51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何保护Kubernetes的机密信息

作者:钟涛翻译
安全 云安全
为了保证敏感信息的安全性,Secret对象应该被加密,并且应该使用Kubernetes RBAC机制对访问进行控制。如果你正在使用AWS公有云来托管Kubernetes集群,则可以利用AWS密钥管理服务(KMS)对静态数据进行加密。

现如今开发的大多数应用程序,或多或少都会用到一些敏感信息,用于执行某些业务逻辑。比如使用用户名密码去连接数据库,或者使用秘钥连接第三方服务。在代码中直接使用这些密码或者秘钥是最直接的方式,但同时也带来了很大的安全问题,如何保证密码、秘钥不被泄露。

[[416050]]

如果你的应用程序已经被容器化,且使用Kubernetes(k8s),那情况会好很多。Kubernetes提供了一个原生资源,称为“Secret”,可用于管理和存储敏感信息。敏感信息被编码为未加密的Base64格式,并被存储在Secret对象中。Secret可以作为环境变量被注入到Pod内部的容器中,也可以作为数据卷挂载到容器内部。

为了保证敏感信息的安全性,Secret对象应该被加密,并且应该使用Kubernetes RBAC机制对访问进行控制。如果你正在使用AWS公有云来托管Kubernetes集群,则可以利用AWS密钥管理服务(KMS)对静态数据进行加密。

Kubernetes的清单文件通常被提交到代码仓库中以进行版本控制。但是你可能不希望将敏感信息以纯文本或Base64编码字符串的形式提交到Git代码仓库中。我们都应该知道为什么,这不安全!但是,你在Kubernetes集群之外将敏感数据保存在何处,以确保它们是安全的?

有很多方法可以解决这个问题。下面列出了其中几个:

选项1:加密纯文本敏感数据,然后再提交到Git代码仓库中

  • 使用对称或非对称算法加密纯文本敏感数据。
  • 使用Kubernetes Custom Resource Definition(CRD)创建自定义的Secret对象,以使用加密的文本数据。
  • 创建一个自定义Kubernetes控制器,该控制器读取自定义Secret对象中的加密信息,并在运行时解密,并创建一个原生的Secret对象。

使用这种方法,你可以将加密的数据提交到Git代码仓库中。而且它没有风险,因为数据是加密的,只能用你的私钥解密。但是你把私钥放在哪里?

如何存储加密密钥和管理整个加解密过程,可以使用Bitnami的Sealed Secrets。

选择2:使用第三方服务来存储敏感数据

  • 你可以将敏感数据存储到第三方服务中,如AWS Secrets Manager或HashiCorp Vault。
  • 创建自定义Kubernetes控制器,基于配置从这些服务中获取机密信息,并在运行时创建Kubernetes Secret对象。

External Secrets项目可以帮助你实现选项2。

你还可以增强应用程序逻辑,以便在应用程序启动时从第三方服务读取机密信息,但这里的整体思想是将机密信息管理与应用程序业务逻辑分离开来,并利用Kubernetes的功能来进行相同的管理。

快速概览Sealed Secrets

在Sealed Secret开源项目中,你可以将你的Secret加密为一个SealedSecret,这样就可以安全地存储,甚至可以存储到公共存储库中。SealedSecret只能由运行在目标集群中的控制器解密,其他人,甚至包括原始作者,都无法从SealedSecret获得原始的Secret。

Sealed Secrets由两部分组成:

  • 服务器端的控制器
  • 客户端工具:kubeseal

kubeseal使用非对称加密来加密数据,然后只有服务端的控制器才能解密数据。

这些加密数据被编码在SealedSecret资源中,你可以将其视为创建Secret的配方。

下面是如何使用Sealed Secrets来管理Secret的具体步骤。

1、安装kubeseal,这是一个客户端工具,可以帮助你创建SealedSecret

 

  1. > wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.15.0/kubeseal-linux-amd64 -O kubeseal  
  2. > sudo install -m 755 kubeseal /usr/local/bin/kubeseal 

2、安装服务器端控制器,为SealedSecret创建Custom Resource Definition(CRD)

 

  1. > kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.15.0/controller.yaml 
  2.  
  3. rolebinding.rbac.authorization.k8s.io/sealed-secrets-service-proxier created 
  4. role.rbac.authorization.k8s.io/sealed-secrets-key-admin created 
  5. clusterrole.rbac.authorization.k8s.io/secrets-unsealer created 
  6. deployment.apps/sealed-secrets-controller created 
  7. customresourcedefinition.apiextensions.k8s.io/sealedsecrets.bitnami.com created 
  8. service/sealed-secrets-controller created 
  9. clusterrolebinding.rbac.authorization.k8s.io/sealed-secrets-controller created 
  10. serviceaccount/sealed-secrets-controller created 
  11. role.rbac.authorization.k8s.io/sealed-secrets-service-proxier created 
  12. rolebinding.rbac.authorization.k8s.io/sealed-secrets-controller created 

3、验证sealed-secret controller Pod是否运行

 

  1. > kubectl get pods -n kube-system -l name=sealed-secrets-controller 
  2.  
  3. NAME                                         READY   STATUS RESTARTS   AGE 
  4. sealed-secrets-controller-7c766b885b-d5r2r   1/1     Running   0          7m39s 

如果你查看Pod的日志,你将看到控制器为自己创建的一对秘钥,这对秘钥将被用于加解密过程。

 

  1. > kubectl logs sealed-secrets-controller-7c766b885b-d5r2r -n kube-system 
  2.  
  3. controller version: v0.15.0 
  4. 2021/05/01 20:13:34 Starting sealed-secrets controller version: v0.15.0 
  5. 2021/05/01 20:13:34 Searching for existing private keys 
  6. 2021/05/01 20:13:35 New key written to kube-system/sealed-secrets-keymt6dg 
  7. 2021/05/01 20:13:35 Certificate is  
  8. -----BEGIN CERTIFICATE----- 
  9. MIIErjCCApagAwIBAgIRAJqYfaZsali26I8pvBXoFGYwDQYJKoZIhvcNAQELBQAw 
  10. ADAeFw0yMTA1MDEyMDEzMzVaFw0zMTA0MjkyMDEzMzVaMAAwggIiMA0GCSqGSIb3 
  11. DQEBAQUAA4ICDwAwggIKAoICAQDp/yO5PY8ACHBDuguhtfpOwlbScK9hZorJloyx 
  12. ixVCc57j1zMSX0pSVcrk1Yuyf6sYvBQtDi16kM70z6y/ODiz+9g87K/jY7B0UAoi 
  13. mpzM/T0tWJiG9ixyNMZhHoNREauokSlbERq3Jl8ZNTfmxHWhLH7DhkJ7MdpQfMpK 
  14. a3XHcSZyz1mXFqv+OSCCwllWCRHmHgp/vqudAv8+NYm0gnAxKt2fjlv/ObX8J1RI 
  15. CtLnlsCpp/9SyVcSTeYYaqjUsI7fTUZ7tkTE/bdQHwf3xe4DhUty7xLqMF1OPSPw 
  16. EetL8fGO0VqoSQFKQ0Bf78+8vhAA2cwkuqB6vQQm9pT3yC5niSCUo+jwFcfyknjr 
  17. yx8DINbq6K9B40EXh8X7w4I6zwYpyT0GoNU54wW0ki8pHRm7EnFeBOkUvNspzmKn 
  18. t/EZEDVq74Kkl/BRNRvKHYlwudSoJuvvX6JM8DVvRp0lMPnXnG3RLSmCP3gEFQBZ 
  19. DhbnkwO+6ADX9Q4vyqelWoHWdVGVULDlMDhSzvEhFFgPcZXzWTShH81vfl8M6lpT 
  20. U0ysZkA6i3A29XEJpPj35yWPBDWmKF5fLM3ChMt/NSJEeoJN1RboPDAgVUTxEW59 
  21. q+Tq09/zlYD7Ch8PNc3IWNXjFNXmCAAOw9Z1VBbD8p6LrC5JvBtPoWYqufWVXQD9 
  22. KDe+6wIDAQABoyMwITAOBgNVHQ8BAf8EBAMCAAEwDwYDVR0TAQH/BAUwAwEB/zAN 
  23. BgkqhkiG9w0BAQsFAAOCAgEAvu//VzDREYZPPIW1maTxo9C/nHEEuOP0rQU3zVQr 
  24. bBYf8N0b5wpCllESCgi0JDJJXrE8KrjfdtawjoBrBlHOdWHF+fIot2KbrC/i37em 
  25. /ulMAgiiJzrKM/ExJuCuH60fsSIx4wrg46tQpU8jHFWq7nGnsaE+UN3QPjuvQ+qo 
  26. KKDSBLDxLx+q9vBfaXElblh4okUI8Pr4UEEJrYiPzPM6nA9EPpy53N3si4jyDJJb 
  27. 2IsCUa2bW6iBhpyZOQQUPn22ziWRQ/sYYNmtP/gX0rwtk+Rr8TTdzPYGZcYfMQ6O 
  28. TFq4Zo2/TnpCL/CUr2DiSuF2qdWGGvbQOENYq2FNuDI4zeljElcZHXA8nhpbNSJs 
  29. 7VNqqz5ZTFCKyL0Gn6SawGT7EdwBT2AD3F33Qd/7bXG/On7KdVw6FKHbZOR2RcoS 
  30. YFQv7Xr8g/4atQjxDa7R5+zkxd5unsvpFhYM1UfNJc4cjJ7SmfCCHoPGiwZ0OgqB 
  31. 6SvUVU64QmMMJ/jYAJkYMOakSHaRITHAvvBjpAMKxSjjb7qZD5FnpXLhRY9lNiY6 
  32. MnnQRxJskCw+R6geIAHTMzAofMfc1haIEr+3oMFZfyh1LFFsz3B4hMxXYKrWYDje 
  33. +96bhAY9X7L0UfREjmw8HCeZneEuBJjX9z/PyIeMdhViLh9uO/MAL1MBxdBVA55+ 
  34. LW8= 
  35. -----END CERTIFICATE----- 
  36.  
  37. 2021/05/01 20:13:35 HTTP server serving on :8080 

运行以下命令查看公钥/私钥信息。

  1. > kubectl get secret -n kube-system -l sealedsecrets.bitnami.com/sealed-secrets-key -o yaml 

4、创建一个名为secrets.yaml的Secret清单文件

 

  1. apiVersion: v1 
  2. data: 
  3. DB_PWD: cGFzc3dvcmQ= //base64 encoded 
  4. DB_USER: cm9vdA==    //base64 encoded 
  5. kind: Secret 
  6. metadata: 
  7. name: db-secrets 

现在让我们使用kubeseal命令,将secrets.yaml转变为SealedSecret资源清单文件。

 

  1. > kubeseal --format=yaml < secret.yaml > sealed-secret.yaml 
  2.  
  3. > cat sealed-secret.yaml  
  4.  
  5. apiVersion: bitnami.com/v1alpha1 
  6. kind: SealedSecret 
  7. metadata: 
  8. creationTimestamp: null 
  9. name: db-secrets 
  10. namespace: default 
  11. spec: 
  12. encryptedData: 
  13. DB_PWD: AgDaCRi27RV4/sVI2ok7JlqBSKT5+c7gGJog+... 
  14. DB_USER: AgAZG67CrrOBnyKIKha7xhJulr+CQGPaE/PpsjvY8jJR0IDO2... 
  15. template: 
  16. metadata: 
  17.   creationTimestamp: null 
  18.   name: db-secrets 
  19.   namespace: default 

在上面的步骤中,kubeseal从Kubernetes集群获取公钥并使用该公钥加密数据。

5、让我们使用SealedSecret资源清单文件,在Kubernetes中创建资源。

  1. > kubectl apply -f sealed-secret.yaml 

如果你再次检查控制器的日志,你将看到控制器拦截了请求,并解密来自SealedSecret的加密数据,数据被解密后,将创建Kubernetes的Secret对象。

 

  1. > kubectl logs sealed-secrets-controller-7c766b885b-d5r2r -n kube-system  
  2. 2021/05/01 20:38:06 Updating default/db-secrets  
  3. 2021/05/01 20:38:06 Event(v1.ObjectReference{Kind:"SealedSecret", Namespace:"default"Name:"db-secrets", UID:"fd89a7e7-c81a-4110-9de6-6b65195169d3", APIVersion:"bitnami.com/v1alpha1", ResourceVersion:"19365", FieldPath:""}): type: 'Normal' reason: 'Unsealed' SealedSecret unsealed successfully 

一旦创建了Kubernetes Secret对象,就可以将它作为环境变量注入到容器中,或者作为数据卷挂载。

上面步骤4中创建的SealedSecret资源清单文件可以被提交到Git代码仓库中。secrets.yaml文件可以丢弃,因为它不再需要了。被存储在sealed-secret.yaml文件中的数据是安全的,它是被加密的,且只能由运行在k8s集群中的Controller解密。

希望这篇文章能让你知道如何保护Kubernetes的机密信息。

责任编辑:未丽燕 来源: Dockone.io
Kubernetes加密容器
相关推荐
赛门铁克报告强调了保护机密信息必要性
四月份赛门铁克互联网安全威胁报告指出,去年攻击者以前所未有的速度传播特洛伊木马、各种病毒和蠕虫(统称为"恶意代码")。网络犯罪的主要目标是什么?您的机密信息。

2010-12-28 09:29:00

军事院校如何保障机密信息安全?
军事院校如何来保证内部文档和数据不被泄露?如何确保军事院校的机密信息安全?笔者经历了国防科技大学的信息安全项目建设,把相关经验与大家分享。

2009-07-07 22:43:15

信息安全DLP亿赛通
如何利用Windows自带功能保护密信息
Windows自带的功能,为了方便使用,有自动记录的功能,但是这些功能有些事情也把我们的“行踪”给暴露了,这个时候应该怎么办呢?本文为你介绍的八种方法,可以让你使用的电脑了无痕迹。

2009-04-28 23:24:07

揭露维基解密窃取机密信息新手段
虽然阿桑奇一直声称他们手上的机密信息都是由匿名人士主动提供的。但互联网安全公司却表示维基解密一直在利用P2P网络搜索机密信息。

2011-02-14 09:53:51

警惕黑客利用VoIP渗透企业窃取机密信息
黑客通过VoIP渗透来窃取、私用企业的VoIP电话,造成了VoIP的不安全性。开放性的架构所带来的灵活性让VoIP能够渗透到企业的整个管理流程中去,提高通信效能,提高生产效率,这是IP技术的核心优势所在。所有影响数据网络的攻击都可能会影响到VoIP网络,如病毒、垃圾邮件、非法侵入、DoS、劫持电话、偷听、数据嗅探等。

2010-11-15 09:59:00

飞鱼星客人网络让企业机密信息不泄露
随着企业间合作交流的频繁,不少商务人士都会携带笔记本电脑到企业做工作拜访,以便更好演示产品,沟通交流。这种交流过程中,往往需要访问互联网,还可能需要打印文件。如果直接把客人的电脑接入企业局域网,会给企业的内网信息安全带来挑战!

2011-05-04 11:17:40

飞鱼星防火墙路由器
ALPHV BlackCat勒索团伙非法窃取谷歌、Meta互动机密信息
PHVBlackCat勒索软件团伙声称访问到了大量敏感数据,包括某科技巨头处理特殊服务信息请求的方式以及特殊代理商的凭据。

2023-06-09 15:49:55

也门网络军队入侵沙特政府网络,泄露大量机密信息
上周,也门网络军队(YemenCyberArmy)入侵了沙特阿拉伯政府的计算机系统,包括沙特阿拉伯外交部、内政部、国防部的网站、服务器、数据库等,同时还泄露了上千份高度机密的文件和其他相关数据。

2015-05-26 09:44:37

黑客攻入卡巴斯基网站数据库 大量机密信息外泄
该黑客表示,只需对卡巴斯基网站的URL链接进行少许修改,网站上整个数据库的内容就一览无遗,只要修改一个参数,包括用户、激活码、软件bug列表在内的资料就全部暴露在网上。如果稍通黑客工具的使用,任何人都能找到卡巴斯基网站的SQL注入漏洞所在。此次攻击是针对卡巴斯基美国站点发起。

2009-02-09 09:19:30

机密计算如何保护不同类型数据
机密计算不仅可以在企业将工作负载转移到公有云的过程中,保护其数据的安全,并且可以在其他不同类型的部署中增强数据的安全性。同时机密计算还为企业带来一系列的业务优势。

2022-09-21 09:03:46

机密计算数据安全
LockBit威胁FBI新任局长,声称掌握能摧毁该机构机密信息
LockBit向新上任的FBI局长卡什·帕特尔发送了一条奇怪的讯息,声称其掌握了“机密信息”,如果这些信息被公开,将可能“摧毁”FBI。

2025-02-26 11:07:45

防止敏感数据和机密信息遭到破坏八个方法
任何企业、任何人都不能单纯依赖一种方法来保护其数据及私密文件。尤其不能仅依赖于某个厂商的安全系统。在网络安全领域,没有固若金汤的防御,没有绝对的网络安全,但是IT管理员可以采取一些有效措施来防止网络遭受损害,更好地保护数据和私密文件。

2011-08-03 13:03:46

又一巨头被Play勒索团伙拿下,大量机密信息被泄露
该团伙为证明此次攻击攻击活动,还泄露了一个5GB的档案,威胁说如果公司不支付赎金,将公布全部档案。

2023-03-21 18:37:45

如何使用 Kubescape 保护 Kubernetes
将对云原生环境中的渐进式交付选项进行分析,以探索如何在Kubernetes环境中添加此增强功能。

2022-12-06 17:32:18

遭俄APT组织暴力攻击,微软部分源代码和机密信息泄露
目前,微软正在继续调查安全漏洞的范围,并且已经和可能受影响的用户进行沟通,但未向外界公布具体哪些源代码和机密信息被窃取。

2024-03-11 15:41:50

斯诺登曝曾因奥巴马总统大选而推迟机密信息泄露
据外媒报道,日前,斯诺登本人披露,他曾因为奥巴马的2008年总统大选而选择推迟NSA机密文件的曝光时间。

2014-08-14 17:01:23

斯诺登机密信息泄露
浅析企业网络机密保护
企业网络的使用越来越多,导致企业的机密逐渐的散布在网络中,这给企业的安全带来了很大的苦恼:企业的网络机密保护如何进行?泄露出去怎么办?如何有效的管理和防范呢?都是一个个的问题。

2010-09-30 12:56:33

企业网络机密保护
区块链技术如何与商业机密保护相融合?
区块链可以视为一个计算机账本,能够记录信息并将其转换为带有数字时间戳的加密哈希值,这个加密的哈希值被称为“区块”。

2021-10-04 11:15:28

区块链技术秘密
如何利用开放策略代理保护Kubernetes
开放策略代理可以通过提供一个完整的工具包来解决Kubernetes授权难题,该工具包用于将声明性策略集成到任意数量的应用程序和基础设施组件中。

2020-09-15 10:28:42

Kubernetes容器
如何使用Ansible Vault保护敏感数据?
本指南介绍了AnsibleVault可以帮助你保护敏感或机密信息,将窥视者拒之门外的各种方法。

2020-04-16 08:00:00

Ansible Vau敏感数据加密
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服