【问题标题】:Vaults secrets injected by vault sidecar container inside the pod are visible to kubernetes cluster users/admin由 pod 内的 vault sidecar 容器注入的 vault secret 对 kubernetes 集群用户/管理员可见
【发布时间】:2021-12-02 13:36:41
【问题描述】:

我已将外部保管库集成到 Kubernetes 集群中。 Vault 将机密信息注入到 pod 内的共享卷“/vault/secrets”中,应用程序容器可以使用该卷。到目前为止,一切看起来都很好。

但我可以通过以纯文本形式将机密插入共享卷来查看安全风险,因为任何人都可以访问有权访问 kubernetes 集群的应用程序机密。

示例:秘密被注入到共享卷中 /vault/secrets/config

现在,如果 kubernetes 集群管理员登录并且他可以访问 pod 以及共享卷中可用的纯文本格式的凭据。

kubectl exec -it 命令将用于进入 pod。

在这种情况下,我担心集群管理员可以访问应用程序机密(例如:数据库密码),这是安全风险。在我的场景中,Vault admin 不同,kubernetes cluster admin 不同。

【问题讨论】:

  • 您可能更愿意让应用程序授权通过单独的策略访问凭据,而不是使用 sidecar。这也可以最大限度地减少其他安全风险。
  • 你是说,我们可以避免使用 vault agent sidecar?您能否详细说明个别政策方法。

标签: security kubernetes hashicorp-vault


【解决方案1】:

在集群中的所有 pod 都可以使用共享卷,其中所有机密都以纯文本形式存储,这听起来不太安全,说实话。您可以通过将使用限制(num_uses 令牌属性)定义为 1(一)并在合法应用程序(即秘密用于的应用程序)获取令牌无效时发出警报,从而稍微提高安全性(仅一点点)错误消息。 我是 K8s 菜鸟,但本指南怎么样: https://cloud.redhat.com/blog/integrating-hashicorp-vault-in-openshift-4 我知道它适用于 RH OSE,但也许这个概念激发了一个想法。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-10-01
    • 1970-01-01
    • 2022-07-06
    • 1970-01-01
    • 1970-01-01
    • 2019-11-23
    • 2019-12-16
    • 2022-07-15
    相关资源
    最近更新 更多