[Kubernetes] Secret

시크릿의 특성과 사용이유

Kubernetes Secret은 단순 Base64 인코딩이다 (암호화가 아니다)

etcd에 평문으로 저장되며 API (access)접근 권한이 있는 모든 사용자 또는 etcd에 접근할 수 있는 모든 사용자는 시크릿을 조회하거나 수정할 수 있다. 네임스페이스에서 파드를 생성할 권한이 있는 사람은 누구나 해당 네임스페이스의 모든 시크릿을 읽을 수 있다 .  

또한, kubectl get secrets -o yaml 로 보면 쉽게 복원 가능하다 

 

그럼에도 Secret을 쓰는 이유는 운영 레벨에서 안전성을 높이는 구조가 있기 때문이다 

 

예를 들어, 

 

(1) 노드 단위로 제한하여 전달할 수 있다 

- Secret은 필요한 Pod가 있는 Node에만 전달된다 

- 전체 클러스터에 퍼지지 않으므로 공격 표면적(?)이 감소한다 

 

(2) 디스크가 아니라 메모리(tmpfs)에 저장된다 

- 디스크 탈취 공격을 방지할 수 있다 

 

(3) Pod 삭제시 Secret도 같이 삭제된다 

- Pod가 사라지면 Kubelet이 Secret도 정리한다 

- 따라서, 잔존 데이터 리스크가 감소한다 

 

(4) Git에 안 올리면 최소한의 사고 방지

- Secret YAML을 repo에 안 올리는 것만으로도 사람의 실수로 유출되는 사고를 방지할 수 있다 

---

시크릿을 안전하게 사용하려면 

https://kubernetes.io/ko/docs/concepts/security/secrets-good-practices/

 

etcd Encryption at Rest 활성화https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/

• etcd에 저장될 때 실제로 암호화됨

RBAC으로 접근 제한 https://kubernetes.io/ko/docs/reference/access-authn-authz/authorization/

• Secret 읽을 수 있는 권한 최소화

External Secret 관리 도구 사용https://secrets-store-csi-driver.sigs.k8s.io/concepts.html#provider-for-the-secrets-store-csi-driver