【发布时间】:2018-07-23 14:36:27
【问题描述】:
在过去的 6 个月里,我一直在使用 Kubernetes,我们已经部署了一些服务。
我们即将部署另一个存储加密数据并将密钥放入 KMS 的设备。这需要两个服务帐户,一个用于数据,一个用于密钥。
必须审核对此的数据访问。由于对这些数据的访问非常敏感,我们不愿意将两个服务帐户都放在名称命名空间中,就好像以任何方式受到损害一样,攻击者可以在未经审计的情况下访问数据和密钥。
现在我们有一个密钥,另一个我们将手动发布到单个 pod。
这太可怕了,因为它需要一个人信任这个密钥,并且限制了可扩展性。幸运的是,这项服务的流量非常小。
有没有其他人遇到过同样的问题? 你是怎么解决的?
干杯
要求
- 没有一个人可以同时访问这两个密钥(数据存储区和 KMS)
【问题讨论】:
标签: kubernetes gcloud google-cloud-kms kubernetes-secrets