Gestión de secretos: Integración de HashiCorp Vault en Kubernetes
Los Kubernetes Secrets están codificados en Base64, no cifrados. Para una seguridad real de los secretos necesita una solución dedicada como HashiCorp Vault.
El problema con los Kubernetes Secrets
Los Kubernetes Secrets están simplemente codificados en Base64: quien tenga acceso al API Server puede leerlos en texto plano. Para datos sensibles como contraseñas de bases de datos, API Keys y certificados TLS, necesita algo más.
¿Por qué HashiCorp Vault?
- Cifrado: Los Secrets se cifran at-rest y in-transit, no solo se codifican.
- Dynamic Secrets: Vault puede generar credenciales de base de datos temporales on-the-fly: cada Pod recibe sus propias credenciales de acceso.
- Audit Log: Cada acceso a un Secret queda registrado, algo imprescindible para Compliance.
- Rotación: Rotación automática de Secrets sin tiempo de inactividad ni intervención manual.
Integración con Kubernetes
- Vault Agent Injector: Un contenedor sidecar que inyecta Secrets automáticamente en el Pod, sin necesidad de modificar el código de la aplicación.
- CSI Driver: Montar Vault Secrets como volúmenes, el enfoque nativo de Kubernetes a través del Secrets Store CSI Driver.
- External Secrets Operator: Sincroniza los Vault Secrets como Kubernetes Secrets nativos, ideal para aplicaciones legacy.
Nuestra arquitectura
En devRocks utilizamos Vault con el CSI Driver. Vault se ejecuta como clúster de alta disponibilidad con Raft Storage, autentica Pods a través de Kubernetes Service Accounts y rota las credenciales de base de datos automáticamente cada 24 horas.
¿Preguntas sobre este tema?
Le asesoramos con gusto sobre las tecnologías y soluciones descritas en este artículo.
ContactarSeit über 25 Jahren realisieren wir Engineering-Projekte für Mittelstand und Enterprise.
