Kubernetes Gizli Bilgilerini Güvenli Paylaş

Sorun

Kubernetes gizli bilgileri ve kubeconfig dosyaları, altyapına doğrudan erişim sağlayan küme kimlik bilgilerini, servis hesabı token'larını ve TLS sertifikalarını içerir. Bunları Slack veya e-posta üzerinden paylaşmak tüm kümeyi ifşa eder. Sızdırılan bir kubeconfig dosyası, saldırgana iş yüklerini dağıtma, değiştirme veya yok etme yeteneği verir.

Vaulted nasıl yardımcı olur

Vaulted, Kubernetes gizli bilgilerini iletimden önce AES-256-GCM ile istemci tarafında şifreler. Kendiliğinden yok olan bağlantı, küme kimlik bilgilerinin yalnızca alıcı onları alana kadar mevcut olmasını sağlar. Sıfır-bilgi mimarisi, Vaulted sunucusunun küme yapılandırmanı hiçbir zaman düz metin olarak görmeyeceğini garanti eder.

Nasıl yapılır

1. Kubernetes gizli bilgisini, kubeconfig'i veya servis hesabı token'ını Vaulted'a yapıştır
2. Maksimum güvenlik için tek görüntüleme limiti ve kısa son kullanma tarihi belirle
3. Şifreli bağlantıyı küme erişimine ihtiyaç duyan mühendisle paylaş
4. Mühendis kubectl'i kimlik bilgileriyle yapılandırır ve bağlantı kalıcı olarak yok edilir

Kubernetes gizli bilgilerini terminalden paylaş

Terminali terk etmeden küme kimlik bilgilerini paylaşmak için Vaulted CLI'ı kullan: cat kubeconfig.yaml | npx vaulted-cli --views 1 --expires 1h. Ya da içeriği doğrudan geç: npx vaulted-cli "$(kubectl get secret my-secret -o jsonpath={.data})" -v 1. npm ile yükle: npm install -g vaulted-cli.

Kubernetes gizli bilgilerini GitHub Actions'da paylaş

CI/CD pipeline'larında küme kimlik bilgilerini paylaşmak için Vaulted GitHub Action'ı kullan: uses: vaulted-fyi/share-secret@v1 ve Kubernetes gizli bilgisini girdi olarak ayarla. Kendiliğinden yok olan bağlantılarla istemci tarafında şifrelenmiş. GitHub Marketplace'te mevcut.