Crittografia dei secret a livello di applicazione

Scopri come criptare i Secret di Kubernetes a livello di applicazione utilizzando una chiave che gestisci in Cloud Key Management Service (Cloud KMS). Poiché questa funzionalità si basa sulle funzionalità di Cloud KMS, è consigliabile acquisire familiarità con la rotazione delle chiavi e la crittografia envelope.

Per seguire le indicazioni dettagliate per questa attività direttamente nella console Google Cloud, fai clic su Procedura guidata:

Procedura guidata

Panoramica

Per impostazione predefinita, Google Kubernetes Engine (GKE) cripta i contenuti archiviati inattivi dei clienti, inclusi i secret. GKE gestisce questa crittografia predefinita senza che tu debba fare altro.

La crittografia dei secret a livello di applicazione fornisce un ulteriore livello di sicurezza per i dati sensibili, come i secret, archiviati in etcd. Puoi utilizzare una chiave gestita con Cloud KMS per criptare i dati at-rest a livello di applicazione. Questa crittografia protegge da malintenzionati che accedono a una copia offline di etcd.

Per utilizzare la crittografia dei secret a livello di applicazione, devi prima creare una chiave Cloud KMS e concedere all'account di servizio GKE l'accesso alla chiave. Puoi utilizzare una chiave con uno qualsiasi dei livelli di protezione supportati da Cloud KMS.

Assicurati che la chiave si trovi nella stessa località del cluster per ridurre la latenza ed evitare casi in cui le risorse dipendono da servizi distribuiti in più domini di errore. Dopo aver creato una chiave, puoi abilitare la funzionalità su un cluster nuovo o esistente specificando la chiave che vuoi utilizzare. Quando abiliti la funzionalità, GKE cripta tutti i secret nuovi ed esistenti utilizzando la tua chiave di crittografia.

Crittografia envelope

Kubernetes offre la crittografia envelope dei secret con un provider KMS, il che significa che per criptare i secret viene utilizzata una chiave locale, comunemente chiamata chiave di crittografia dei dati (DEK). La DEK stessa è criptata con un'altra chiave denominata chiave di crittografia della chiave (KEK). Kubernetes non archivia la KEK.

La crittografia della busta offre i seguenti vantaggi:

• Prestazioni migliorate rispetto alla crittografia della chiave pubblica: GKE utilizza l'API Cloud KMS solo per criptare le nuove DEK con la KEK o per decriptare una DEK quando la cache locale è vuota.
• Migliore gestione delle chiavi su larga scala: una singola KEK può criptare più DEK. Il numero di chiavi che devi archiviare nel servizio Cloud KMS è molto inferiore al numero di chiavi che criptano i dati.
• Capacità di utilizzare una radice di attendibilità centrale: i secret archiviati in Kubernetes possono basarsi su una radice di attendibilità esterna. Ciò significa che puoi utilizzare una radice di attendibilità centrale, ad esempio un modulo di sicurezza hardware, per tutti i tuoi secret. Un avversario che accede ai container offline non può ottenere i tuoi Secret.

Con la crittografia dei secret a livello di applicazione in GKE, GKE cripta i tuoi secret utilizzando DEK locali e il provider AES-CBC. GKE cripta le DEK con una KEK che puoi gestire in Cloud KMS.

Per scoprire di più sulla crittografia envelope, consulta Crittografia buste.

Cosa succede quando crei un secret

Quando crei un nuovo secret, ecco cosa succede:

1. Il server API Kubernetes genera una DEK univoca per il secret utilizzando un generatore di numeri casuali.

2. Il server API Kubernetes utilizza la DEK localmente per criptare il secret.

3. Il plug-in KMS invia la DEK a Cloud KMS per la crittografia. Il plug-in KMS utilizza l'account di servizio GKE del tuo progetto per l'autenticazione su Cloud KMS.

4. Cloud KMS cripta la DEK mediante la KEK e la invia al plug-in KMS.

5. Il server API di Kubernetes salva il secret criptato e la DEK criptata. La DEK in testo non crittografato non viene salvata su un disco e viene archiviata solo nella memoria del server API.

6. Il server API Kubernetes crea una voce di cache mappando la DEK criptata alla DEK in testo non crittografato in memoria. Ciò consente al server API di decriptare il secret senza utilizzare Cloud KMS.

Ecco cosa succede quando un client richiede un secret al server API Kubernetes:

1. Il server API di Kubernetes recupera il secret criptato e la DEK crittografata.

2. Il server API Kubernetes controlla la cache per verificare la presenza di una voce di mappatura esistente e decripta il secret senza utilizzare Cloud KMS.

3. Se non viene trovata una voce della cache, il plug-in KMS invia la DEK a Cloud KMS per la decrittografia mediante la KEK. La DEK decriptata viene quindi utilizzata per decriptare il secret.

4. Il server API di Kubernetes restituisce il secret decriptato al client.

Cosa succede quando elimini una chiave

Quando elimini una KEK in Cloud KMS utilizzata per criptare un secret in GKE, il secret non è più disponibile, a meno che non aggiorni il cluster per utilizzare prima una nuova KEK.

Se prevedi di eliminare una vecchia versione KEK dopo una rotazione della chiave, utilizza prima la nuova versione della KEK per ricriptare il secret. Facoltativamente, puoi conservare la versione KEK precedente per evitare di ricriptare i secret, ma continuerai a ricevere addebiti per tutte le KEK attive in Cloud KMS. Per i dettagli sui prezzi, vedi Prezzi di Cloud KMS.

A meno che non utilizzi una proiezione del volume dei token dell'account di servizio, anche gli account di servizio utilizzati dai carichi di lavoro su GKE utilizzano i secret e, se una chiave viene eliminata, non sono più disponibili. L'impossibilità di accedervi significa che i carichi di lavoro avranno esito negativo.

Si applicano le seguenti eccezioni:

• I pod con accesso esistente ai secret come volumi montati o variabili di ambiente mantengono l'accesso.

• Il server API Kubernetes può comunque utilizzare le voci di mappatura DEK memorizzate nella cache per decriptare un secret dopo l'eliminazione della KEK. Ciò consente ai pod riavviati o ripianificati di accedere al secret, a meno che non si verifichi una delle seguenti situazioni:

  • Il piano di controllo del cluster viene riavviato.
  • Il pod del server dell'API Kubernetes viene riavviato.
  • La voce di mappatura DEK per il secret non è nella cache del server API Kubernetes.

Prima di eliminare una KEK, verifica se viene utilizzata dal cluster. Puoi anche creare un criterio di avviso per l'eliminazione delle chiavi in Cloud KMS.

Prima di iniziare

• Per eseguire gli esercizi di questo argomento, sono necessari due progetti Google Cloud:

  • Progetto chiave: è qui che crei una KEK.

  • Progetto cluster: è dove crei un cluster che abilita la crittografia dei secret a livello di applicazione.

• Nel progetto chiave, assicurati di aver abilitato l'API Cloud KMS.

  Abilita l'API Cloud KMS

• Nel progetto chiave, l'utente che crea il keyring e la chiave deve disporre delle seguenti autorizzazioni IAM:

  • cloudkms.keyRings.getIamPolicy
  • cloudkms.keyRings.setIamPolicy

  Queste e molte altre autorizzazioni vengono concesse al ruolo Identity and Access Management predefinito roles/cloudkms.admin. Per scoprire di più su come concedere autorizzazioni per gestire le chiavi, consulta la documentazione di Cloud KMS.

• Nel progetto del cluster, assicurati di aver abilitato l'API Google Kubernetes Engine.

  Abilita l'API Google Kubernetes Engine

• Assicurati di aver installato Google Cloud CLI.

• Aggiorna gcloud all'ultima versione:

  gcloud components update

Crea una chiave Cloud KMS

Per creare una chiave Cloud KMS, devi prima creare un keyring. Le chiavi e i keyring sono risorse a livello di regione. Quando crei un keyring, specifica una località che corrisponda a quella del cluster GKE:

• Un cluster di zona deve utilizzare un keyring di una regione soprainsieme. Ad esempio, un cluster nella zona us-central1-a può utilizzare solo una chiave nella regione us-central1.

• Un cluster a livello di regione dovrebbe utilizzare un keyring della stessa località. Ad esempio, un cluster nella regione asia-northeast1 deve essere protetto con un keyring della regione asia-northeast1.

Puoi utilizzare gcloud CLI o la console Google Cloud.

gcloud kms keyrings create RING_NAME \
    --location=LOCATION \
    --project=KEY_PROJECT_ID

gcloud kms keys create KEY_NAME \
    --location=LOCATION \
    --keyring=RING_NAME \
    --purpose=encryption \
    --project=KEY_PROJECT_ID

Concedi l'autorizzazione a utilizzare la chiave

L'account di servizio GKE nel progetto cluster ha il seguente nome:

service-CLUSTER_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com

Sostituisci CLUSTER_PROJECT_NUMBER con il numero di progetto del cluster. Per trovare il numero del progetto utilizzando gcloud CLI, esegui questo comando:

gcloud projects describe CLUSTER_PROJECT_ID \
    --format="value(projectNumber)"

Per concedere l'accesso all'account di servizio, puoi utilizzare la console Google Cloud o gcloud CLI.

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring=RING_NAME \
    --member=serviceAccount:SERVICE_ACCOUNT_NAME \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project=KEY_PROJECT_ID

Assicurati che la chiave abbia una quota sufficiente se si tratta di una chiave Cloud HSM

Se utilizzi una chiave Cloud HSM, il progetto Google Cloud che contiene la chiave è limitato dalla quota della chiave. Assicurati di disporre di una quota sufficiente per utilizzare le tue chiavi Cloud HSM con la crittografia dei secret a livello di applicazione. Se la quota è esaurita, i nodi potrebbero perdere la connettività al piano di controllo del cluster.

Abilita la crittografia dei secret a livello di applicazione

Puoi abilitare la crittografia dei secret a livello di applicazione su cluster GKE Standard e GKE Autopilot nuovi o esistenti utilizzando gcloud CLI o la console Google Cloud.

Dopo aver abilitato la crittografia dei secret a livello di applicazione, ti consigliamo di eseguire una rotazione della chiave. Puoi configurare la rotazione automatica delle chiavi in Cloud KMS. Per le istruzioni, consulta la sezione Configurazione della rotazione automatica.

In un nuovo cluster

Puoi creare un nuovo cluster con la crittografia dei secret a livello di applicazione abilitata utilizzando la console Google Cloud o gcloud CLI.

gcloud container clusters create-auto CLUSTER_NAME \
    --cluster-version=latest \
    --region=COMPUTE_REGION \
    --database-encryption-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project=CLUSTER_PROJECT_ID

Su un cluster esistente

Puoi utilizzare gcloud CLI o la console Google Cloud per aggiornare un cluster esistente in modo che utilizzi la crittografia dei secret a livello di applicazione. GKE cripta tutti i tuoi secret esistenti e nuovi utilizzando la chiave di crittografia specificata.

gcloud container clusters update CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --database-encryption-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project=CLUSTER_PROJECT_ID

Aggiorna una chiave Cloud KMS

Puoi utilizzare gcloud CLI o la console Google Cloud per aggiornare un cluster esistente in modo che utilizzi una nuova chiave Cloud KMS.

gcloud container clusters update CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --database-encryption-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project=CLUSTER_PROJECT_ID

Disabilita la crittografia dei secret a livello di applicazione

Per disabilitare la crittografia dei secret a livello di applicazione, puoi utilizzare gcloud CLI o la console Google Cloud.

gcloud container clusters update CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --disable-database-encryption \
    --project=CLUSTER_PROJECT_ID

Verifica che la crittografia dei secret a livello di applicazione sia abilitata

Puoi verificare se un cluster utilizza la crittografia dei secret a livello di applicazione utilizzando la console Google Cloud o gcloud CLI.

gcloud container clusters describe CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --format='value(databaseEncryption)' \
    --project=CLUSTER_PROJECT_ID

keyName=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME;state=ENCRYPTED

Ruota le chiavi

Ti consigliamo di ruotare le chiavi secondo una pianificazione regolare, anche dopo aver abilitato la crittografia dei secret a livello di applicazione. Per istruzioni su come configurare la rotazione automatica delle chiavi o per ruotare manualmente le chiavi, consulta la sezione Rotazione delle chiavi.

Quando esegui una rotazione della chiave, i secret esistenti rimangono criptati con la versione precedente della chiave di crittografia della chiave (KEK). Per assicurarti che una versione più recente della KEK esegua il wrapping di un secret, cripta nuovamente il secret dopo la rotazione della chiave.

Ad esempio, crei e archivi un secret, Secret1. È criptato con DEK1, che a sua volta è sottoposto a wrapping con KEKv1.

Al termine della rotazione della KEK, criptiamo nuovamente Secret1 in modo che venga sottoposto a wrapping da DEK2, che a sua volta viene eseguito con KEKv2, la KEK ruotata.

Ricripta i tuoi secret

Dopo aver eseguito una rotazione della chiave, devi criptare nuovamente i tuoi secret per eseguirne il wrapping con la nuova versione della KEK. Anche se non puoi configurare la ricrittografia automatica con gcloud CLI, puoi, ad esempio, utilizzare un CronJob per eseguire il comando di ricrittografia a intervalli regolari.

Per ricriptare manualmente i secret dopo la rotazione della chiave, attendi almeno tre ore affinché la nuova versione diventi coerente. Quindi, tocca ogni secret per forzare la ricrittografia utilizzando un comando come il seguente:

kubectl get secrets --all-namespaces -o json | kubectl annotate --overwrite -f - encryption-key-rotation-time="TIME"

Sostituisci TIME con una stringa che indica quando ha luogo la rotazione (ad esempio, 20200909-090909).

Limitazioni

• GKE supporta fino a 30.000 secret per cluster per la crittografia dei secret a livello di applicazione. Se archivi più di 30.000 secret, il cluster potrebbe diventare instabile al momento dell'upgrade, causando una potenziale interruzione dei carichi di lavoro.
• Assicurati che la dimensione media dei metadati di un secret in ogni spazio dei nomi sia inferiore a 5 KiB. Se la dimensione media dei metadati è superiore a 5 KiB, il cluster potrebbe entrare in uno stato non valido in cui alcuni secret vengono criptati, mentre altri vengono decriptati dopo l'abilitazione della funzionalità o la disabilitazione della funzionalità.

• Devi selezionare una chiave nella stessa regione del cluster. Ad esempio, un cluster di zona in us-central1-a può utilizzare solo una chiave nella regione us-central1. Per i cluster a livello di regione, le chiavi devono trovarsi nella stessa località per ridurre la latenza e per evitare i casi in cui le risorse dipendono da servizi distribuiti in più domini in errore.

• GKE supporta solo le chiavi di Cloud KMS. Non puoi utilizzare un altro provider KMS Kubernetes o un altro provider di crittografia.

Risoluzione dei problemi

Per informazioni sulla risoluzione dei problemi di crittografia dei secret a livello di applicazione, inclusa la risoluzione dei problemi relativi agli aggiornamenti della crittografia dei secret non riusciti, consulta Risolvere i problemi di crittografia dei secret a livello di applicazione.

La chiave Cloud KMS è disabilitata

L'account di servizio predefinito di GKE non può utilizzare una chiave Cloud KMS disabilitata per la crittografia dei secret a livello di applicazione.

Per riabilitare una chiave disabilitata, consulta Abilitare una versione della chiave disabilitata.

Passaggi successivi

• Scopri di più sui secret in Kubernetes.
• Scopri di più sulla gestione dei secret tramite Cloud KMS.
• Scopri come migliorare la protezione del tuo cluster.