Защита учетных данных API-шлюза с помощью SPIFFE/SPIRE для Didit (RU)

Автоматизированное управление идентификациейSPIFFE и SPIRE предоставляют автоматизированную, платформенно-независимую основу для выдачи и ротации криптографических идентификаторов рабочим нагрузкам, устраняя необходимость в ручном управлении учетными данными и снижая количество человеческих ошибок.

Повышение безопасности API-шлюзаИнтегрируя SPIFFE/SPIRE с вашим API-шлюзом, вы можете обеспечить надежные, проверяемые идентификаторы для всех служб, взаимодействующих с Didit, гарантируя, что только авторизованные рабочие нагрузки получают доступ к вашим потокам проверки подлинности.

Снижение рисков кражи учетных данныхТрадиционные долгосрочные ключи API и секреты уязвимы для кражи. SPIFFE/SPIRE заменяет их короткоживущими, автоматически ротируемыми сертификатами X.509, что значительно сокращает поверхность атаки и улучшает общую безопасность.

Бесшовная интеграция DiditРазработанные с учетом интересов разработчиков, чистые API Didit спроектированы для легкой интеграции с современными системами безопасности, такими как SPIFFE/SPIRE, обеспечивая безопасную, модульную и AI-ориентированную проверку подлинности без ущерба для надежной аутентификации.

Проблема безопасности API-шлюза в современных архитектурах

В современных распределенных и облачных средах API-шлюзы служат критически важными точками входа для микросервисов, обеспечивая связь между различными компонентами и внешними службами. По мере того как организации внедряют решения для проверки подлинности, такие как Didit, обеспечение безопасности API-шлюза становится обязательным. Традиционные методы часто полагаются на статические ключи API или долгосрочные токены, которые, хотя и функциональны, представляют значительные риски безопасности. Эти учетные данные могут быть украдены, скомпрометированы или использованы не по назначению, что приводит к несанкционированному доступу, утечкам данных и нарушениям соответствия. Управление этими учетными данными в масштабе является сложным, подвержено человеческим ошибкам и представляет собой постоянную операционную нагрузку.

Интеграция сторонних сервисов, таких как мощная платформа проверки подлинности Didit, требует надежных механизмов аутентификации. Когда ваше приложение вызывает API Didit для проверки личности, пассивной и активной проверки живости или AML-скрининга, вам нужна уверенность в том, что вызывающий сервис является легитимным и авторизованным. Именно здесь проявляются ограничения традиционного управления учетными данными, особенно по мере роста числа сервисов и точек интеграции. Для защиты этих критически важных взаимодействий необходим более динамичный, автоматизированный и криптографически безопасный подход.

Представляем SPIFFE и SPIRE: Основа для идентификации с нулевым доверием

SPIFFE (Secure Production Identity Framework for Everyone) и SPIRE (SPIFFE Runtime Environment) предлагают мощное решение этой проблемы. SPIFFE определяет спецификацию для универсальной структуры идентификации, предоставляя безопасную, проверяемую идентификацию для каждой рабочей нагрузки в современной инфраструктуре. SPIRE — это реализация SPIFFE с открытым исходным кодом, обеспечивающая выдачу и ротацию этих криптографических идентификаторов, известных как SVID (SPIFFE Verifiable Identity Documents), для рабочих нагрузок, работающих в различных средах, от кластеров Kubernetes до серверов без операционной системы.

Основной принцип SPIFFE/SPIRE заключается в переходе от авторизации на основе сети или IP-адресов к идентификации на основе рабочих нагрузок. Вместо того чтобы доверять сетевому сегменту, вы доверяете криптографически проверяемой идентификации рабочей нагрузки. Это идеально соответствует моделям безопасности с нулевым доверием, где ни одна сущность, внутри или за пределами сетевого периметра, не является доверенной по умолчанию. Для API-шлюзов это означает, что входящие запросы от внутренних или внешних сервисов могут быть аутентифицированы на основе их уникальных, короткоживущих и автоматически управляемых идентификаторов SPIFFE, а не статических секретов.

Интеграция SPIFFE/SPIRE с API-шлюзами для интеграции Didit

Внедрение SPIFFE/SPIRE с вашим API-шлюзом для интеграции Didit включает несколько ключевых шагов для обеспечения безопасной, автоматизированной аутентификации. Цель состоит в том, чтобы ваш API-шлюз проверял идентификацию вызывающего сервиса с использованием его SVID, прежде чем разрешать ему доступ к API Didit. Это создает надежную, проверяемую цепочку доверия.

1. Регистрация рабочей нагрузки: Каждая служба, которая должна взаимодействовать с Didit через API-шлюз, должна быть зарегистрирована в SPIRE. Это включает определение селекторов, которые SPIRE может использовать для подтверждения идентификации рабочей нагрузки (например, метки подов Kubernetes, имена образов контейнеров).
2. Выдача SVID: Агенты SPIRE, работающие на каждом узле, подтверждают идентификацию локальных рабочих нагрузок и выдают им короткоживущие SVID на основе X.509. Эти SVID по сути являются сертификатами, подтверждающими идентификацию рабочей нагрузки.
3. Конфигурация API-шлюза: Настройте ваш API-шлюз (например, Envoy, NGINX, Kong) для работы в качестве сущности, осведомленной о SPIFFE. Обычно это включает настройку mTLS (взаимного TLS), при которой шлюз запрашивает SVID у клиентской службы и проверяет его на соответствие доверенному пакету сервера SPIRE.
4. Применение политик: Внедрите политики авторизации в вашем API-шлюзе, которые используют проверенный идентификатор SPIFFE вызывающего сервиса. Например, только сервисам с определенным идентификатором SPIFFE (например, spiffe://yourdomain.com/didit-integrator) разрешено перенаправлять запросы к конечным точкам Didit.
5. Управление ключами API Didit: Хотя SPIFFE/SPIRE обеспечивает безопасность связи с вашим API-шлюзом, ваш API-шлюз все еще должен безопасно управлять и внедрять x-api-key, необходимый для API Didit. Этот ключ должен храниться в безопасном хранилище (например, HashiCorp Vault, AWS Secrets Manager) и извлекаться API-шлюзом во время выполнения, а не быть жестко закодированным.

Следуя этому шаблону, вы гарантируете, что только криптографически проверенные и авторизованные сервисы могут использовать возможности проверки подлинности Didit, значительно снижая риск несанкционированного доступа и компрометации учетных данных. Это особенно важно для конфиденциальных операций, таких как проверка личности, где целостность и конфиденциальность данных имеют первостепенное значение.

Преимущества интеграции Didit, защищенной SPIFFE/SPIRE

Внедрение SPIFFE/SPIRE для защиты ваших интеграций Didit через API-шлюз предлагает множество преимуществ:

• Повышенная безопасность: Заменяет статические, долгосрочные учетные данные динамическими, короткоживущими криптографическими идентификаторами, значительно сокращая поверхность атаки.
• Автоматизированная ротация учетных данных: SVID автоматически ротируются, устраняя ручные накладные расходы и риски безопасности, связанные с управлением ключами.
• Соответствие принципам нулевого доверия: Обеспечивает надежную, проверяемую идентификацию для каждой рабочей нагрузки, укрепляя вашу позицию безопасности с нулевым доверием.
• Снижение операционной нагрузки: Автоматизирует весь жизненный цикл идентификации, освобождая инженерные команды от ручного управления сертификатами и ключами.
• Улучшенное соответствие: Предоставляет четкий журнал аудита идентификаторов рабочих нагрузок и их доступа, помогая в усилиях по соблюдению нормативных требований, требующих надежной аутентификации.
• Платформенная независимость: SPIFFE/SPIRE работает в различных вычислительных средах, обеспечивая единообразные методы безопасности независимо от вашей инфраструктуры.

Этот подход укрепляет безопасность каждого взаимодействия, от первоначальной настройки учетной записи с использованием проверки телефона и электронной почты до текущего AML-скрининга и мониторинга, гарантируя, что сервисы, инициирующие эти проверки, всегда легитимны.

Как Didit помогает

Didit разработан как AI-ориентированная, ориентированная на разработчиков платформа идентификации, что делает ее идеально подходящей для интеграции в высокозащищенные современные архитектуры, такие как те, которые используют SPIFFE/SPIRE. Наша приверженность модульности и чистым API означает, что интеграция мощных инструментов проверки подлинности Didit — от проверки личности и пассивной и активной проверки живости до сопоставления лиц 1:1 и поиска лиц, а также подтверждения адреса — проста и безопасна.

Архитектура Didit позволяет вам уверенно создавать рабочие процессы проверки, управлять рисками и автоматизировать доверие. Защищая свой API-шлюз с помощью SPIFFE/SPIRE, вы создаете надежный периметр вокруг доступа к сервисам Didit. Ваш API-шлюз, теперь криптографически подтверждающий идентификацию вызывающего сервиса, может затем безопасно передавать необходимый ключ API Didit. Такое разделение обязанностей гарантирует, что ваши основные возможности проверки подлинности остаются защищенными несколькими уровнями безопасности.

Кроме того, Didit предлагает бесплатный базовый KYC, позволяющий реализовать основные проверки подлинности без предварительных затрат. Наш модульный дизайн означает, что вы можете интегрировать конкретные продукты по мере необходимости, такие как оценка возраста для проверки возраста с сохранением конфиденциальности или проверка NFC для высокозащищенных проверок электронных паспортов/идентификаторов, при этом используя преимущества AI-ориентированной платформы без платы за настройку. Didit дает вам возможность создавать безопасные, масштабируемые и соответствующие требованиям решения для идентификации, которые легко вписываются в вашу передовую инфраструктуру безопасности.

Готовы начать?

Готовы увидеть Didit в действии? Получите бесплатную демонстрацию сегодня.

Начните бесплатно проверять личности с бесплатным тарифом Didit.