Authentifizierung: Föderierter Vertrauensanker für Istio
Das Service Mesh Istio kann keine Vertrauensbeziehungen über Vertrauensdomänen hinweg aufbauen. Diese Lücke lässt sich mit SPIFFE und SPIRE schließen
- Florian Bühr
Die Dezentralisierung der digitalen Landschaft schreitet voran, getrieben durch technische, regulatorische und geschäftliche Anforderungen. Sie ist geprägt durch hybride und Multi-Cloud-Umgebungen, föderierte Datenräume (wie Gaia-X, Catena-X, Structura-X et cetera) oder verteiltes maschinelles Lernen (zum Beispiel Lernen im Schwarm).
Solche dezentralen Netzwerke zielen auf Offenheit, Wahlfreiheit und Flexibilität. Sie verzichten auf einen zentralen Intermediär und sind stattdessen durch n:n-Beziehungen bestimmt. Das soll Abhängigkeiten reduzieren, Machtkonzentration vermeiden oder den Datenschutz und die digitale Souveränität stärken. Dennoch soll größtmögliche Interoperabilität die Komplexität senken, Netzwerkeffekte ermöglichen und Wertschöpfungsketten über Unternehmensgrenzen hinweg integrieren. Letzteres will zum Beispiel Catena-X für die Lieferketten in der Automobilindustrie erreichen.
Unternehmen, die solche offenen kollaborativen Netzwerke nutzen wollen, stehen vor einem Problem: Sie müssen einander vertrauen, stehen aber in Konkurrenzverhältnissen oder sind durch organisatorische Grenzen getrennt. Daher brauchen sie ein dynamisches und automatisiertes Verfahren, um Vertrauen zwischen Services in verschiedenen Vertrauensdomänen herzustellen, aber ohne zentralen Vertrauensanker, das heißt ohne eine autoritative Instanz, die alle Parteien als vertrauenswürdig akzeptieren.
Das war die Leseprobe unseres heise-Plus-Artikels "Authentifizierung: Föderierter Vertrauensanker für Istio". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.