如何保护Kubernetes的机密信息

安全 云安全
为了保证敏感信息的安全性,Secret对象应该被加密,并且应该使用Kubernetes RBAC机制对访问进行控制。如果你正在使用AWS公有云来托管Kubernetes集群,则可以利用AWS密钥管理服务(KMS)对静态数据进行加密。

现如今开发的大多数应用程序,或多或少都会用到一些敏感信息,用于执行某些业务逻辑。比如使用用户名密码去连接数据库,或者使用秘钥连接第三方服务。在代码中直接使用这些密码或者秘钥是最直接的方式,但同时也带来了很大的安全问题,如何保证密码、秘钥不被泄露。

[[416050]]

如果你的应用程序已经被容器化,且使用Kubernetes(k8s),那情况会好很多。Kubernetes提供了一个原生资源,称为“Secret”,可用于管理和存储敏感信息。敏感信息被编码为未加密的Base64格式,并被存储在Secret对象中。Secret可以作为环境变量被注入到Pod内部的容器中,也可以作为数据卷挂载到容器内部。

为了保证敏感信息的安全性,Secret对象应该被加密,并且应该使用Kubernetes RBAC机制对访问进行控制。如果你正在使用AWS公有云来托管Kubernetes集群,则可以利用AWS密钥管理服务(KMS)对静态数据进行加密。

Kubernetes的清单文件通常被提交到代码仓库中以进行版本控制。但是你可能不希望将敏感信息以纯文本或Base64编码字符串的形式提交到Git代码仓库中。我们都应该知道为什么,这不安全!但是,你在Kubernetes集群之外将敏感数据保存在何处,以确保它们是安全的?

有很多方法可以解决这个问题。下面列出了其中几个:

选项1:加密纯文本敏感数据,然后再提交到Git代码仓库中

  • 使用对称或非对称算法加密纯文本敏感数据。
  • 使用Kubernetes Custom Resource Definition(CRD)创建自定义的Secret对象,以使用加密的文本数据。
  • 创建一个自定义Kubernetes控制器,该控制器读取自定义Secret对象中的加密信息,并在运行时解密,并创建一个原生的Secret对象。

使用这种方法,你可以将加密的数据提交到Git代码仓库中。而且它没有风险,因为数据是加密的,只能用你的私钥解密。但是你把私钥放在哪里?

如何存储加密密钥和管理整个加解密过程,可以使用Bitnami的Sealed Secrets。

选择2:使用第三方服务来存储敏感数据

  • 你可以将敏感数据存储到第三方服务中,如AWS Secrets Manager或HashiCorp Vault。
  • 创建自定义Kubernetes控制器,基于配置从这些服务中获取机密信息,并在运行时创建Kubernetes Secret对象。

External Secrets项目可以帮助你实现选项2。

你还可以增强应用程序逻辑,以便在应用程序启动时从第三方服务读取机密信息,但这里的整体思想是将机密信息管理与应用程序业务逻辑分离开来,并利用Kubernetes的功能来进行相同的管理。

快速概览Sealed Secrets

在Sealed Secret开源项目中,你可以将你的Secret加密为一个SealedSecret,这样就可以安全地存储,甚至可以存储到公共存储库中。SealedSecret只能由运行在目标集群中的控制器解密,其他人,甚至包括原始作者,都无法从SealedSecret获得原始的Secret。

Sealed Secrets由两部分组成:

  • 服务器端的控制器
  • 客户端工具:kubeseal

kubeseal使用非对称加密来加密数据,然后只有服务端的控制器才能解密数据。

这些加密数据被编码在SealedSecret资源中,你可以将其视为创建Secret的配方。

下面是如何使用Sealed Secrets来管理Secret的具体步骤。

1、安装kubeseal,这是一个客户端工具,可以帮助你创建SealedSecret

 

> wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.15.0/kubeseal-linux-amd64 -O kubeseal  
> sudo install -m 755 kubeseal /usr/local/bin/kubeseal 
  • 1.
  • 2.

2、安装服务器端控制器,为SealedSecret创建Custom Resource Definition(CRD)

 

> kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.15.0/controller.yaml 
 
rolebinding.rbac.authorization.k8s.io/sealed-secrets-service-proxier created 
role.rbac.authorization.k8s.io/sealed-secrets-key-admin created 
clusterrole.rbac.authorization.k8s.io/secrets-unsealer created 
deployment.apps/sealed-secrets-controller created 
customresourcedefinition.apiextensions.k8s.io/sealedsecrets.bitnami.com created 
service/sealed-secrets-controller created 
clusterrolebinding.rbac.authorization.k8s.io/sealed-secrets-controller created 
serviceaccount/sealed-secrets-controller created 
role.rbac.authorization.k8s.io/sealed-secrets-service-proxier created 
rolebinding.rbac.authorization.k8s.io/sealed-secrets-controller created 
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.

3、验证sealed-secret controller Pod是否运行

 

> kubectl get pods -n kube-system -l name=sealed-secrets-controller 
 
NAME                                         READY   STATUS RESTARTS   AGE 
sealed-secrets-controller-7c766b885b-d5r2r   1/1     Running   0          7m39s 
  • 1.
  • 2.
  • 3.
  • 4.

如果你查看Pod的日志,你将看到控制器为自己创建的一对秘钥,这对秘钥将被用于加解密过程。

 

> kubectl logs sealed-secrets-controller-7c766b885b-d5r2r -n kube-system 
 
controller version: v0.15.0 
2021/05/01 20:13:34 Starting sealed-secrets controller version: v0.15.0 
2021/05/01 20:13:34 Searching for existing private keys 
2021/05/01 20:13:35 New key written to kube-system/sealed-secrets-keymt6dg 
2021/05/01 20:13:35 Certificate is  
-----BEGIN CERTIFICATE----- 
MIIErjCCApagAwIBAgIRAJqYfaZsali26I8pvBXoFGYwDQYJKoZIhvcNAQELBQAw 
ADAeFw0yMTA1MDEyMDEzMzVaFw0zMTA0MjkyMDEzMzVaMAAwggIiMA0GCSqGSIb3 
DQEBAQUAA4ICDwAwggIKAoICAQDp/yO5PY8ACHBDuguhtfpOwlbScK9hZorJloyx 
ixVCc57j1zMSX0pSVcrk1Yuyf6sYvBQtDi16kM70z6y/ODiz+9g87K/jY7B0UAoi 
mpzM/T0tWJiG9ixyNMZhHoNREauokSlbERq3Jl8ZNTfmxHWhLH7DhkJ7MdpQfMpK 
a3XHcSZyz1mXFqv+OSCCwllWCRHmHgp/vqudAv8+NYm0gnAxKt2fjlv/ObX8J1RI 
CtLnlsCpp/9SyVcSTeYYaqjUsI7fTUZ7tkTE/bdQHwf3xe4DhUty7xLqMF1OPSPw 
EetL8fGO0VqoSQFKQ0Bf78+8vhAA2cwkuqB6vQQm9pT3yC5niSCUo+jwFcfyknjr 
yx8DINbq6K9B40EXh8X7w4I6zwYpyT0GoNU54wW0ki8pHRm7EnFeBOkUvNspzmKn 
t/EZEDVq74Kkl/BRNRvKHYlwudSoJuvvX6JM8DVvRp0lMPnXnG3RLSmCP3gEFQBZ 
DhbnkwO+6ADX9Q4vyqelWoHWdVGVULDlMDhSzvEhFFgPcZXzWTShH81vfl8M6lpT 
U0ysZkA6i3A29XEJpPj35yWPBDWmKF5fLM3ChMt/NSJEeoJN1RboPDAgVUTxEW59 
q+Tq09/zlYD7Ch8PNc3IWNXjFNXmCAAOw9Z1VBbD8p6LrC5JvBtPoWYqufWVXQD9 
KDe+6wIDAQABoyMwITAOBgNVHQ8BAf8EBAMCAAEwDwYDVR0TAQH/BAUwAwEB/zAN 
BgkqhkiG9w0BAQsFAAOCAgEAvu//VzDREYZPPIW1maTxo9C/nHEEuOP0rQU3zVQr 
bBYf8N0b5wpCllESCgi0JDJJXrE8KrjfdtawjoBrBlHOdWHF+fIot2KbrC/i37em 
/ulMAgiiJzrKM/ExJuCuH60fsSIx4wrg46tQpU8jHFWq7nGnsaE+UN3QPjuvQ+qo 
KKDSBLDxLx+q9vBfaXElblh4okUI8Pr4UEEJrYiPzPM6nA9EPpy53N3si4jyDJJb 
2IsCUa2bW6iBhpyZOQQUPn22ziWRQ/sYYNmtP/gX0rwtk+Rr8TTdzPYGZcYfMQ6O 
TFq4Zo2/TnpCL/CUr2DiSuF2qdWGGvbQOENYq2FNuDI4zeljElcZHXA8nhpbNSJs 
7VNqqz5ZTFCKyL0Gn6SawGT7EdwBT2AD3F33Qd/7bXG/On7KdVw6FKHbZOR2RcoS 
YFQv7Xr8g/4atQjxDa7R5+zkxd5unsvpFhYM1UfNJc4cjJ7SmfCCHoPGiwZ0OgqB 
6SvUVU64QmMMJ/jYAJkYMOakSHaRITHAvvBjpAMKxSjjb7qZD5FnpXLhRY9lNiY6 
MnnQRxJskCw+R6geIAHTMzAofMfc1haIEr+3oMFZfyh1LFFsz3B4hMxXYKrWYDje 
+96bhAY9X7L0UfREjmw8HCeZneEuBJjX9z/PyIeMdhViLh9uO/MAL1MBxdBVA55+ 
LW8= 
-----END CERTIFICATE----- 
 
2021/05/01 20:13:35 HTTP server serving on :8080 
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.

运行以下命令查看公钥/私钥信息。

> kubectl get secret -n kube-system -l sealedsecrets.bitnami.com/sealed-secrets-key -o yaml 
  • 1.

4、创建一个名为secrets.yaml的Secret清单文件

 

apiVersion: v1 
data: 
DB_PWD: cGFzc3dvcmQ= //base64 encoded 
DB_USER: cm9vdA==    //base64 encoded 
kind: Secret 
metadata: 
name: db-secrets 
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.

现在让我们使用kubeseal命令,将secrets.yaml转变为SealedSecret资源清单文件。

 

> kubeseal --format=yaml < secret.yaml > sealed-secret.yaml 
 
> cat sealed-secret.yaml  
 
apiVersion: bitnami.com/v1alpha1 
kind: SealedSecret 
metadata: 
creationTimestamp: null 
name: db-secrets 
namespace: default 
spec: 
encryptedData: 
DB_PWD: AgDaCRi27RV4/sVI2ok7JlqBSKT5+c7gGJog+... 
DB_USER: AgAZG67CrrOBnyKIKha7xhJulr+CQGPaE/PpsjvY8jJR0IDO2... 
template: 
metadata: 
  creationTimestamp: null 
  name: db-secrets 
  namespace: default 
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.

在上面的步骤中,kubeseal从Kubernetes集群获取公钥并使用该公钥加密数据。

5、让我们使用SealedSecret资源清单文件,在Kubernetes中创建资源。

> kubectl apply -f sealed-secret.yaml 
  • 1.

如果你再次检查控制器的日志,你将看到控制器拦截了请求,并解密来自SealedSecret的加密数据,数据被解密后,将创建Kubernetes的Secret对象。

 

> kubectl logs sealed-secrets-controller-7c766b885b-d5r2r -n kube-system  
2021/05/01 20:38:06 Updating default/db-secrets  
2021/05/01 20:38:06 Event(v1.ObjectReference{Kind:"SealedSecret", Namespace:"default"Name:"db-secrets", UID:"fd89a7e7-c81a-4110-9de6-6b65195169d3", APIVersion:"bitnami.com/v1alpha1", ResourceVersion:"19365", FieldPath:""}): type: 'Normal' reason: 'Unsealed' SealedSecret unsealed successfully 
  • 1.
  • 2.
  • 3.

一旦创建了Kubernetes Secret对象,就可以将它作为环境变量注入到容器中,或者作为数据卷挂载。

上面步骤4中创建的SealedSecret资源清单文件可以被提交到Git代码仓库中。secrets.yaml文件可以丢弃,因为它不再需要了。被存储在sealed-secret.yaml文件中的数据是安全的,它是被加密的,且只能由运行在k8s集群中的Controller解密。

希望这篇文章能让你知道如何保护Kubernetes的机密信息。

责任编辑:未丽燕 来源: Dockone.io
相关推荐

2010-12-28 09:29:00

2009-07-07 22:43:15

信息安全DLP亿赛通

2009-04-28 23:24:07

2011-02-14 09:53:51

2010-11-15 09:59:00

2011-05-04 11:17:40

飞鱼星防火墙路由器

2009-02-09 09:19:30

2015-05-26 09:44:37

2023-06-09 15:49:55

2022-09-21 09:03:46

机密计算数据安全

2011-08-03 13:03:46

2025-02-26 11:07:45

2023-03-21 18:37:45

2022-12-06 17:32:18

2014-08-14 17:01:23

斯诺登机密信息泄露

2024-03-11 15:41:50

2010-09-30 12:56:33

企业网络机密保护

2021-10-04 11:15:28

区块链技术秘密

2020-09-15 10:28:42

Kubernetes容器

2020-04-16 08:00:00

Ansible Vau敏感数据加密
点赞
收藏

51CTO技术栈公众号