Non-Human Identities zähmen: SPIFFE in der Praxis

October 2, 2025 in Blog

feature-image

Teil 2: Non-Human Identities zähmen: SPIFFE in der Praxis

Immer mehr Unternehmen stoßen bei der Verwaltung von Non-Human Identities (NHI) an ihre Grenzen. Credentials-Chaos, steigender Aufwand für Rotationen und Sicherheitslücken durch veraltete Secrets sind nur drei Beispiele. SPIFFE verspricht hier einen Paradigmenwechsel – weg vom mühsamen Credential-Management hin zum Open-Source-Standard für Workload-Identitäten. Doch wie sieht das in der Praxis aus?

SPIFFE in Kürze

Das Akronym SPIFFE steht für Secure Production Identity Framework for Everyone . Während klassische Secret-Management-Tools wie Vault oder Secrets Manager darauf setzen, Zugangsdaten (Credentials) sicher zu speichern und zu verteilen, verfolgt SPIFFE einen anderen Ansatz: Es verteilt keine Credentials, sondern attestiert Identitäten direkt.

Ein Unterschied, der im ersten Moment subtil klingen mag. Doch tatsächlich macht er den Unterschied:

Beim Secret-Management werden Zugangsdaten, zum Beispiel API-Keys, Passwörter oder Zertifikate erzeugt, gespeichert, verteilt und müssen regelmäßig rotiert werden. Damit bleibt das Bootstrap-Problem bestehen – und die Frage nach der ersten Authentifizierung ebenso.

SPIFFE teilt keine Credentials aus. Der Open-Source-Standard nutzt vorhandenes Plattformwissen wie Pod-Metadaten in Kubernetes oder Instanzinformation in AWS, um Workloads automatisch kryptografisch überprüfbaren Identitäten zuzuweisen. Anstatt ständig auf kompromittierte Secrets oder abgelaufene Zugangsdaten zu reagieren, werden Systeme geschaffen, in denen Vertrauen automatisch aufgebaut und aufrechterhalten wird.

Wer sich näher in SPIFFE einlesen möchte – allen voran in die Chance, Bootstrap-Probleme zu lösen – findet in Teil 1 der Reihe „Non-Human Identities zähmen mehr Informationen.

SPIFFE-Erfahrungen aus der Praxis

Die automatisierte Bereitstellung und Rotation von Identitäten kann bestimmte Sicherheitsrisiken ausschließen und den Verwaltungsaufwand für Zugangsdaten reduzieren. Daher berichten Unternehmen, die auf SPIFFE setzen, von Verbesserungen in Bezug auf Sicherheit, Produktivität und Betriebseffizienz.

Wie so oft gilt aber: Der konkrete Nutzen hängt stark von Implementierungsumfang und Anwendungsarchitektur ab. Möglich sind diese Benefits:

  • Produktivitätssteigerungen für Entwickler: Teams, die an SPIFFE-integrierten Anwendungen arbeiten, müssen sich weniger auf die Verwaltung von Anmeldedaten konzentrieren. Entwickler benötigen jedoch Schulungen zu SPIFFE-Konzepten. Außerdem müssen ältere Anwendungen möglicherweise umfangreicher angepasst werden, um von der automatischen Identitätsbereitstellung zu profitieren.

  • Verbesserte Sicherheit: Durch den Wegfall fest codierter Credentials und die automatische Rotation temporärer Identitäten sinkt das Risiko kompromittierter Zugangsdaten erheblich.

  • Einfache Bedienung: Zugangsdaten basieren nicht länger auf manuellen Verteilungs- und Rotationsprozessen, was allen voran Effizienz ins Unternehmen bringt.

  • Klarheit und Beobachtbarkeit bei Audits: Jede Workload-Instanz hat eine überprüfbare, nachvollziehbare Identität.

Zweifel unnötig. Kompromiss möglich!

Dass SPIFFE viele Vorteile mit sich bringt, ist unumstritten. Und doch herrschen Zweifel. Ein Bedenken hat dabei Oberhand: “Wir sind noch nicht bereit für ein vollständiges SPIFFE-Deployment!”

Die gute Nachricht: Das ist auch gar nicht nötig. Denn um mit SPIFFE starten zu können, ist kein 100-prozentiger Umstieg erforderlich. Unsere Tipps:

Tipp 1: Fangen Sie klein an mit SPIRE

SPIRE (die Referenzimplementierung von SPIFFE) können Unternehmen zunächst in Entwicklungs- und Staging-Umgebungen einsetzen. Dabei ist der erste Schritt stets, das Team mit den Konzepten vertraut zu machen, bevor Produktion eingeführt werden.

Tipp 2: Schrittweise Einführungsstrategie

Organisationen sollten mit neuen Diensten beginnen. Entwickler erleben so direkt die Produktivitätsvorteile – und werden schnell zu großen Befürwortern. Weniger empfehlenswert ist der Versuch, alle bestehenden Anwendungen auf einmal zu migrieren.

Tipp 3: Integrationsmöglichkeiten mit bestehender Infrastruktur

  • In Kubernetes starten: SPIFFE lässt sich nahtlos in bestehende Kubernetes-Cluster einbinden, ohne laufende Workloads zu stören.

  • Cloud-Integration clever nutzen: Um den Einstieg zu erleichtern, sollte SPIFFE an Identity-Providern wie AWS IAM und GCP Service Accounts angebunden werden.

  • Parallelbetrieb möglich: Während der Migration kann SPIFFE problemlos neben bestehenden Credential-Management-Systemen laufen – so vermeiden Sie Risiken im Übergang.

  • Auch für klassische Umgebungen: Nicht nur Container profitieren – auch auf VMs oder Bare Metal lässt sich SPIFFE einsetzen.

Tipp 4: Hybride Ansätze für die Praxis

SPIFFE-Identitäten sollten für neue Workloads verwendet und Legacy-Systeme dabei gleichzeitig schrittweise migriert werden. Die beiden Ansätze können problemlos nebeneinander bestehen, während Organisationen die Umstellung in ihrem eigenen Tempo vornehmen.

Für Unternehmen mit umfangreicher VM-Infrastruktur oder Bare-Metal-Bereitstellungen ist SPIFFE ebenfalls geeignet. Es gelten dieselben Zertifizierungsprinzipien, unabhängig davon, ob sie Container in Kubernetes, Anwendungen auf herkömmlichen VMs oder Dienste direkt auf Bare-Metal-Servern ausführen. Der Unix-Workload-Attestor von SPIFFE kann die Identität von Prozessen anhand von Benutzer-IDs, Gruppen-IDs, ausführbaren Pfaden und Dateiprüfsummen verifizieren – und ist damit sowohl in klassischen Rechenzentrumsumgebungen als auch in modernen Cloud-nativen Deployments einsetzbar.

Erste Schritte: Ihr Weg zur SPIFFE-Implementierung

Die Einführung von SPIFFE unterscheidet sich von plattformverwalteten Identitäten, da hier neue Infrastruktur bereitgestellt wird, anstatt bestehende Plattformfunktionen zu konfigurieren. Der Erfolg hängt von sorgfältiger Planung und einer schrittweisen Einführung ab.

Phase 1 – SPIRE-Infrastruktur bereitstellen:

Beginnen Sie mit der Bereitstellung eines SPIRE-Servers in Ihrer Entwicklungsumgebung. Wählen Sie die passende Node-Attestierungsmethode abhängig von Ihrer Infrastruktur: AWS-EC2-Instanzen können den AWS-IID-Attestor nutzen, Kubernetes-Cluster den PSAT (Projected Service Account Tokens), Bare-Metal-Server Join-Tokens oder SSH-Zertifikate.

Installieren Sie SPIRE-Agents auf den Knoten, auf denen Workload-Identitäten ausgestellt werden sollen. Diese Phase dient dazu, die grundlegende Infrastruktur zum Laufen zu bringen und die Konzepte von SPIFFE zu verstehen.

Phase 2 – Workload-Attestierung konfigurieren:

Richten Sie Workload-Attestatoren basierend auf Ihrer Umgebung ein. Für Kubernetes-Workloads nutzen Sie den k8s Attestor mit Selektoren wie Namespace, Service Account und Pod Labels. Für Docker-Container den Docker Attestor mit Image-Namen und Container-Labels. Für Unix-Prozesse den Unix Attestor mit User-IDs, Group-IDs und Pfaden ausführbarer Dateien.

Falls erforderlich, aktivieren Sie erweiterte Funktionen wie die Verifizierung von Container-Imagesignaturen über Sigstore, um Supply-Chain-Sicherheit zu gewährleisten.

Phase 3 – Workload-Registrierung und Tests:

Erstellen Sie Registrierungseinträge, die SPIFFE-IDs Workload-Selektoren zuordnen. Beginnen Sie mit einfachen Test-Workloads, um zu prüfen, ob die Attestierung korrekt funktioniert und SVIDs wie erwartet ausgestellt werden. Testen Sie sowohl X.509-SVIDs als auch JWT-SVIDs in Abhängigkeit von Ihren Anwendungsfällen. Stellen Sie sicher, dass das Bootstrapping der Workload-Identitäten automatisch erfolgt – ohne zuvor verteilte Secrets.

Phase 4 – Integration mit bestehenden Systemen:

Binden Sie SPIFFE-Identitäten in Ihre OAuth-Infrastruktur ein, indem Sie SVIDs als Client-Credentials in OAuth-Flows nutzen. Konfigurieren Sie API-Gateways so, dass sie SPIFFE-Identitäten für die Authentifizierung akzeptieren. Integrieren Sie SPIFFE als Identitätsquelle in Service Meshes wie Istio oder Linkerd. Für Datenbanken, die Zertifikatsauthentifizierung unterstützen, richten Sie die Nutzung von SPIFFE X.509-SVIDs ein.

Phase 5 – Migration von Legacy-Anwendungen:

Binden Sie SPIFFE-Identitäten in Ihre OAuth-Infrastruktur ein, indem Sie SVIDs als Client-Credentials in OAuth-Flows verwenden. Konfigurieren Sie API-Gateways so, dass sie SPIFFE-Identitäten für die Authentifizierung akzeptieren. Integrieren Sie SPIFFE als Identitätsquelle in Service Meshes wie Istio oder Linkerd. Für Datenbanken, die Zertifikatsauthentifizierung unterstützen, richten Sie die Nutzung von SPIFFE X.509-SVIDs ein.

Phase 6 – Produktionsrollout und Föderation:

Übertragen Sie die SPIRE-Infrastruktur in Staging- und Produktionsumgebungen. Richten Sie SPIFFE-Föderation ein, wenn Vertrauensbeziehungen über Umgebungen oder Organisationen hinweg erforderlich sind. Implementieren Sie Monitoring und Alerting für den Zustand von SPIRE-Servern und -Agents, um Fehler bei der Ausstellung von SVIDs und für Attestierungsprobleme zu erkennen. Legen Sie Betriebsprozesse für die Rotation von SPIRE-Server-Keys und die Aktualisierung von Trust Bundles fest.

Phase 7 – Erweiterte Muster und Optimierung:

Führen Sie Workload-Identitätsföderation zu externen Systemen wie Cloud-Anbietern ein. Nutzen Sie SPIFFE-Identitäten für die Authentifizierung in CI/CD-Pipelines. Setzen Sie verschachtelte SPIRE-Deployments für komplexe organisatorische Strukturen ein. Optimieren Sie Attestierungsrichtlinien und die Verwaltung von Registrierungseinträgen, sobald Ihr Deployment wächst.

Schlussstrich ziehen - für ein zukunftsfähiges Unternehmen

  • Warum verteilen wir immer noch Credentials, wenn wir Vertrauen schaffen können?

  • Warum rotieren wir Zugangsdaten manuell, wenn ein System dies automatisch übernehmen kann?

  • Warum behandeln wir die Identität von Workloads als Nebensache, obwohl sie die Grundlage bilden sollte?

Dies sind nicht nur technische Fragen, sondern strategische Entscheidungen, die darüber entscheiden, ob Ihr Unternehmen in einer zunehmend automatisierten, KI-gesteuerten Welt erfolgreich sein wird. Denn jedes fest codierte Secret in der Infrastruktur bedeutet ein bewusst eingegangenes Risiko.

SPIFFE beseitigt nicht nur das heutige Chaos mit Zugangsdaten, es schafft die Grundlage für die intelligenten und autonomen Systeme von morgen. Wenn KI-Agenten sich bei Dutzenden von Services authentifizieren müssen, wenn Serverless Functions auf Tausende gleichzeitiger Ausführungen skalieren, wenn Edge-Computing Workloads an unvorhersehbare Orte verlagert werden – sorgt SPIFFE dafür, dass sie alle automatisch und sicher Vertrauen aufbauen können.

Sie möchten den Schritt vom Credential-Management hin zu Trust Bootstrapping gehen? Wir beraten Sie mit jahrelanger Expertise, damit Sie Anmeldedaten mit Workload-Identitäten sicher und nachhaltig managen.

Lass Sie uns sprechen

umbrella.associates

  • Mergenthalerallee 73-75
    65760 Eschborn/Frankfurt
  • +49 (0) 6196 204 8237

Navigation

We take your security to the next level

...and boldly go, where new identities need protection. Be it your employees or customers, your partners or admins or even your devices and machinery. We create the management plane that covers YOUR identity needs!

© 2025 umbrella.associates