LFS482: Zero Trust Security with SPIFFE and SPIRE

• Entwicklerinnen und Entwickler, die sichere Microservice-Kommunikation und Workload-Identitäten in Anwendungen integrieren
• Systemadministratorinnen und Systemadministratoren, die SPIRE in Linux-, Kubernetes- und Cloud-Umgebungen betreiben
• Security-Engineers und Security-Architektinnen, die Zero Trust Architekturen mit Least Privilege und Policy Engines umsetzen
• Plattform-, DevOps- und Cloud-Teams, die mittelgroße bis große containerisierte Systeme entwerfen, bereitstellen oder absichern

• Fundiertes Verständnis der Zero-Trust-Prinzipien für dynamische Cloud-native Infrastrukturen
• Sichere Installation, Konfiguration und Verwaltung von SPIRE-Deployments
• Workload-Identitäten mit SPIFFE-IDs, SVIDs und der Workload API produktionsnah einsetzen
• Autorisierungsmodelle mit Open Policy Agent, Envoy und identitätsbasierten Policies entwerfen
• SPIRE-Architekturen für Skalierung, Hochverfügbarkeit, Föderation und Disaster Recovery planen
• Sicherheitslücken in bestehenden Plattformen identifizieren und konkrete Zero-Trust-Maßnahmen ableiten

Grundlagen von Zero Trust

• Prinzipien von Zero Trust Networking
• Implementierungsmodelle und typische Einsatzszenarien
• Kryptographie-Grundlagen und Public-Key-Infrastrukturen
• Authentifizierung, Identitätsdokumente und Autorisierung
• Least-Privilege-Modelle für dynamische Infrastrukturen

SPIFFE und SPIRE Konzepte

• Einführung in SPIFFE und SPIRE
• SPIFFE-ID, Trust Domain und Workload-Identität
• SVIDs als kryptografische Identitätsnachweise
• SPIRE Server, SPIRE Agent und Workload API
• Attestation-Mechanismen und Registrierungsmodell

Installation und Nutzung von SPIRE

• Installation und Konfiguration von SPIRE aus Binaries
• Konfiguration zentraler SPIRE-Komponenten
• Verwaltung von Registration Entries
• Bereitstellung von SPIRE auf Kubernetes mit Kind
• Betrieb erster Workload-Identitäten in einer Laborumgebung

Workload-Identitäten und SVID-Operationen

• Verwaltung von SVIDs
• Nutzung von SPIFFE-Helper
• Zugriff auf die Workload API
• SVID-Operationen mit Client Libraries
• Arbeit mit go-spiffe in praxisnahen Beispielen

Autorisierung und Policy Engines

• Einführung in Autorisierungskonzepte
• Policy-Sprachen und Policy-Werkzeuge
• Open Policy Agent als Policy Engine
• Weitere Policy Engines und DSLs
• Aufbau einer belastbaren AuthZ-Architektur

SPIRE, AuthZ und Service Mesh

• Autorisierung für SPIRE Server
• Network AuthZ und identitätsbasierte Zugriffskontrolle
• Integration von SPIRE mit OPA und Envoy
• Zero Trust im Service Mesh
• Design eines SPIFFE-ID-Schemas
• SPIRE und OIDC Discovery

Architektur, Skalierung und Föderation

• Architekturüberlegungen für SPIRE-Deployments
• Skalierung und Wachstum von SPIRE-Umgebungen
• Bereitstellung von SPIRE im High-Availability-Modus
• Nested SPIRE als fortgeschrittenes Architekturmodell
• Federated SPIRE für organisationsübergreifende Vertrauensbeziehungen
• Sizing-Überlegungen für produktionsnahe Bereitstellungen

Betrieb und Disaster Recovery

• Day Two Operations für SPIRE
• Monitoring- und Betriebsaspekte
• Ressourcenplanung für stabile Plattformen
• Disaster-Recovery-Strategien
• Fehlerbilder und Betriebsrisiken in SPIRE-Umgebungen

SPIFFE-Ökosystem und Integrationen

• Open-Source-Integrationen im SPIFFE-Ökosystem
• Anbieterintegrationen und Erweiterungsmöglichkeiten
• Zusammenspiel mit Cloud-nativen Plattformen
• Cilium-Integration mit SPIRE
• Praktische Einsatzmöglichkeiten in Microservice-Architekturen

• Trainergeführte Linux Foundation Schulung mit fachlichen Inputs, Demonstrationen und strukturierten Laborübungen
• Hands-on Labs zu SPIRE-Installation, Kubernetes, SVIDs, OPA, Envoy, OIDC, High Availability und Föderation
• Architekturübungen zu SPIFFE-ID-Schema, Trust Domains, Least Privilege und Betriebsmodellen
• Praxisnahe Diskussion typischer Betriebsfragen, Fehlerbilder und Sicherheitsanforderungen in Microservice-Umgebungen
• Offizielle digitale englischsprachige Unterlagen und Laborumgebung für die Bearbeitung der Übungen