Секреты Кубернетес зашифрованы сертификатом? - PullRequest
Новая
       7

Секреты Кубернетес зашифрованы сертификатом?

2 голосов
/ 04 июня 2019

Когда Kubernetes создает секреты, они шифруют заданное имя пользователя и пароль сертификатом? 

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

Ответы [ 2 ]

1 голос
/ 04 июня 2019

Зависит, но да - в покое шифруется.Секреты хранятся в etcd (базе данных, используемой для хранения всех объектов Kubernetes), и вы можете включить систему управления ключами, которая будет использоваться для шифрования секретов.Вы можете найти всю необходимую информацию в документации .

Обратите внимание, что это не защищает файлы манифестов, которые не зашифрованы.Секреты зашифрованы только на etcd, но при получении их с помощью kubectl или с помощью API вы расшифруете их.

Если вы хотите зашифровать и файлы манифеста, есть несколько хороших решений для этого, например, SealedСекреты, Секреты шлема или Камус.Вы можете прочитать больше о них в моем блоге .

0 голосов
/ 11 июня 2019

Секреты хранятся в etcd, который является высокодоступным хранилищем ключей для данных кластерной информации.Данные зашифрованы в покое.По умолчанию поставщик identity используется для защиты секретов в etcd, который не обеспечивает шифрование.

EncryptionConfiguration была введена для локального шифрования секретов с помощью локально управляемого ключа.Шифрование секретов с помощью локально управляемого ключа защищает от взлома etcd, но не защищает от взлома хоста.Поскольку ключи шифрования хранятся на хосте в файле YAML EncryptionConfig, опытный злоумышленник может получить доступ к этому файлу и извлечь ключи шифрования.Это была ступенька в развитии для провайдера KMS, представленного в 1.10, и бета-версии с 1.12.Конвертное шифрование создает зависимость от отдельного ключа, не хранящегося в Kubernetes.В этом случае злоумышленнику потребуется взломать etcd, сервер kubeapi и стороннего поставщика KMS для получения значений открытого текста, обеспечивая более высокий уровень безопасности, чем локально хранящиеся ключи шифрования.

Подробнееинформацию вы можете найти здесь: secrets, encryption.

Надеюсь, это поможет.

...