Зашифрована ли информация, хранящаяся в GKE "etcd"?

Question

Я использую GKE (Google Kubernetes Engine) 1.13.6-gke.6, и мне нужно предоставить доказательства шифрования etcd для PCI целей.
Я использовал флаг --data-encryption-key и использовал KMS ключ для шифрования секретов после этой документации.

Мне нужно дать набор команд, которые докажут, что информация, хранящаяся в etcd главного узла, зашифрована.

Здесь - это то, как мы проверяем, что секреты, хранящиеся в обычном кластере Kuebrnetes ( не GKE ), зашифрованы.

Как мы знаем, GKE является управляемой службой и главный узел управляется GCP. Есть ли способ получить доступ к GKE "etcd", чтобы увидеть сохраненные секреты и данные в состоянии покоя?

Answer 1

Почему вы должны доказать, что информация зашифрована? На GKE распространяется сертификация Google DSS по PCI DSS , и поскольку мастер является частью «кластера как службы», он должен быть вне области того, что вам нужно показать, поскольку вы этого не делаете (и можете 't) контролировать способ реализации хранилища.

Одна вещь, которую вы можете сделать, это использовать Шифрование секретов прикладного уровня для шифрования ваших секретов с помощью собственного ключа, хранящегося в Cloud KMS . Для ваших секретов вы сможете запускать команды, чтобы доказать этот дополнительный уровень шифрования.