Red Hat Summit2.8. 외부 시크릿 저장소를 사용하여 Pod에 민감한 데이터 제공
시크릿 오브젝트를 사용하여 암호 및 사용자 이름과 같은 중요한 정보를 애플리케이션에 제공하는 대신 외부 시크릿 관리 시스템을 사용하여 정보를 저장할 수 있습니다. 그런 다음 Secrets Store CSI Driver Operator를 사용하여 정보에 액세스하고 보안 콘텐츠를 Pod 볼륨으로 마운트할 수 있습니다. 외부 시크릿 저장소를 사용하면 개발자가 가지고 있지 않고 시크릿 오브젝트보다 더 안전하게 보호할 수 있는 정보가 보호됩니다.
2.8.1. Secrets Store CSI Driver Operator 정보
보안을 안전하게 저장하고 관리하려면 공급자 플러그인을 사용하여 외부 시크릿 관리 시스템(예: Azure Key Vault)에서 시크릿을 마운트하도록 OpenShift Container Platform Secrets Store CSI Driver Operator를 구성할 수 있습니다. 그러면 애플리케이션에서 시크릿을 사용할 수 있지만 애플리케이션 pod를 삭제한 후에는 시스템에서 시크릿이 유지되지 않습니다.
보안 오브젝트는 Base64 인코딩으로 저장됩니다. etcd는 이러한 시크릿을 위해 미사용 암호화를 제공하지만 시크릿이 검색되면 암호 해독되어 사용자에게 제공됩니다. 클러스터에서 역할 기반 액세스 제어가 제대로 구성되지 않은 경우 API 또는 etcd 액세스 권한이 있는 모든 사용자가 시크릿을 검색하거나 수정할 수 있습니다. 또한 네임스페이스에서 Pod를 생성할 권한이 있는 사용자는 해당 액세스 권한을 사용하여 해당 네임스페이스의 보안을 읽을 수 있습니다.
Secrets Store CSI Driver Operator, secrets-store.csi.k8s.io 를 사용하면 OpenShift Container Platform에서 엔터프라이즈급 외부 시크릿 저장소에 저장된 여러 시크릿, 키 및 인증서를 볼륨으로 마운트할 수 있습니다. Secrets Store CSI Driver Operator는 gRPC를 사용하여 공급자와 통신하여 지정된 외부 시크릿 저장소에서 마운트 콘텐츠를 가져옵니다. 볼륨이 연결되면 해당 데이터가 컨테이너의 파일 시스템에 마운트됩니다. 시크릿 저장소 볼륨은 인라인으로 마운트됩니다.
2.8.1.1. 보안 저장소 공급자
애플리케이션에 필요한 중요한 정보를 외부 시크릿 관리 시스템에 저장하고 Secrets Store CSI Driver Operator를 사용하여 보안 콘텐츠를 Pod 볼륨으로 마운트할 수 있습니다. 외부 시크릿 저장소를 사용하면 개발자가 가지고 있지 않고 시크릿 오브젝트보다 더 안전하게 보호할 수 있는 정보가 보호됩니다.
Secrets Store CSI Driver Operator는 다음 보안 저장소 공급자로 테스트되었습니다.
- AWS Secrets Manager
- AWS Systems Manager 매개변수 저장소
- Azure Key Vault
- Google Secret Manager
- HashiCorp Vault
IBM Z는 HashiCorp Vault만 지원합니다.
Red Hat은 타사 보안 저장소 공급자 기능과 관련된 모든 요소를 테스트하지 않습니다. 타사 지원에 대한 자세한 내용은 "Red Hat 타사 지원 정책"을 참조하십시오.
2.8.1.2. 자동 교체
외부 시크릿 공급자와의 동기화를 유지하기 위해 Secrets Store CSI Driver Operator는 마운트된 볼륨의 시크릿 콘텐츠를 자동으로 순환합니다. Secrets Store CSI Driver Operator는 이 프로세스를 사용하여 외부 저장소의 업데이트가 Pod 및 보안에 자동으로 반영되도록 합니다.
마운트된 콘텐츠의 동기화를 Kubernetes 시크릿으로 활성화한 경우 Kubernetes 시크릿도 순환됩니다.
시크릿 데이터를 사용하는 애플리케이션은 시크릿 업데이트를 감시해야 합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}