云上数据安全实践:一键加密K8s集群Secrets,防止高危机密信息泄露

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心 防病毒版,最高20核 3个月
简介: 在Kubernetes集群中,我们通常使用Secrets模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets对象数据存储在集群对应的etcd中。阿里云容器服务Kubernetes版(简称ACK)通过用户指定的KMS主密钥,对K8s集群Secrets进行落盘加密,用户只需要一键配置就可以实现对K8s集群的纵深安全保护。

为什么要加密K8s Secrets?

Kubernetes在强大的运维编排管理能力之下,依赖了大量的跨产品、跨服务、跨模块调用所必须使用的关键、高危机密信息,例如密码、证书、凭据、访问密钥等。K8s使用Secrets模型存储和管理集群系统和集群中业务应用的敏感信息,并且通过内部的Etcd集群进行保存,同时在Etcd集群的副本中进行分布式复制存储。

为了方便您理解K8s集群管理了什么量级的Secrets,笔者部署了一个没有任何业务负载的Kubernetes集群,默认情况下,有约50个Secret项。
Screen Shot 2020-10-20 at 15.38.52.png

这其中任何一个Secret的泄露,都可能带来对Kubernetes集群,对业务系统,甚至是对企业的运行产生不可估量的损失。

因此您在享受K8s为您带来的便利时,也需要承担一定的管理责任,对K8s集群中托管的大量凭据进行必要的保护,防止来自各方面的安全威胁。

怎么做?

幸运的是,阿里云容器服务Kubernetes版(简称ACK)为您实现了大部分的加密解密的集成工作,您只需要一键配置,从而获得云原生的Secrets保护能力

在新建的ACK Pro集群中开启Secret落盘加密

  1. 登录容器服务管理控制台。
  2. 在控制台左侧导航栏中,单击集群
  3. 单击页面右上角的创建集群,在弹出的选择集群模板页面,选择Pro版集群,并单击创建
  4. ACK托管版页签找到Secret落盘加密,选中选择KMS密钥,在下拉框中选择KMS密钥ID。创建ACK Pro集群的其他配置请参见创建Kubernetes Pro版集群
    image.png

在已创建的ACK Pro集群中开启Secret落盘加密

  1. 登录容器服务管理控制台。
  2. 在控制台左侧导航栏中,单击集群
  3. 集群列表页面单击目标Pro集群名称。
  4. 在集群详情页面单击基本信息页签,在基本信息区域中打开Secret落盘加密开关。

当集群状态由更新中变为运行中时,说明该集群Secret落盘加密的特性已变更完成。

背后的机制

Kubernetes的加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密,信封加密的详细介绍请参见什么是信封加密?以下介绍Kubernetes Secret密钥进行加密和解密的过程:

  • 当一个业务密钥需要通过Kubernetes Secret API存储时,数据会首先被API Server生成的一个随机的数据加密密钥加密,然后该数据密钥会被指定的阿里云KMS密钥加密为一个密文密钥存储在etcd中。
  • 解密Kubernetes Secret密钥时,系统会首先调用阿里云KMS服务的解密OpenAPI进行密文密钥的解密,然后使用解密后的明文密钥对Secret数据解密并最终返回给用户。

您通过授权容器服务账号使用AliyunCSManagedSecurityRole系统角色的权限,来允许容器集群调用您的KMS服务内指定的CMK(用户主密钥)完成Secret的加密保护,因此您具备对K8s Secret数据的完全控制权和加解密动作的审计能力。

如果您登录操作审计控制台,在左侧导航栏单击历史事件查询,在历史事件查询页面有使用aliyuncsmanagedsecurityrole系统角色的加密和解密事件日志,则说明该集群后台已成功开启Secret落盘加密特性。您可以在操作审计服务中查看到对KMS的所有调用记录。
image.png

参考资料

ACK配置Secret加密的帮助文档
KMS创建密钥帮助文档
云产品和KMS集成加密数据的机制
一键加密更多云产品中的数据

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
7天前
|
Kubernetes 监控 开发者
专家级实践:利用Cloud Toolkit进行微服务治理与容器化部署
【10月更文挑战第19天】在当今的软件开发领域,微服务架构因其高可伸缩性、易于维护和快速迭代的特点而备受青睐。然而,随着微服务数量的增加,管理和服务治理变得越来越复杂。作为阿里巴巴云推出的一款免费且开源的开发者工具,Cloud Toolkit 提供了一系列实用的功能,帮助开发者在微服务治理和容器化部署方面更加高效。本文将从个人的角度出发,探讨如何利用 Cloud Toolkit 来应对这些挑战。
24 2
|
8天前
|
Kubernetes 持续交付 Docker
探索DevOps实践:利用Docker与Kubernetes实现微服务架构的自动化部署
【10月更文挑战第18天】探索DevOps实践:利用Docker与Kubernetes实现微服务架构的自动化部署
39 2
|
13天前
|
算法 安全 Java
【数据安全】常见加密算法总结
【数据安全】常见加密算法总结
40 1
|
29天前
|
Kubernetes Cloud Native 云计算
云原生之旅:Kubernetes 集群的搭建与实践
【8月更文挑战第67天】在云原生技术日益成为IT行业焦点的今天,掌握Kubernetes已成为每个软件工程师必备的技能。本文将通过浅显易懂的语言和实际代码示例,引导你从零开始搭建一个Kubernetes集群,并探索其核心概念。无论你是初学者还是希望巩固知识的开发者,这篇文章都将为你打开一扇通往云原生世界的大门。
99 17
|
27天前
|
Kubernetes Docker 微服务
微服务实践k8s&dapr开发部署实验(1)服务调用(一)
微服务实践k8s&dapr开发部署实验(1)服务调用(一)
44 2
|
27天前
|
Kubernetes Cloud Native 微服务
微服务实践之使用 kube-vip 搭建高可用 Kubernetes 集群
微服务实践之使用 kube-vip 搭建高可用 Kubernetes 集群
78 1
|
22天前
|
运维 Kubernetes Cloud Native
云原生时代的容器编排:Kubernetes入门与实践
【10月更文挑战第4天】在云计算的浪潮中,云原生技术以其敏捷、可扩展和高效的特点引领着软件开发的新趋势。作为云原生生态中的关键组件,Kubernetes(通常被称为K8s)已成为容器编排的事实标准。本文将深入浅出地介绍Kubernetes的基本概念,并通过实际案例引导读者理解如何利用Kubernetes进行高效的容器管理和服务部署。无论你是初学者还是有一定经验的开发者,本文都将为你打开云原生世界的大门,并助你一臂之力在云原生时代乘风破浪。
|
26天前
|
Kubernetes Docker 微服务
微服务实践k8s&dapr开发部署实验(1)服务调用(二)
微服务实践k8s&dapr开发部署实验(1)服务调用(二)
46 0
|
27天前
|
人工智能 安全 算法
5G 网络中的加密:守护你的数据安全
5G 网络中的加密:守护你的数据安全
28 0
|
1天前
|
SQL 存储 安全
网络安全与信息安全:防范漏洞、加密技术及安全意识
随着互联网的快速发展,网络安全和信息安全问题日益凸显。本文将探讨网络安全漏洞的类型及其影响、加密技术的应用以及提高个人和组织的安全意识的重要性。通过深入了解这些关键要素,我们可以更好地保护自己的数字资产免受网络攻击的威胁。