smirnov-sa 8 сен 2023 в 17:14

Секреты в kubernetes используя Hashicorp Vault + External Secrets Operator

Средний

6 мин

10K

Блог компании РСХБ.цифра (Россельхозбанк)Системное администрирование*Читальный залDevOps*Kubernetes*

Туториал

✏️ Технотекст 2023

+26

Комментарии 17

adel-s 8 сен 2023 в 17:52

Мы в своё время тоже столкнулись с данным вопросом - т.к. тоже используем Vault + k8s (точнее GKE, но там различия минимальны), перепробовали разные варианты, но все показались небезопасными, так что в итоге написали своё решение - Vault Secret Fetcher, который действует более секьюрным образом - загрузившись через sidecar init container предоставляет секреты как environment variables доступные только приложению. Т.е. даже имея доступ к поду и проломившись в контейнер не получится сдампить env vars.

AlexGluck 8 сен 2023 в 22:43

xargs --null --max-args=1 echo < /proc/<pid>/environ А если так?

Inlore 10 сен 2023 в 08:20

Так переменные будет видно

При вызове syscall.Exec, который вызывает glibc'шный execve, данные в /proc/<pid>/ обновляются под новую вызванную программу, в том числе обновляется /proc/<pid>/environ

Пруф

1) 2 простые программы на go:
- exec будет устанавливать переменную окружения FOO и вызывать другую программу через syscall.Exec
- sleep будет просто спать

2) Запускаем в контейнере и "проваливаемся" туда

docker run --rm -it --name envvar -u 2000:2000 -v $(pwd):/app ubuntu:20.04 /app/exec /app/sleep
docker exec -it envvar bash

3) Проверяем

А вот если установить переменную окружения через os.Setenv и не вызывать другую программу, а продолжать работать в текущей, то значение такой переменной придётся уже искать в памяти с помощью какого-нибудь gdb

AlexGluck 10 сен 2023 в 17:58

Получается состояние гонки, секретные данные всё равно доступны какое то время и поверхность атаки не закрыта, а уменьшена.

smirnov-sa 10 сен 2023 в 00:25

Спасибо Вам за полезный комментарий!

sloniki 9 сен 2023 в 20:05

С недавних пор HashiCorp предлагает родной оператор https://github.com/hashicorp/vault-secrets-operator

smirnov-sa 10 сен 2023 в 00:00

Вы им пользовались? Если да, то поделитесь, пожалуйста, его плюсами и минусами.

sloniki 10 сен 2023 в 13:35

Я только установил и проверил, что работает. Глубокого тестирования не делал. Какое-то сравнение видел здесь https://www.hashicorp.com/blog/kubernetes-vault-integration-via-sidecar-agent-injector-vs-csi-provider

smirnov-sa 10 сен 2023 в 23:34

Понял, в любом случае, спасибо! Возьмем на заметку.

citius 10 сен 2023 в 22:34

Bank vaults умеет мутировать также и секреты. И даже конфигмапы (ну вдруг).

smirnov-sa 11 сен 2023 в 01:16

Спасибо за комментарий. Да, знаем.

Тем не менее ESO нам показался более простым в настройке и выполняет все необходимые функции.

Airee 11 сен 2023 в 13:11

А CSI чем не мил?

smirnov-sa 12 сен 2023 в 17:17

Спасибо за комментарий. CSI не пробовали. Он тоже поддерживает синхронизацию с секретами k8s, но не умеет обновлять их.

ESO имеет такую возможность. В ExternalSecret есть параметр "refreshInterval". Указываешь время, с какой периодичностью он будет сканировать внешний api на наличие обновлений.