服务身份架构助力打造零信任安全性模型

Cosigno 项目基于 SPIFFESPIRE 项目,可帮助建立标准式精细服务身份验证层,以便在混合企业 IT 基础设施上运行的服务之间支持零信任。

+ 展开

提供网络规模的统一平台以代理和发布服务身份

Cosigno 项目为安全和基础设施工程团队提供了网络规模的统一平台来代理和发布服务身份。与其他方法不同的是,该解决方案提供基于开放标准 (SPIFFE) 并且平台不可知的可扩展加密身份。因此,该解决方案可以增强安全操作并提高开发人员工作效率,减少应用登录次数,加快云或容器采用,同时巩固您的整体安全态势。 

创新
COSIGNO 项目的特点

Cosigno 项目为安全和基础设施工程团队提供了符合标准的网络规模的统一服务身份平台。

COSIGNO 项目的特点

Cosigno 项目为安全和基础设施工程团队提供了符合标准的网络规模的统一服务身份平台。

平台不可知的可扩展加密服务身份
多重因素服务身份验证
拨号身份验证
统一服务目录和凭据交付
身份代理
全面的可审计性
平台不可知的可扩展加密服务身份
平台不可知的可扩展加密服务身份

在包括云、容器和本地基础设施的异构平台之间部署标准加密服务身份。这些身份基于 Cloud Native Computing Foundation (CNCF) 支持的开放标准 SPIFFE。

多重因素服务身份验证
多重因素服务身份验证

和利用长期凭据对服务至服务通信进行身份验证并必须通过服务完成配置和运转不同的是,Consigno 项目通过实时多重因素身份验证策略识别服务。

拨号身份验证
拨号身份验证

身份验证可以由基础设施和运营团队部署和管理,并作为始终如一的“拨号”API 提供给任何工程团队。

统一服务目录和凭据交付
统一服务目录和凭据交付

通过一个面向服务的单一 API,将各 IdP 之间(涵盖云、容器和内部部署身份提供程序等)的服务身份加以统一,避免复杂问题向外蔓延。

身份代理
身份代理

支持您将现有的身份提供程序和身份验证基础设施(如 Active Directory)扩展至云和容器,并允许某个云中运行的服务承担其他云中的身份。

全面的可审计性
全面的可审计性

确保合规性并精确识别服务凭据的生成位置和生成时间,即使在高弹性的动态环境中,也能进行精细的跟踪。

基于 CNCF 的 SPIFFE 和 SPIRE 开源项目构建

SPIFFE 和 SPIRE 简介

慧与是 Cloud Native Computing Foundation (CNCF) 的 SPIFFE 和 SPIRE 开源项目的主要贡献者。SPIFFE 的灵感源自 Facebook、Google、Netflix 等公司的生产基础设施,是一组通过利用平台不可知的加密身份在动态异构环境中对服务进行安全身份验证的开源标准。SPIRE 则是一款可在各种环境中实施 SPIFFE 规范的开源系统。

Cosigno 项目实现对 SPIRE 的扩展

Cosigno 项目通过将基于网络的管理控制台、操作员登录和集成功能纳入企业 SSO、IAM 和 SIEM 管理平台,对 SPIRE 加以扩展。企业还可以通过 SPIRE 在其迅速发展的动态计算平台(包括云和容器)上轻松重用其现有的内部部署服务身份验证协议(如 Kerberos 和 OAuth)。 

COSIGNO 项目用例

将基于 Kerberos 的身份验证扩展到云

该解决方案可从 Active Directory 之类的内部部署身份提供程序 (IdP) 将短期凭据安全地发布到云和基于容器的服务。

安全的数据库身份验证

该解决方案可支持利用 MySQL 和 PostgreSQL 之类的常用数据库进行快速安全的身份验证。

对云服务提供商进行无秘身份验证

Cosigno 项目发布的身份(X.509 证书)使用 OpenID Connect (OIDC) 联合直接对公有云服务提供商进行身份验证。

演示申请

了解 Cosigno 项目如何通过跨云、容器和内部部署基础设施发布和代理连续认证的加密服务身份实现零信任。

谢谢!

感谢您的关注。慧与工作人员将在两个工作日内与您联系。