Red Hat Summit第10章 Zero Trust Workload Identity Manager
10.1. Zero Trust Workload Identity Manager の概要
Zero Trust Workload Identity Manager は、SPIFFE Runtime Environment (SPIRE) コンポーネントのライフサイクルを管理する OpenShift Container Platform Operator です。これは、セキュアな本番環境向けアイデンティティーフレームワーク (SPIFFE) 標準に基づいたワークロードのアイデンティティー管理を可能にし、OpenShift Container Platform クラスターで実行されているワークロードに暗号的に検証可能なアイデンティティー (SVID) を提供します。
Zero Trust Workload Identity Manager アーキテクチャーのコンポーネントは次のとおりです。
10.1.1. SPIFFE
Secure Production Identity Framework for Everyone (SPIFFE) は、分散システム内のソフトウェアワークロード間の信頼を確立するための標準化された方法を提供します。SPIFFE は、SPIFFE ID と呼ばれる一意の ID を割り当てます。この ID は、信頼ドメインとワークロード ID を含む Uniform Resource Identifiers (URI) です。
SPIFFE ID は、SPIFFE Verifiable Identity Document (SVID) に含まれています。SVID は、ワークロードが他のワークロードに対してアイデンティティーを検証し、ワークロードが相互に通信できるようにするために使用されます。SVID には次の 2 つの主な形式があります。
- X.509-SVID: SPIFFE ID がサブジェクト代替名 (SAN) フィールドに埋め込まれている X.509 証明書。
-
JWT-SVID: SPIFFE ID が
subクレームとして含まれる JSON Web Tokens (JWT)。
詳細は、SPIFFE の概要 を参照してください。
10.1.2. SPIRE Server
SPIRE Server は、信頼ドメイン内で SPIFFE アイデンティティーを管理および発行する役割を担います。登録エントリー (SPIFFE ID を発行する条件を決定するセレクター) と署名鍵を格納します。SPIRE Server は SPIRE Agent と連携し、ノードプラグインを介してノードアテステーションを実行します。詳細は、SPIRE Server について を参照してください。
10.1.3. SPIRE Agent
SPIRE Agent はワークロードのアテステーションを担当し、SPIFFE Workload API を通じて認証を要求するときに、ワークロードに検証済みのアイデンティティーを確実に付与します。これは、設定済みのワークロードアテスタープラグインを使用することで実現されます。Kubernetes 環境では、Kubernetes ワークロードアテスタープラグインが使用されます。
SPIRE と SPIRE Agent は、ノードプラグインを介してノードアテステーションを実行します。プラグインは、エージェントが稼働するノードのアイデンティティーを確認するために使用されます。詳細は、SPIRE エージェントについて を参照してください。
10.1.4. アテステーション
アテステーションは、SPIFFE ID と SVID を発行する前に、ノードとワークロードのアイデンティティーを検証するプロセスです。SPIRE Server は、ワークロードの属性と SPIRE Agent が稼働するノードの属性を収集し、それらをワークロードの登録時に定義された一連のセレクターと比較します。比較が成功した場合、エンティティーに認証情報が提供されます。これにより、信頼ドメイン内の正当かつ予期されるエンティティーにのみ、暗号化アイデンティティーが確実に付与されます。SPIFFE/SPIRE には、主に次の 2 種類のアテステーションがあります。
- ノードアテステーション: ノード上で稼働する SPIRE Agent を信頼し、ワークロードのアイデンティティーを要求する権限を付与する前に、システム上のマシンまたはノードのアイデンティティーを検証します。
- ワークロードアテステーション: アテステーションにより検証されたノード上で稼働する SPIRE Agent が、そのノード上のアプリケーションやサービスに SPIFFE ID と SVID を提供する前に、そのアプリケーションやサービスのアイデンティティーを検証します。
詳細は、アテステーション を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}