Polina_Averina Mar 30 2022 at 10:57

Безопасное хранение secrets в Kubernetes

10 min

25K

Слёрм corporate blogInformation Security*System administration*DevOps*Kubernetes*

+32

Comments 9

kksudo Mar 30 2022 at 19:04

Исчерпывающе, спасибо.

Какие еще промышленные стандарты хранения секретов вы используете?

А если рассмотреть кейс с другими оркестраторами контейнеров (not k8s) ? Возможно у вас в компании выработались определенные стандарты работы с чувствительными данными ?

Moriartii Mar 30 2022 at 19:50

Спасибо за статью.

Как вы думаете можно ли ли использовать hashicorp vault для хранения секретов "внешних", конечных пользователей (то есть это могут быть десятки или даже сотни тысяч запросов одновременно), например api-ключей?

Protos Mar 30 2022 at 20:47

Думаю да, отдельный инстанс HC, иначе если хакнут, то скомпрометируют и все секреты внутрикорпоративные. Но и думаю все же не прямой доступ должен быть, а через промежуточный брокер, который проверяет внутренность запросов.

da411d Mar 30 2022 at 20:46

А как эти vault'ы зашищают секреты?

То есть, к примеру, я через руткит или другим способом получил доступ к серверу.

Что мне мешает прочитать данные vault'а или запросить у него секрет?

Прошу прощения за ткпой вопрос, я просто из тех разрабочиков, которые "деплоят" вордпрес по ftp :]

paulstrong Mar 31 2022 at 21:56

в бд всё в зашифрованном виде лежит, чтобы получить доступ к секретам, нужно попасть непосредственно в веб-интерфейс (апишку) под учёткой с соответствующими привилегиями, вне веб-интерфейса (апишки) ничего получить невозможно.

более того, при рестарте ваулта он запечатывается, и чтобы распечатать его, нужен набор ключей, в идеальном мире их раздают разным людям, поэтому для распечатки нужно будет дёрнуть каждого из них, чтобы он ввёл свой ключ

cru5ader Mar 31 2022 at 09:12

Да секреты уже не хранятся в etcd, а в Vault, тем самым защищая от утечки базу etcd, но секреты ведь также доступны на просмотр через интерфейс кубернетес. В чем смысл, если они также доступны на просмотр через интерфейс кубера?

paulstrong Apr 11 2022 at 22:55

а кто заставляет выдавать всем пользователя кубернетеса права на чтение ресурса Secret? обычно права выдают на работу с ресурсами Pod, Service, Deployment, Ingress, но не на Secret, и еще не стоит выдавать всем кому попало доступы на exec, пользователю не обязательно иметь права читать секреты кубера, достаточно лишь знать имена секретов, чтобы смапить их в переменные окружения или файлы.

но здесь есть один нюанс, пользователь может задеплоить приложеньку, которая распечатает секреты переменные окружения в stdout/stderr, кубер это залогирует, а пользователь сможет забрать секреты через pod logs, поэтому доступ к логам тоже не стоит раздавать всем кому попало.

короче моментов много, но кубер достаточно гибкий, чтобы настроить матрицу права под конкретные нужды.

cru5ader Apr 12 2022 at 08:02

Полностью с вами согласен, я как раз и хотел, чтобы в статье этот момент "подсветили", иначе у людей возникает непонимание работы Vault с Kubernetes.

Cloud66 Nov 13 2023 at 10:23

а откуда идея что секреты уже не будут храниться в etcd ?