Gestión de secretos: Integración de HashiCorp Vault en Kubernetes

El problema con los Kubernetes Secrets

Los Kubernetes Secrets están simplemente codificados en Base64: quien tenga acceso al API Server puede leerlos en texto plano. Para datos sensibles como contraseñas de bases de datos, API Keys y certificados TLS, necesita algo más.

¿Por qué HashiCorp Vault?

• Cifrado: Los Secrets se cifran at-rest y in-transit, no solo se codifican.
• Dynamic Secrets: Vault puede generar credenciales de base de datos temporales on-the-fly: cada Pod recibe sus propias credenciales de acceso.
• Audit Log: Cada acceso a un Secret queda registrado, algo imprescindible para Compliance.
• Rotación: Rotación automática de Secrets sin tiempo de inactividad ni intervención manual.

Integración con Kubernetes

• Vault Agent Injector: Un contenedor sidecar que inyecta Secrets automáticamente en el Pod, sin necesidad de modificar el código de la aplicación.
• CSI Driver: Montar Vault Secrets como volúmenes, el enfoque nativo de Kubernetes a través del Secrets Store CSI Driver.
• External Secrets Operator: Sincroniza los Vault Secrets como Kubernetes Secrets nativos, ideal para aplicaciones legacy.

Nuestra arquitectura

En devRocks utilizamos Vault con el CSI Driver. Vault se ejecuta como clúster de alta disponibilidad con Raft Storage, autentica Pods a través de Kubernetes Service Accounts y rota las credenciales de base de datos automáticamente cada 24 horas.