零信任工作负载身份管理器

什么是零信任工作负载身份管理器？

零信任工作负载身份管理器是一种基于 SPIFFE/SPIRE 框架的 OpenShift Operator，可针对多云、异构身份架构和具有安全风险的长效凭据简化工作负载身份管理。零信任工作负载身份管理器提供了一个通用的身份管理框架，为所有工作负载提供无缝保护——无论它们运行在容器还是虚拟机，亦或部署于任意云、数据中心或边缘环境，都能实现安全、可控和一致的身份治理。自动签发可验证的短效身份，无需管理 API 密钥，您的服务即可安全连接，从而增强企业组织的零信任安全态势。

联系红帽

什么是 SPIFFE 和 SPIRE？

SPIFFE 和 SPIRE 通过在多样化计算环境中进行身份管理，定义了一套在混合云环境中实施零信任的标准方法。

为什么使用零信任工作负载身份管理器

针对每个云提供商分别管理不同的身份架构和联邦设置不仅复杂且容易出错，也难以实现规模化扩展。即便是 API 密钥这种长效的静态凭据，也存在重大的安全风险。许多团队单是维护平台就已经不堪重负，部署 SPIRE 这种关键的安全防护基础架构更是既复杂又耗时。

零信任工作负载身份管理器包含在红帽高级集群管理、红帽高级集群安全防护和红帽 OpenShift 平台 Plus 中。它可帮助你启动跨环境的身份联合，告别繁琐的凭据管理，突破基本身份验证的局限，并将工作负载身份部署为 Day2 运维。该管理器封装了复杂的配置操作，让您能够顺畅地为环境中的每个工作负载签发和轮转可验证的短效身份。

凭借强大的节点和工作负载认证能力，零信任工作负载身份管理器仅在底层基础架构的完整性通过验证后才会签发身份。借助统一的身份平面，您可以实现安全的跨云通信，简化对 HashiCorp Vault 等密钥存储的访问权限，并集成 Istio 和 Sigstore 等工具，从而构建真正的端到端零信任架构。

功能和优势

SPIFFE/SPIRE 联合机制

为每个工作负载提供统一且一致的身份平面，无论工作负载在何处运行，您都可以跨任何云安全连接服务，无需承担密钥管理的风险和开销。

节点和工作负载认证

在签发身份之前自动认证节点和工作负载的状态，建立硬件信任根，并确保只有合法且未被修改的工作负载才能通信。

用于自动注册工作负载的 SPIRE 控制器管理器

在 OpenShift 上实现从安装到配置和管理的整个 SPIRE 生命周期的自动化，让团队将精力集中在策略制定，而非管道建设。

深入了解零信任安全防护

文章

什么是零信任？

零信任是一种安全防护架构设计方法，其核心前提是默认所有交互均从不可信状态开始。

博客文章

云原生和 AI 工作负载的零信任与主权

一套现代化集成方法，将零信任原则贯穿于整个应用生命周期，并确保符合数据驻留、隐私保护和法律边界的相关要求。

文章

什么是机密计算？

机密计算可通过创建隔离的工作负载环境来保护数据在使用过程中的安全，弥合了数据安全方面的关键缺口，从而帮助企业组织增强其零信任安全态势。

云服务版本

自助式版本

服务和附加组件