Arch Day 124
Arch Day 124: IAM与零信任安全 — 身份是新的安全边界
在云原生世界,身份(Identity)取代了网络边界成为安全的第一道防线。零信任的核心原则是"永不信任,始终验证"——每一次访问都需要基于身份、设备状态和上下文的动态授权。
2026-08-01
第五阶段 - 云架构深度IAMZeroTrustSPIFFEEntraID身份安全最小权限
日期: 2026-08-01 (Day 124) 阶段: 第五阶段 - 云架构深度 标签: #IAM #ZeroTrust #SPIFFE #EntraID #身份安全 #最小权限
核心概念
一句话定义
在云原生世界,身份(Identity)取代了网络边界成为安全的第一道防线。零信任的核心原则是"永不信任,始终验证"——每一次访问都需要基于身份、设备状态和上下文的动态授权。
为什么关注
- Gartner将NHI (Non-Human Identity)管理列为2025战略趋势
- 80%的云安全事件与IAM配置错误相关
- AI Agent的兴起带来全新的身份管理挑战(Azure Entra Agent ID)
知识点详解
1. 三大云IAM体系对比
| 维度 | AWS IAM Identity Center | Azure Entra ID | GCP Workforce Identity |
|---|---|---|---|
| SSO | 多账户集中SSO | M365/Azure统一登录 | 外部IdP联合 |
| MFA | 支持FIDO2 | Passkey + 条件访问 | WebAuthn |
| 特权管理 | 临时提权需自建 | PIM (JIT访问+审批) | 条件角色绑定 |
| AI Agent身份 | 无专门方案 | Entra Agent ID (2026新) | Workload Identity |
| 多区域 | 2025.10支持复制 | 全球分布 | 全球分布 |
2. SPIFFE/SPIRE — 机器身份的零信任标准
SPIFFE是工作负载身份的开放标准,SPIRE是参考实现:
- 每个工作负载获得SPIFFE ID(唯一身份)
- SPIRE颁发短期SVID(X.509或JWT凭证)
- 通过mTLS实现服务间零信任通信
- Netflix、Uber、Google均已采用
2026新发展:TEE + SPIRE集成(Red Hat 2026.01),将SPIRE与Confidential Containers集成。
3. 零信任接入方案对比
| 维度 | Cloudflare Access | AWS Verified Access | Azure Entra Private Access | Google BeyondCorp |
|---|---|---|---|---|
| 免费层 | 50用户免费 | 无 | 无 | 无 |
| 多云 | 完全支持 | 仅AWS | Azure+本地 | GCP+本地 |
| 部署时间 | 30分钟-2小时 | 2-4小时 | 2-4小时 | 3-6小时 |
| 500用户月费 | ~$3,500 | ~$1K-3K | $4.5K-6K | ~$3K-5K |
4. 最小权限自动化
| 工具 | 能力 |
|---|---|
| AWS IAM Access Analyzer | 基于CloudTrail分析未使用权限,推荐最小权限策略 |
| Azure PIM | JIT访问+审批+时限 |
| SPIFFE/SPIRE | 短期凭证自动轮换 |
| Cedar策略语言 | AWS开源的声明式授权策略语言 |
面试题
问题:如何为微服务架构设计零信任安全?
回答:
- 服务身份: SPIFFE/SPIRE为每个服务分配唯一身份
- mTLS: 所有服务间通信强制双向TLS
- 最小权限: 每个服务只能访问需要的资源
- 短期凭证: 凭证有效期15分钟,自动轮换
- 策略即代码: OPA/Cedar定义授权策略,版本控制