Kurzfassung
SPIFFE (Secure Production Identity Framework For Everyone) ist ein CNCF-graduierter offener Standard für Workload-Identität. Er gibt jedem Workload – einem Dienst, Container oder Prozess – eine verifizierbare, plattformunabhängige und kryptografisch attestierte Identität, sodass sich Workloads gegenseitig authentifizieren können, ohne dass Secrets in Images oder Konfiguration eingebacken sind.
Was ist SPIFFE?
SPIFFE definiert, wie ein Workload eine SPIFFE-ID und ein kurzlebiges Credential namens SVID (SPIFFE Verifiable Identity Document) erhält, typischerweise als X.509-Zertifikat oder JWT. Die Referenzimplementierung SPIRE attestiert, was ein Workload ist und wo er läuft, stellt diese Identitäten dann automatisch aus und rotiert sie häufig. Da Credentials kurzlebig und maschinell attestiert sind, gibt es keine langlebigen Secrets, die geleakt werden könnten.
SPIFFE ist eine Grundschicht für Zero-Trust-Architekturen und Service-Meshes wie Istio und integriert sich mit Plattformen wie Envoy und HashiCorp Vault. Es konkurriert nicht mit OAuth oder OpenID Connect, sondern liefert das Workload-Identity-Substrat darunter – SVIDs lassen sich in Tokens tauschen, die gegen Identity-Provider verwendet werden. Das wird zunehmend relevant für KI-Agenten, die als „Non-Human Identities" behandelt werden und sich authentifizieren müssen, während sie zwischen Prozessen, Nodes und Clustern wandern.
Warum ist SPIFFE relevant?
- Secretlose Authentifizierung: Kurzlebige, attestierte Identitäten entfernen langlebige Secrets aus Images und Konfiguration
- Zero-Trust-Fundament: Liefert die verifizierbare Workload-Identität, auf die mTLS und Service-Meshes bauen
- Herstellerneutraler Standard: Eine CNCF-graduierte Spezifikation mit der SPIRE-Referenz-Runtime
- Agent-tauglich: Untermauert Identität für KI-Agenten und andere Non-Human-Workloads in verteilten Systemen