Machine Identityfeedback
Vorgeschlagen
Dieser Funktionsbaustein wurde als strategisch notwendig identifiziert und befindet sich in der Konzeptionsphase.
Status: Vorgeschlagen | Erstellt am: 13. März 2026 | Autor: BMDS-Architekturteam
lightbulb Motivationfeedback
In einer Cloud-Native-Architektur kommunizieren hunderte Microservices, CI/CD-Pipelines und automatisierte Prozesse miteinander. Ohne ein dediziertes Machine-Identity-Konzept entstehen statische Service-Accounts, langlebige Zertifikate und unrotierte Secrets, die Achillesferse jeder Zero-Trust-Architektur.
- Workload Identity: Jeder Service erhält automatisch eine kryptografisch attestierte Identität.
- Kurzlebige Credentials: SVIDs (SPIFFE Verifiable Identity Documents) statt langlebiger X.509-Zertifikate.
- DevSecOps-Integration: CI/CD-Jobs authentifizieren sich per Runtime-Attestierung, nicht per statischem Secret.
- Erweiterbar für Data Spaces: SPIFFE kann als zusätzliche Workload-Identity-Schicht für Connector-Laufzeitumgebungen dienen; DSP selbst standardisiert SPIFFE jedoch nicht als Identitätsmechanismus.
settings Kernfunktionalitätenfeedback
- SPIFFE/SPIRE-Integration: Automatische Attestierung und Ausstellung kurzlebiger Workload-Identitäten.
- mTLS-Automatisierung: Transparente gegenseitige TLS-Authentifizierung zwischen allen Services.
- Trust Domain Federation: Sichere Kommunikation über Cluster- und Organisationsgrenzen hinweg.
- Zertifikats-Lifecycle: Automatische Rotation, Revocation und Monitoring aller Maschinen-Zertifikate.
- CI/CD-Identity: OIDC-basierte Pipeline-Identitäten (z.B. GitHub Actions OIDC, GitLab CI).
engineering Technische Einordnungfeedback
| Eigenschaft | Wert |
|---|---|
| Kategorie | Zugang & Interaktion |
| GovStack-Mapping | ○ - |
| Referenzstandards | SPIFFE, X.509, mTLS, OIDC Federation |
| Open-Source-Referenz | SPIRE, cert-manager, HashiCorp Vault PKI |
share Abhängigkeitenfeedback
- Service Mesh & Observability (mTLS-Enforcement)
- Zero-Trust-Policy-Engine (workload-basierte Policies)
- Secrets Management (für Fallback auf Secret-basierte Auth)
- Container-Orchestrierung (Kubernetes-Attestierung)
arrow_forward Nächste Schrittefeedback
- Evaluierung SPIRE vs. cert-manager vs. Vault PKI für den D-Stack-Kontext
- PoC: SPIRE-basierte Workload Identity in SCS-Kubernetes-Cluster
- Konzept für Trust Domain Federation zwischen Bund und Ländern
- Integration in den D-Stack
feedbackFeedback zu dieser Seite? Erstellen Sie ein GitLab-Issue direkt für Machine Identity.rate_review Feedback gebenforum Bisheriges Feedback ansehen