Kubernetes Workload Identity Federation

Abstract

This thesis addresses the complexity of securely managing workload identities across single-cloud, multi-cloud, and multi-cluster Kubernetes environments. Grounded in a thorough review of pertinent security standards and regulations—such as GDPR, ISO/IEC 27001, ISO/IEC 27002, and NIST’s Secure Software Development Framework—the work proposes a simplified federation model leveraging the Kubernetes Service Account token issuer, SPIFFE/SPIRE, and a Mutating Admission Webhook.

A comprehensive examination of native workload identity solutions offered by major cloud providers (AWS, Azure, and Google Cloud) informed the design of the open-source Federid implementation. Federid provides a cloud-agnostic approach to workload identity federation across any OpenID Connect (OIDC) Identity Provider.

Methodologically, the research involved designing this federation model, implementing Federid, and validating its effectiveness through proof-of-concept scenarios including Kubernetes access, single-cloud, multi-cloud, and multi-cluster deployments. Feasibility was confirmed on major cloud providers, ensuring extensibility for additional OIDC integrations.

Practical contributions include corrections and enhancements to upstream projects such as Kubernetes and SPIFFE, improving both reliability and clarity in those codebases. Results show that Federid significantly simplifies credential provisioning, strengthens scalability, and aligns with recognized industry standards, thereby reducing complexity in heterogeneous cloud infrastructures. These achievements highlight Federid’s potential for broad adoption within the cloud-native ecosystem.

In conclusion, this thesis advances workload identity federation by delivering a robust, scalable, and standards-compliant framework. Future research will focus on extending Federid to additional OIDC providers and refining its architecture to meet evolving security and orchestration requirements in cloud-native environments.

Esta tesis aborda la complejidad de gestionar de manera segura las identidades de carga de trabajo en entornos de Kubernetes de una sola nube, multinube y multiclúster. Basada en una revisión exhaustiva de estándares y regulaciones de seguridad relevantes—como GDPR, ISO/IEC 27001, ISO/IEC 27002, and NIST’s Secure Software Development Framework—, la investigación propone un modelo de federación simplificado que aprovecha el emisor de tokens de la cuenta de servicio de Kubernetes, SPIFFE/SPIRE y un Mutating Admission Webhook.

Se realizó un análisis detallado de las soluciones nativas de identidad de carga de trabajo ofrecidas por los principales proveedores de nube (AWS, Azure y Google Cloud), lo que permitió diseñar la implementación de código abierto Federid. Federid proporciona un enfoque agnóstico a la nube para la federación de identidades de carga de trabajo con cualquier proveedor de identidad OpenID Connect (OIDC).

Metodológicamente, la investigación implicó el diseño de este modelo de federación, la implementación de Federid y la validación de su efectividad mediante pruebas de concepto en escenarios que incluyen acceso a Kubernetes, despliegues en una sola nube, multinube y multiclúster. Se confirmó la viabilidad en los principales proveedores de nube, asegurando su extensibilidad para futuras integraciones con OIDC adicionales.

Las contribuciones prácticas incluyen correcciones y mejoras en proyectos upstream como Kubernetes y SPIFFE, mejorando su fiabilidad y claridad. Los resultados muestran que Federid simplifica significativamente la provisión de credenciales, fortalece la escalabilidad y se alinea con estándares reconocidos de la industria, reduciendo la complejidad en infraestructuras multinube heterogéneas.

En conclusión, esta tesis avanza en la federación de identidades de carga de trabajo al proporcionar un marco robusto, escalable y conforme a los estándares. La investigación futura se enfocará en extender Federid a proveedores OIDC adicionales y en refinar su arquitectura para satisfacer los requisitos de seguridad y orquestación en entornos nativos de la nube en evolución.