域。這意味著檢查百事可樂不是被可口可樂的簽名。 作者:Daniel Feldman showImg(https://segmentfault.com/img/bVbld8P?w=1600&h=1066); 介紹 聯(lián)邦信任域是SPIFFE和SPIRE最高需求和活躍開...
摘要:美國國家標準與技術(shù)研究所近期公布了云計算技術(shù)路線圖卷一和卷二的最終版本。報告指出云計算目前仍處于最初部署階段。據(jù)悉的報告代表了來自聯(lián)邦政府部門工業(yè)高等教育和云計算標準研發(fā)組織等領(lǐng)域多名專家的意見。 美國國家標準與技術(shù)研究所(NIST)近期公布了《云計算技術(shù)路線圖》卷一和卷二的最終版本。此前,NIST已經(jīng)花了三年時間評估和為政府機構(gòu)加快部署云計算設(shè)定目標。最終版本的公布使得這三年的時間沒有白費...
摘要:跨集群服務(wù)能夠分布在不同的地理位置,使得混合和多云成為可能,相對于單一集群多可用區(qū)部署,更好地保證高可用。注例子中,我們利用谷歌容器引擎提供的集群,在該平臺上,你可以把部署到想要的地區(qū)。 編者按:這篇文章是關(guān)于Kubernetes 1.3新功能的一系列深入文章的一部分。本文是第七篇。 用戶使用Kubernetes 對生產(chǎn)環(huán)境上的部署進行彈性伸縮,同時我們聽到一個明確的聲音:希望跨區(qū)域、...
摘要:中華人民共和國數(shù)據(jù)安全法關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例都將于年月日起開始施行,中華人民共和國個人信息保護法也在最近正式發(fā)布,將于年月日起施行。毫無疑問,隱私計算是一塊市場大蛋糕。 《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》都將于2021年9月1日起開始施行,《中華人民共和國個人信息保護法》也在最近正式發(fā)布,將于2021年11月1日起施行。我國在安全立法方面三箭齊發(fā),顯示出...
閱讀 1416·2021-10-08 10:04
閱讀 738·2021-09-07 09:58
閱讀 2917·2019-08-30 15:55
閱讀 2432·2019-08-29 17:21
閱讀 2134·2019-08-28 18:04
閱讀 3081·2019-08-28 17:57
閱讀 722·2019-08-26 11:46
閱讀 2251·2019-08-23 17:20
