![](/img/trans.png)
[英]TLS security needed between sidecar and main container inside pod
[英]Vaults secrets injected by vault sidecar container inside the pod are visible to kubernetes cluster users/admin
我已将外部保险库集成到 kubernetes 集群中。 Vault 将机密注入到 Pod 内的共享卷“/vault/secrets”中,该卷可以被应用程序容器使用。 到目前为止,一切看起来都很好。
但是我可以通过将机密以纯文本形式插入共享卷中来看到安全风险,因为任何人都可以访问有权访问 kubernetes 集群的应用程序机密。
示例:秘密被注入到/vault/secrets/config 的共享卷中
现在,如果 kubernetes 集群管理员登录并且他可以访问 pod 以及共享卷中可用的纯文本格式的凭据。
Kubectl exec -it <pod> 命令将用于进入 pod。
在这种情况下,我担心集群管理员可以访问存在安全风险的应用程序机密(例如:数据库密码)。 在我的场景中,Vault 管理员是不同的,而 kubernetes 集群管理员是不同的。
为集群中的所有 pod 提供一个共享卷,其中所有的秘密都以纯文本形式存储,这听起来不太安全,说实话。 您可以通过将使用限制(num_uses 令牌属性)定义为 1(一)并在合法应用程序(即秘密适用的应用程序)获取令牌无效时发出警报来稍微(仅一点点)提高安全性错误消息。 我是 K8s 菜鸟,但本指南如何: https ://cloud.redhat.com/blog/integrating-hashicorp-vault-in-openshift-4 我知道它适用于 RH OSE,但也许这个概念激发了一个想法。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.