Categories
程式開發

蚂蚁集团针对K8s中Secret安全防护的实践与探索


在K8s中,Secret非常重要。因为它是K8s中存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key以及其他用户自定义的敏感文件等。因此,一旦K8s中Secret出现安全问题,后果将非常严重。此外,虽然社区提供了一定的安全防护方案,但是依然存在诸多问题。

K8s Secret面临着哪些安全问题?这些安全问题会带来什么影响?社区提供的解决方案存在哪些不足?…针对这些问题,InfoQ记者采访了蚂蚁集团高级工程师秦凯伦,他专注于可信计算、系统安全和虚拟化等领域,对K8s Secret有着深入的研究和探索。

K8s Secret的安全问题

根据K8ss文档,Secret是K8s中存储所有敏感信息的对象。事实上,如果敏感信息直接存放于K8s的pod spec或镜像中,不仅管控困难,而且存在较大的安全隐患。因此,K8s通过创建、管理、应用Secret对象,可以更好地控制敏感信息的用途,并降低其意外暴露的风险。

秦凯伦称,虽然引入K8s Secret对象,这在一定程度上降低了意外泄露的风险(更多地是通过集中式的管理),但是K8s Secret对象自身的安全性,“社区默认方案中仍存在许多安全问题”。

原文链接:【https://www.infoq.cn/article/yCDCTXabBgQjdFcKIY0y】。未经作者许可,禁止转载。