主要观点：

• 已将多因素身份验证（MFA）用于人类用户，如今基础设施中的多数交互由非人类实体发起，多数系统仍仅使用单一因素（秘密）进行身份验证。
• 静态秘密在微服务中的使用存在局限，易导致秘密蔓延，增加攻击面。
• 应将工作负载视为一等身份，像人类一样进行身份验证，如通过验证身份、证明和来源等多个上下文信号。
• Uber 用 SPIFFE/SPIRE 部署实现工作负载身份验证，通过颁发短期可验证身份和证书，实现零信任安全。
• 证明是第二因素，SPIRE 支持主机和工作负载的证明机制，确保身份可信。
• 行业标准正在向工作负载身份方向融合，如 IETF WIMSE 工作组的工作。
  关键信息：
• 机器身份数量远超人类，且多数有特权访问，身份攻击增长迅速。
• 微服务中秘密分散导致秘密蔓延，增加攻击风险。
• Workload MFA 基于身份、证明和来源验证系统身份。
• Uber 的 SPIFFE/SPIRE 部署实例及身份颁发流程。
• 证明机制确保身份可信，行业标准在融合。
  重要细节：
• [CyberArk 的 2025 身份安全格局]指出机器身份与人类身份比例及特权访问情况。
• [GitGuardian 的 2025 秘密蔓延报告]等行业报告揭示秘密蔓延规模。
• SPIFFE 定义非人类系统的统一身份格式，通过多种属性验证颁发证书。
• IETF WIMSE 工作组在规范 SPIFFE 式身份及相关标准。