为什么要加密K8s Secrets?
Kubernetes在强大的运维编排管理能力之下,依赖了大量的跨产品、跨服务、跨模块调用所必须使用的关键、高危机密信息,例如密码、证书、凭据、访问密钥等。K8s使用Secrets模型存储和管理集群系统和集群中业务应用的敏感信息,并且通过内部的Etcd集群进行保存,同时在Etcd集群的副本中进行分布式复制存储。
为了方便您理解K8s集群管理了什么量级的Secrets,笔者部署了一个没有任何业务负载的Kubernetes集群,默认情况下,有约50个Secret项。
这其中任何一个Secret的泄露,都可能带来对Kubernetes集群,对业务系统,甚至是对企业的运行产生不可估量的损失。
因此您在享受K8s为您带来的便利时,也需要承担一定的管理责任,对K8s集群中托管的大量凭据进行必要的保护,防止来自各方面的安全威胁。
怎么做?
幸运的是,阿里云容器服务Kubernetes版(简称ACK)为您实现了大部分的加密解密的集成工作,您只需要一键配置,从而获得云原生的Secrets保护能力
在新建的ACK Pro集群中开启Secret落盘加密
- 登录容器服务管理控制台。
- 在控制台左侧导航栏中,单击集群。
- 单击页面右上角的创建集群,在弹出的选择集群模板页面,选择Pro版集群,并单击创建。
- 在ACK托管版页签找到Secret落盘加密,选中选择KMS密钥,在下拉框中选择KMS密钥ID。创建ACK Pro集群的其他配置请参见创建Kubernetes Pro版集群。
在已创建的ACK Pro集群中开启Secret落盘加密
- 登录容器服务管理控制台。
- 在控制台左侧导航栏中,单击集群。
- 在集群列表页面单击目标Pro集群名称。
- 在集群详情页面单击基本信息页签,在基本信息区域中打开Secret落盘加密开关。
当集群状态由更新中变为运行中时,说明该集群Secret落盘加密的特性已变更完成。
背后的机制
Kubernetes的加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密,信封加密的详细介绍请参见什么是信封加密?以下介绍Kubernetes Secret密钥进行加密和解密的过程:
- 当一个业务密钥需要通过Kubernetes Secret API存储时,数据会首先被API Server生成的一个随机的数据加密密钥加密,然后该数据密钥会被指定的阿里云KMS密钥加密为一个密文密钥存储在etcd中。
- 解密Kubernetes Secret密钥时,系统会首先调用阿里云KMS服务的解密OpenAPI进行密文密钥的解密,然后使用解密后的明文密钥对Secret数据解密并最终返回给用户。
您通过授权容器服务账号使用AliyunCSManagedSecurityRole系统角色的权限,来允许容器集群调用您的KMS服务内指定的CMK(用户主密钥)完成Secret的加密保护,因此您具备对K8s Secret数据的完全控制权和加解密动作的审计能力。
如果您登录操作审计控制台,在左侧导航栏单击历史事件查询,在历史事件查询页面有使用aliyuncsmanagedsecurityrole系统角色的加密和解密事件日志,则说明该集群后台已成功开启Secret落盘加密特性。您可以在操作审计服务中查看到对KMS的所有调用记录。