Nat0892 Feb 13 at 15:00

Наш путь delivery of secrets: как мы пришли к связке Bank-Vaults и Vault Secret Operator

Medium

7 min

988

МТС corporate blogInformation Security*Product Management*Kubernetes*DevOps*

Tutorial

+10

Comments 7

vasyakrg Feb 14 at 02:44

Вторую часть, когда я прокидываю секреты напрямую в приложение, я как раз рассматривал в своем видео. Пользуюсь таким подходов уже примерно с год.

Nat0892 Feb 14 at 10:52

Здравствуйте!

К сожалению ссылка на видео не открывается, возможно у меня одного так, очень хотелось бы посмотреть ваше решение!

dersoverflow Feb 14 at 18:06

привет, рад новой встрече!
в своей прошлой статье вы так и не дали ВНЯТНОГО ответа. зело продолжим:

Дано. Для "повышения безопасности", вы храните в ПровайдереСекретов Секреты для доступа к Серверам.
Вопрос: Где вы храните Секреты для доступа к самому ПровайдеруСекретов?

Nat0892 Feb 14 at 18:55

Привет, взаимно!

Как раз я не дождался ответа от вас про аллегории. Так как ответил вам в первой части статьи).
Доступ к провайдеруСекретов осуществляется на основании ServiceAcounts, к которым привязаны роли и политики, созданные в Vault заранее благодаря методу авторизации Kuberntes.

Nat0892 Feb 14 at 19:11

Дополню, если речь про токены для распечатывания кластера и изначальный root токен, который в принципе не используется для доступов к секретам, то они хранятся в Opaque Secret также в ns vault. Что с точки зрения OpaqueSecert не безопасно, как об этом собственно подчёркнуто в статье. Но пояснения и комментарии по этому также даны в статье)

dersoverflow Feb 15 at 20:16

не безопасно

это правильный ответ.

небезопасно хранить Секреты доступа к ПровайдеруСекретов - это глупо. а их невозможно хранить иначе.

Nat0892 Feb 15 at 21:55

Да, полностью согласен с вами. В статье акцент делался не на безопасность, а на удобство, скорость и оптимизацию. Чтобы отвечать требованиям бизнеса с точки зрения скорости разработки.

Но тем менее НЕбезопасная сторона вопроса также рассмотрена в последнем разделе статьи и сделан акцент на решения и доработки. В нашем случае это скорее всего будет Bank-Vaults Mutating Webhook.

"а их невозможно хранить иначе" - здесь также солидарен, в статье также акцент сделан на это в контексте OpaqueSecert. Но будем честны, если у злоумышленника оказался доступ к Kuberntes кластеру, то говорить о чем-то более конкретном ИМХО не имеет уже никакого смысла...