spire

weight: 48 title: SPIRE date: “2022-06-10T00:00:00+08:00” type: book summary:这篇文章将向你介绍SPIRE的架构、基本概念及原理。

这篇文章将向你介绍SPIRE的架构、基本概念及原理。

SPIRESPIFFE API 的一个生产就绪的实现,它执行节点和工作负载认证,以便根据一组预先定义的条件,安全地向工作负载发出SVID,并验证其他工作负载的SVID

SPIRE架构和组件

SPIRE部署由一个SPIRE服务器和一个或多个SPIRE代理组成。服务器充当通过代理向一组工作负载发放身份的签名机构。它还维护一个工作负载身份的注册表,以及为签发这些身份而必须验证的条件。代理在本地向工作负载公开SPIFFE工作负载API,必须安装在工作负载运行的每个节点上。

SPIRE 架构图
SPIRE架构图

服务器

SPIRE服务器负责管理和发布其配置的SPIFFE信任域中的所有身份。它存储注册条目(指定决定特定SPIFFE ID应被签发的条件的选择器)和签名密钥,使用节点证明来自动验证代理的身份,并在被验证的代理请求时为工作负载创建SVID

SPIRE 服务器
SPIRE服务器

服务器的行为是通过一系列的插件决定的。SPIRE包含几个插件,你可以建立额外的插件来扩展SPIRE以满足特定的使用情况。插件的类型包括:

  • 节点证明器插件:与代理节点证明器一起,验证代理运行的节点的身份。
  • 节点解析器插件:它通过验证关于节点的额外属性来扩展服务器可以用来识别节点的选择器集合。
  • 数据存储插件:服务器用它来存储、查询和更新各种信息,如注册条目、哪些节点已认证、这些节点的选择器是什么。有一个内置的数据存储插件,可以使用MySQLSQLite3PostgresSQL数据库来存储必要的数据。默认情况下,使用SQLite 3
  • 密钥管理器插件:控制服务器如何存储用于签署X.509-SVIDJWT-SVID的私钥。
  • 上游权威机构插件:默认情况下,SPIRE服务器充当其自身的证书授权机构。但是,你可以使用上游权威机构插件来使用来自不同PKI系统的不同CA

你可以通过配置插件和其他各种配置变量来定制服务器的行为。详见 SPIRE服务器配置参考

代理

SPIRE代理在已识别的工作负载所运行的每个节点上运行。该代理:

  • 从服务器上请求SVID,并将其缓存起来,直到工作负载请求其SVID为止。
  • 向节点上的工作负载公开SPIFFE工作负载API,并证明调用它的工作负载的身份
  • 为已识别的工作负载提供其SVID

SPIRE 代理
SPIRE代理

该代理的主要组成部分包括:

  • 节点证明器插件:与服务器节点证明器一起,验证代理运行的节点的身份。
  • 工作负载证明器插件:通过从节点操作系统中查询有关工作负载进程的信息,并将其与你在使用选择器注册工作负载属性时提供给服务器的信息进行比较,来验证节点上工作负载进程的身份。
  • 密钥管理器插件:代理用来生成和使用颁发给工作负载的X.509-SVID的私钥。

你可以通过配置插件和其他配置变量来定制代理的行为。详见《SPIRE代理配置参考》

自定义服务器和代理插件

你可以为特定的平台和架构创建自定义的服务器和代理插件,而SPIRE并不包括这些插件。例如,你可以为一个架构创建服务器和代理节点验证器,而不是在节点验证下总结的那些。或者你可以创建一个自定义密钥管理器插件,以SPIRE目前不支持的方式处理私钥。因为SPIRE在运行时加载自定义插件,你不需要重新编译SPIRE来启用它们。

工作负载注册

为了让SPIRE识别工作负载,你必须通过注册条目向SPIRE服务器注册工作负载。工作负载注册告诉SPIRE如何识别工作负载以及为其提供哪个SPIFFE ID

注册条目将身份(以SPIFFE ID的形式)映射到一组称为选择器的属性,工作负载必须拥有这些属性才能获得特定身份。在工作负载证明期间,代理使用这些选择器值来验证工作负载的身份。

SPIRE文档中详细介绍了工作负载注册。

证明

SPIRE上下文中的证明(attestation)是断言工作负载的身份。SPIRE通过从受信任的第三方收集工作负载进程本身和运行SPIRE代理的节点的属性并将它们与工作负载注册时定义的一组选择器进行比较来实现这一点。

用于执行证明的可信第三方SPIRE查询是特定于平台的。

SPIRE分两个阶段执行证明:首先是节点证明(其中验证工作负载正在运行的节点的身份,然后是工作负载证明(其中验证节点上的工作负载

SPIRE有一个灵活的架构,允许它根据工作负载运行的环境,使用许多不同的受信第三方进行节点和工作负载验证。你通过代理和服务器配置文件中的条目告诉SPIRE使用哪些受信任的第三方,并通过你在注册工作负载时指定的选择器值告诉SPIRE使用哪些类型的信息进行验证。

节点证明

SPIRE要求每个代理在首次连接到服务器时进行身份验证和自我验证;这个过程称为节点证明(Node Attestation。在节点证明期间,代理和服务器一起验证运行代理的节点的身份。他们通过称为节点证明器的插件来做到这一点。所有节点证明器都向节点及其环境询问只有该节点拥有的信息片段,以证明该节点的身份。

节点证明的成功后,代理收到唯一的SPIFFE ID。然后,代理的SPIFFE ID充当其负责的工作负载的 “父级”。

节点身份证明的示例包括:

  • 通过云平台交付给节点的身份证明文件(例如AWS Instance身份证明文件)
  • 验证存储在连接到节点的硬件安全模块或可信平台模块上的私钥
  • 安装代理时通过加入令牌提供的手动验证
  • 多节点软件系统安装在节点上时提供的标识凭据(例如Kubernetes服务账户令牌)
  • 其他机器身份证明(例如部署的服务器证书)

节点证明器向服务器返回一组(可选)节点选择器,用于标识特定机器(例如Amazon实例ID。由于在定义工作负载的身份时,单个机器的特定身份通常没有用处,因此SPIRE会查询节点解析器(如果有)以查看可以验证被证明节点的哪些附加属性(例如,如果节点是AWS安全组的成员。来自证明器和解析者的选择器集成为与代理节点的SPIFFE ID关联的选择器集。

注意

节点证明不需要节点选择器,除非你将工作负载映射到多个节点

下图说明了节点证明中的步骤。在此图中,底层平台是AWS

SPIRE 节点证明步骤
SPIRE节点证明步骤

步骤总结:节点证明

  1. 代理AWS节点证明器插件向AWS查询节点身份证明,并将该信息提供给代理。
  2. 代理将此身份证明传递给服务器。服务器将此数据传递给其AWS节点证明器。
  3. 服务器AWS节点证明器独立验证身份证明,或者通过调用AWS API,使用它在步骤2中获得的信息。节点证明器还为代理创建一个SPIFFE ID,并将其传递回服务器进程,以及它发现的任何节点选择器。
  4. 服务器发回代理节点的SVID

节点证明器

代理和服务器通过它们各自的节点证明器询问底层平台。SPIRE支持节点证明器在各种环境中证明节点身份,包括:

  • AWS上的EC2实例(使用EC2实例身份文档)
  • Microsoft Azure上的VM(使用Azure托管服务标识)
  • Google Cloud Platform上的Google Compute Engine实例(使用GCE实例身份令牌)
  • 作为Kubernetes集群成员的节点(使用Kubernetes服务账户令牌)

对于没有平台可以直接识别节点的情况,SPIRE包括用于证明的节点证明器:

使用服务器生成的加入令牌—— 加入令牌(join token)是SPIRE服务器和代理之间的预共享密钥。服务器可以在安装后生成加入令牌,该令牌可用于在代理启动时对其进行验证。为帮助防止滥用,加入令牌在使用后立即过期。

使用现有的X.509证书—— 有关配置节点证明器的信息,请参阅 SPIRE服务器配置参考SPIRE代理配置参考

节点解析

一旦验证了单个节点的身份“节点解析器” 插件就会扩展一组选择器,这些选择器可用于通过验证节点的其他属性来识别节点(例如,如果节点是特定AWS安全组的成员) ,或具有与之关联的特定标签。只有服务器参与节点解析。SPIRE在证明之后直接运行一次节点解析器。

节点解析器

服务器支持以下平台的节点解析器插件:

  • 亚马逊网络服务(AWS)
  • 微软Azure

工作负载证明

工作负载证明提出了一个问题“这是谁的进程” 代理通过询问本地可用的权限(例如节点的操作系统内核,或在同一节点上运行的本地kubelet)来回答这个问题,以确定调用工作负载API的进程的属性。

然后,当你使用选择器注册工作负载的属性时,将这些属性与提供给服务器的信息进行比较。

这些类型的信息可能包括:

  • 底层操作系统如何调度进程。在基于Unix的系统上,这可能是用户ID (uid)、组ID (gid)、文件系统路径等
  • 进程是如何由Kubernetes等编排系统调度的。在这种情况下,工作负载可能由运行它的Kubernetes服务账户或命名空间来描述。

虽然代理和服务器都在节点证明中发挥作用,但只有代理参与工作负载证明。

下图说明了工作负载证明的步骤:

工作负载证明
工作负载证明

步骤摘要:工作负载证明

  1. 工作负载调用工作负载API以请求SVID。在Unix系统上,这被暴露为Unix域套接字。
  2. 代理询问节点的内核以识别调用者的进程ID。然后,它调用任何已配置的工作负载证明器插件,为它们提供工作负载的进程ID
  3. 工作负载证明者使用进程ID来发现有关工作负载的其他信息,并根据需要查询相邻平台特定的组件,例如Kubernetes kubelet。通常,这些组件也与代理驻留在同一节点上。
  4. 证明者将发现的信息以选择器的形式返回给代理。
  5. 代理通过将发现的选择器与注册条目进行比较来确定工作负载的身份,并将正确的缓存SVID返回给工作负载。

工作负载证明者

SPIRE包括适用于UnixKubernetesDocker的工作负载证明器插件。

参考

上一页
下一页

最近更新于0001-01-01