Секреты для сервисов: Vault in Kubernetes Безопасность, DevSecOps

Доклад принят в программу конференции
Николай Ефимов
Plesk

В IT с 2008 года.
Прошел: pet-проект, поддержка легаси, рекламные сети, внутренние сервисы, микросервисная платформа, микросервисная платформа v2.0.

Интересы в работе: Kubernetes, CI/CD, Backend, Frontend, etc.

ef.nik.ser@mail.ru
Тезисы

При разработке и эксплуатации сервисов у нас остро стояла проблема хранения и доставки актуальных секретов к сервисам.

За многолетний опыт компании мы использовали множество инструментов. Большинство из них не подходят для использования в Kubernetes. Мы выбрали Vault и Sidecar Injector, и я расскажу, почему. Как мы решали возникающие трудности (unseal, ENV, cronjobs). Что мы храним в коде (spoiler: все).

Сейчас секреты могут быть доставлены во множество сервисов в различные нэймспэйсы.

В результате мы получили надежное, отказоустойчивое и масштабируемое решение.
Исходный код сервисов полностью избавлен от каких-либо секретов.
Данное решение можно легко развернуть в своем Kubernetes-кластере уже сейчас.

Другие доклады секции Безопасность, DevSecOps