Kubernetes 시크릿 안전하게 공유하기

문제

Kubernetes 시크릿과 kubeconfig 파일에는 인프라에 직접 접근 권한을 부여하는 클러스터 자격 증명, 서비스 계정 토큰, TLS 인증서가 포함됩니다. Slack이나 이메일로 공유하면 전체 클러스터가 노출됩니다. kubeconfig 파일이 유출되면 공격자가 워크로드를 배포, 수정, 삭제할 수 있게 됩니다.

Vaulted가 도움이 되는 방법

Vaulted는 전송 전에 Kubernetes 시크릿을 AES-256-GCM으로 클라이언트 측 암호화합니다. 자동 삭제 링크는 수신자가 가져갈 때까지만 클러스터 자격 증명을 이용 가능하게 합니다. 제로 지식 아키텍처는 Vaulted 서버가 평문 클러스터 설정을 절대 볼 수 없음을 보장합니다.

사용 방법

1. Kubernetes 시크릿, kubeconfig, 또는 서비스 계정 토큰을 Vaulted에 붙여 넣기
2. 최대 보안을 위해 1회 열람 제한과 짧은 만료 기간 설정
3. 클러스터 접근이 필요한 엔지니어와 암호화 링크 공유
4. kubectl을 자격 증명으로 설정하면 링크가 영구적으로 삭제됨

터미널에서 Kubernetes 시크릿 공유하기

Vaulted CLI를 사용하여 터미널을 벗어나지 않고 클러스터 자격 증명을 공유하세요: cat kubeconfig.yaml | npx vaulted-cli --views 1 --expires 1h. 또는 내용을 직접 전달하세요: npx vaulted-cli "$(kubectl get secret my-secret -o jsonpath={.data})" -v 1. npm으로 설치: npm install -g vaulted-cli.

GitHub Actions에서 Kubernetes 시크릿 공유하기

Vaulted GitHub Action을 사용하여 CI/CD 파이프라인에서 클러스터 자격 증명을 공유하세요: uses: vaulted-fyi/share-secret@v1, Kubernetes 시크릿을 입력으로 설정합니다. 자동 삭제 링크와 함께 클라이언트 측 암호화. GitHub Marketplace에서 이용 가능합니다.