如何优雅的保护 Kubernetes 中的 Secrets

现如今开发的大多数应用程序，或多或少都会用到一些敏感信息，用于执行某些业务逻辑。比如使用用户名密码去连接数据库，或者使用秘钥连接第三方服务。在代码中直接使用这些密码或者秘钥是最直接的方式，但同时也带来了很大的安全问题，如何保证密码、秘钥不被泄露。

为了保证敏感信息的安全性，Secret对象应该被加密，并且应该使用Kubernetes RBAC机制对访问进行控制。如果你正在使用AWS公有云来托管Kubernetes集群，则可以利用AWS密钥管理服务（KMS）对静态数据进行加密。

Kubernetes的清单文件通常被提交到代码仓库中以进行版本控制。但是你可能不希望将敏感信息以纯文本或Base64编码字符串的形式提交到Git代码仓库中。我们都应该知道为什么，这不安全！但是，你在Kubernetes集群之外将敏感数据保存在何处，以确保它们是安全的？

有很多方法可以解决这个问题。下面列出了其中几个：

1选项1：加密纯文本敏感数据，然后再提交到Git代码仓库中

1. 使用对称或非对称算法加密纯文本敏感数据。
2. 使用Kubernetes Custom Resource Definition（CRD）创建自定义的Secret对象，以使用加密的文本数据。
3. 创建一个自定义Kubernetes控制器，该控制器读取自定义Secret对象中的加密信息，并在运行时解密，并创建一个原生的Secret对象。

使用这种方法，你可以将加密的数据提交到Git代码仓库中。而且它没有风险，因为数据是加密的，只能用你的私钥解密。但是你把私钥放在哪里？

如何存储加密密钥和管理整个加解密过程，可以使用Bitnami的Sealed Secrets[1]。

2选择2：使用第三方服务来存储敏感数据

1. 你可以将敏感数据存储到第三方服务中，如AWS Secrets Manager或HashiCorp Vault。
2. 创建自定义Kubernetes控制器，基于配置从这些服务中获取机密信息，并在运行时创建Kubernetes Secret对象。

External Secrets[2]项目可以帮助你实现选项2。

你还可以增强应用程序逻辑，以便在应用程序启动时从第三方服务读取机密信息，但这里的整体思想是将机密信息管理与应用程序业务逻辑分离开来，并利用Kubernetes的功能来进行相同的管理。

3快速概览Sealed Secrets

在Sealed Secret开源项目中，你可以将你的Secret加密为一个SealedSecret，这样就可以安全地存储，甚至可以存储到公共存储库中。SealedSecret只能由运行在目标集群中的控制器解密，其他人，甚至包括原始作者，都无法从SealedSecret获得原始的Secret。

Sealed Secrets由两部分组成：

• 服务器端的控制器
• 客户端工具：kubeseal

kubeseal使用非对称加密来加密数据，然后只有服务端的控制器才能解密数据。

这些加密数据被编码在SealedSecret资源中，你可以将其视为创建Secret的配方。

下面是如何使用Sealed Secrets来管理Secret的具体步骤。

1、安装kubeseal，这是一个客户端工具，可以帮助你创建SealedSecret

2、安装服务器端控制器，为SealedSecret创建Custom Resource Definition（CRD）

3、验证sealed-secret controller Pod是否运行

如果你查看Pod的日志，你将看到控制器为自己创建的一对秘钥，这对秘钥将被用于加解密过程。

运行以下命令查看公钥/私钥信息。

4、创建一个名为secrets.yaml的Secret清单文件

现在让我们使用kubeseal命令，将secrets.yaml转变为SealedSecret资源清单文件。

在上面的步骤中，kubeseal从Kubernetes集群获取公钥并使用该公钥加密数据。

5、让我们使用SealedSecret资源清单文件，在Kubernetes中创建资源。

如果你再次检查控制器的日志，你将看到控制器拦截了请求，并解密来自SealedSecret的加密数据，数据被解密后，将创建Kubernetes的Secret对象。

链接：https://waswani.medium.com/securing-secrets-in-kubernetes-c78c7bcd433

（版权归原作者所有，侵删）