软件定义安全边界 (SDP) 深度系列
1. SPIRE 身份自动化颁发流程
为了防止身份伪造,SPIRE 建立了严密的信任链。参考:eBPF 原始进程归因。
sequenceDiagram participant W as Workload (App) participant A as SPIRE Agent participant S as SPIRE Server W->>A: Fetch Identity (Unix Socket) A->>A: Workload Attestation (Check PID/Hash) A->>S: Request SVID (Sign Request) S-->>A: Issued X.509 SVID A-->>W: Deliver Private Key & Cert
2. 身份校验全场景矩阵
| 场景组合 | 校验机制 | 安全结果 |
|---|---|---|
| 同节点 + 异租户 | 信任域不匹配 | TLS 握手直接失败 |
| 异节点 + 同租户 | mTLS 隧道验证 | 全链路加密通信 |
| 异节点 + 异租户 | 证书链非法 | 强制阻断,防御 中途嗅探 |
3. 对等透明加密实施方案
| 方案 | 成对组件 | 核心协议 | 优点 |
|---|---|---|---|
| Sidecar 模式 | Envoy + Envoy | mTLS | 支持 7 层精细审计(Consul 方案) |
| Ambient 模式 | Ztunnel + Ztunnel | HBONE | 部署轻量,低损耗 |
| 内核加密 | Node Kernel | WireGuard | 性能最高 |