Hoy en día, administrar secretos para proteger el acceso a datos confidenciales en Kubernetes es complicado. Agrega muchos componentes que son problemáticos para los profesionales de la seguridad. Como resultado, esta capa de seguridad en Kubernetes no es óptima.
Esto cambia con el software de proyecto de código abierto de Trousseau, disponible hoy. La administración de secretos ahora se puede agregar a Kubernetes junto con la compatibilidad con cualquier encriptación de administración de claves, comenzando con HashiCorp Vault. El software de código abierto Trousseau está disponible aquí en GitHub .
Romuald Vandepoel, arquitecto principal de la nube de Ondat y líder del proyecto de Trousseau, dijo: “Ha habido proyectos anteriores que intentaron resolver este problema, pero requerían agregar muchos componentes. Naturalmente, a los equipos de seguridad no les gustaba ese enfoque porque introducía una complejidad adicional que dificultaba la seguridad. La gestión de secretos siempre ha sido uno de los problemas más difíciles en Kubernetes y la integración de Trousseau Vault proporciona la respuesta largamente buscada a ese problema.“
Trousseau usa Kubernetes etcd para almacenar definiciones y estados de objetos API. Los secretos de Kubernetes se envían a la base de datos del almacén de clave-valor etcd mediante un esquema de cifrado de sobres en vuelo con una clave de tránsito remota guardada en un KMS. Los secretos protegidos y encriptados con Trousseau y su integración nativa con Kubernetes pueden conectarse con un sistema de administración de claves para proteger las credenciales de la base de datos, un archivo de configuración o un certificado TLS (Seguridad de la capa de transporte) que contiene información crítica y es fácilmente accesible mediante una aplicación que utiliza la API estándar de Kubernetes. primitivos.
"Nos estamos dando cuenta de dos grandes beneficios de Trousseau: primero, la simplicidad como complemento con el KMS existente, HashiCorp Vault y, segundo, la integración con los flujos de trabajo de GitOps utilizando la API nativa de Kubernetes", dijo Bill Wong, director ejecutivo de SunnyVision Limited. "Nos ha proporcionado la seguridad adicional que necesitamos sin interrupciones".
Con Trousseau, cualquier usuario/carga de trabajo puede aprovechar la forma nativa de Kubernetes para almacenar y acceder a secretos de forma segura conectándose a cualquier proveedor de KMS, como Hashicorp Vault (ediciones Community y Enterprise), utilizando el marco del proveedor de KMS de Kubernetes. No se requieren cambios adicionales ni nuevas habilidades. También es posible realizar la transición entre las plataformas de Kubernetes utilizando la API de Kubernetes coherente.
Trousseau se está implementando actualmente en una implementación de cliente de producción en Suse Rancher Kubernetes Engine 2 aprovechando Ondat como plataforma de administración de datos, junto con Hashicorp Vault.
“Esta falta de un enfoque estandarizado para la gestión de secretos en Kubernetes ha sido perjudicial para la seguridad, y la complejidad ha sido un impedimento para la adopción en ciertos casos”, dijo Asvin Ramesh, director sénior de alianzas de Hashicorp. “Estamos entusiasmados de apoyar la iniciativa de código abierto Trousseau Vault que aborda este problema al brindar un nuevo nivel de simplicidad para los usuarios de Kubernetes, junto con una mejor protección de seguridad”.
Para obtener más información, lea Cómo mantener un secreto en secreto dentro de Kubernetes y únase al taller Data on Kubernetes Meetup Desentrañar la clave de los secretos de Kubernetes el 16 de febrero.
Acerca del Proyecto Trousseau
Concebido en noviembre de 2020, el "por qué" detrás de Trousseau se presentó en FOSDEM a principios de 2021 y el primer software de código abierto estuvo disponible en diciembre. Proporciona gestión nativa de secretos de Kubernetes para el acceso controlado a datos confidenciales que simplifica y brinda una mejor seguridad a Kubernetes.
Acerca de Ondat
Ondat es la plataforma nativa de Kubernetes para ejecutar aplicaciones con estado, en cualquier lugar y a escala. Ondat ofrece almacenamiento persistente directamente en cualquier clúster de Kubernetes para ejecutar aplicaciones críticas y con estado de forma segura en cualquier nube pública, privada e híbrida. Para el desarrollo, los profesionales de DevOps y los ejecutivos de tecnología, proporciona una plataforma agnóstica para ejecutar cualquier servicio de datos en cualquier lugar al tiempo que garantiza niveles líderes en la industria de rendimiento de aplicaciones, alta disponibilidad y seguridad.
Contactos
Medios
Joe Eckert para Ondat
Fuente: somoslibres
