Los hyperscalers resolvieron el problema de identidad de workload antes de que SPIFFE fuera mainstream, cada uno a su manera pero con la misma receta: federación OIDC entre el cluster y el IAM cloud. Entender esa mecánica común es ver por qué IRSA, Workload Identity y Azure Workload Identity son, conceptualmente, tres dialectos de la misma idea.

Los Secrets de Kubernetes son codificación en base64, no cifrado, y el repositorio Git nunca fue sitio para credenciales. La gestión moderna de secretos pasa por motores dinámicos, sincronización declarativa y, sobre todo, por eliminar la existencia misma del secreto estático siempre que sea posible.

El control de admisión es la última línea de defensa antes de que un objeto se persista en Kubernetes. OPA Gatekeeper y Kyverno compiten por este espacio con filosofías opuestas: Rego frente a YAML nativo. La elección condiciona la ergonomía diaria del equipo de plataforma y la robustez de la postura de seguridad.

Zero Trust no es un producto ni una caja que se instala, es un modelo arquitectónico que asume la inexistencia del perímetro confiable y reemplaza la confianza implícita de la red por verificación continua basada en identidad, contexto y política. Entender sus orígenes, sus tenets y cómo se materializa con las primitivas modernas es lo que separa una implementación real de una etiqueta comercial.

SAML 2.0 consolidó la federación de identidad en el mundo empresarial con un modelo basado en XML, aserciones firmadas y metadatos intercambiados entre organizaciones. Dos décadas después, sigue siendo el protocolo dominante en B2B y SSO corporativo a pesar de la presión de OIDC, precisamente porque resolvió problemas que JSON y REST todavía no resuelven con la misma claridad.

Kerberos es el protocolo de autenticación de red basado en tickets y criptografía simétrica que lleva casi cuarenta años sosteniendo las redes corporativas. Resolvió el problema de autenticar sujetos en entornos hostiles sin enviar contraseñas por la red, y sigue siendo el núcleo silencioso de Active Directory. Entenderlo es imprescindible para cualquier arquitectura que conviva con sistemas empresariales heredados.

En cadenas de servicios donde A llama a B y B llama a C, propagar la identidad del usuario sin romper el principio de mínimo privilegio exige algo más que reenviar tokens. RFC 8693 define Token Exchange como el mecanismo estándar para que un servicio solicite un nuevo token derivado, distinguiendo entre impersonación y delegación, y permitiendo traducir entre OAuth y SAML.

Debajo de mTLS, de SPIFFE, de los webhooks de admisión y de la comunicación con etcd hay una única infraestructura silenciosa: la PKI. Entender su jerarquía, sus modos de revocación y sus puntos de fallo es condición previa para operar cualquier cluster en producción sin sobresaltos.

En un cluster donde los pods viven minutos y las IPs se reciclan en segundos, la identidad no puede depender ni de la red ni de secretos estáticos inyectados al arrancar. SPIFFE define cómo nombrar cargas de trabajo de forma verificable y SPIRE implementa cómo emitir esa identidad en tiempo de ejecución. Entender ambos es ver el engranaje que conecta PKI, mTLS y Zero Trust.

El tráfico entre servicios dentro de un cluster se ha convertido en el nuevo perímetro. mTLS resuelve la pregunta de qué servicio está al otro lado de la conexión sin depender de tokens que se pueden robar y reutilizar. Entender su mecánica, su coste operativo y su encaje en la malla es condición previa para cualquier arquitectura Zero Trust seria.