<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Spiffe on homelab89</title>
    <link>https://blog.homelab89.com/tags/spiffe/</link>
    <description>Recent content in Spiffe on homelab89</description>
    <generator>Hugo</generator>
    <language>ko-KR</language>
    <lastBuildDate>Wed, 10 Jun 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://blog.homelab89.com/tags/spiffe/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Istio는 SPIFFE 표준으로 워크로드 신원을 X.509 SVID의 SAN에 박아 mTLS 인증의 토대로 삼는다</title>
      <link>https://blog.homelab89.com/docs/istio/security/mtls-spiffe-identity/</link>
      <pubDate>Wed, 10 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/security/mtls-spiffe-identity/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;이 문서가 다루는 것&lt;/div&gt;
&lt;p&gt;Istio의 workload identity는 IP·hostname·header가 아니라 &lt;strong&gt;SPIFFE ID&lt;/strong&gt;(&lt;code&gt;spiffe://&amp;lt;trust-domain&amp;gt;/ns/&amp;lt;ns&amp;gt;/sa/&amp;lt;sa&amp;gt;&lt;/code&gt;)다. 이 ID는 X.509 인증서(SVID)의 &lt;strong&gt;SAN(URI type)&lt;/strong&gt; 에 박혀 발급되고, mTLS handshake에서 양측이 서로의 SVID를 trust bundle(CA root)로 검증한다. 검증된 SPIFFE ID가 곧 &lt;code&gt;source.principal&lt;/code&gt;로 이어져 인가(authz)의 입력이 된다. 즉 mTLS는 &amp;ldquo;암호화&amp;quot;가 아니라 &lt;strong&gt;검증 가능한 신원의 운반 수단&lt;/strong&gt;이며, 그 신원이 없으면 principal 기반 정책 자체가 성립하지 않는다. 인증서는 istio-agent가 &lt;strong&gt;SDS&lt;/strong&gt;로 메모리상에서 발급·로테이션하므로 디스크에 평문 key가 떨어지지 않는다.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
