Ez az architekt\u00fara egy tipikus fel\u00e9p\u00edt\u00e9s, ahol az alkalmaz\u00e1soknak biztons\u00e1gos hozz\u00e1f\u00e9r\u00e9sre van sz\u00fcks\u00e9g\u00fck k\u00fcls\u0151 er\u0151forr\u00e1sokhoz, mik\u00f6zben betartj\u00e1k a biztons\u00e1gi best practice-eket.<\/p>\n\n\n\n
1. megk\u00f6zel\u00edt\u00e9s: Nat\u00edv Kubernetes Secrets hardeninggel<\/h3>\n\n\n\n
A nat\u00edv Kubernetes Secrets komoly korl\u00e1tokat \u00e1ll\u00edt, mivel az \u00e9rt\u00e9kek base64-encodolva (nem titkos\u00edtva) t\u00e1rol\u00f3dnak az etcd-ben. Megfelel\u0151 hardening l\u00e9p\u00e9sekkel azonban biztons\u00e1gosabb\u00e1 tehet\u0151k bizonyos use case-ek sz\u00e1m\u00e1ra.<\/p>\n\n\n\n
Encryption at rest enged\u00e9lyez\u00e9se az etcd sz\u00e1m\u00e1ra<\/h4>\n\n\n\n
Az els\u0151 kritikus hardening l\u00e9p\u00e9s az \u201eencryption at rest\u201d enged\u00e9lyez\u00e9se az etcd-hez. Titkos\u00edt\u00e1s n\u00e9lk\u00fcl a secretek plaintext form\u00e1ban t\u00e1rol\u00f3dnak a cluster etcd adatb\u00e1zis\u00e1ban.<\/p>\n\n\n\n
A Kubernetes Secrets megfelel\u0151 v\u00e9delm\u00e9hez az encryption at rest enged\u00e9lyez\u00e9se k\u00f6telez\u0151. A hivatalos Kubernetes dokument\u00e1ci\u00f3 alapj\u00e1n \u00edgy val\u00f3s\u00edthat\u00f3 meg:<\/p>\n\n\n\n
Er\u0151s titkos\u00edt\u00e1si kulcs gener\u00e1l\u00e1sa<\/p>\n\n\n\n
Az els\u0151 l\u00e9p\u00e9s egy biztons\u00e1gos 32-byte kulcs gener\u00e1l\u00e1sa \u00e9s base64-enk\u00f3dol\u00e1sa:<\/p>\n\n\n\n
head -c 32 \/dev\/urandom | base64<\/mark><\/p>\n\n\n\n EncryptionConfiguration f\u00e1jl l\u00e9trehoz\u00e1sa<\/p>\n\n\n\n Ezut\u00e1n hozz l\u00e9tre egy EncryptionConfiguration Kubernetes er\u0151forr\u00e1st:<\/p>\n\n\n\n A r\u00e9szletek\u00e9rt l\u00e1sd az al\u00e1bbi dokument\u00e1ci\u00f3t:<\/p>\n\n\n\n https:\/\/kubernetes.io\/docs\/tasks\/administer-cluster\/encrypt-data<\/a><\/p>\n\n\n\n A Kubernetes t\u00f6bb encryption providert t\u00e1mogat, melyeknek mind megvannak az el\u0151nyei, h\u00e1tr\u00e1nyai \u00e9s korl\u00e1tai. B\u0151vebb r\u00e9szletek\u00e9rt l\u00e1sd:<\/p>\n\n\n\n https:\/\/kubernetes.io\/docs\/tasks\/administer-cluster\/encrypt-data\/#providers<\/a><\/p>\n\n\n\n Ha lok\u00e1lisan kezelt kulcsot haszn\u00e1lsz titkos\u00edt\u00e1sra (ahogy a fenti p\u00e9lda mutatja), az csak az etcd kompromitt\u00e1l\u00e1sa ellen v\u00e9d, a host kompromitt\u00e1l\u00e1sa ellen nem. Mivel az EncryptionConfiguration YAML f\u00e1jl tartalmazza a titkos\u00edt\u00e1si kulcsot, egy t\u00e1mad\u00f3, aki hozz\u00e1f\u00e9r a control plane node-okhoz, ki tudja olvasni ezt \u2013 ne feledd: a base64 csak k\u00f3dol\u00e1s, nem titkos\u00edt\u00e1s.<\/p>\n\n\n\n Nagyobb biztons\u00e1g \u00e9rdek\u00e9ben fontold meg a KMS provider haszn\u00e1lat\u00e1t, amely az er\u0151forr\u00e1sokat egy data encryption key (DEK) seg\u00edts\u00e9g\u00e9vel, majd \u2013 ezt a data keyt \u2013 egy key encryption key (KEK) kulccsal titkos\u00edtja, amit egy k\u00fcls\u0151 key management service kezel. Ez az etcd \u00e9s a harmadik f\u00e9lt\u0151l sz\u00e1rmaz\u00f3 KMS provider egy\u00fcttes f\u00fcgg\u0151s\u00e9g\u00e9t hozza l\u00e9tre, ami l\u00e9nyegesen biztons\u00e1gosabb\u00e1 teszi a megold\u00e1st.<\/p>\n\n\n\n A static pod manifest szerkeszt\u00e9s\u00e9vel mountold az encryption configurationt a kube-apiserverhez:<\/p>\n\n\n\n Az encryption m\u0171k\u00f6d\u00e9s\u00e9nek ellen\u0151rz\u00e9se<\/p>\n\n\n\n Az encryption at rest be\u00e1ll\u00edt\u00e1sa \u00e9s az API server \u00fajraind\u00edt\u00e1sa ut\u00e1n ellen\u0151rizheted, hogy a secretek titkos\u00edtva vannak-e az etcd-ben. Megl\u00e9v\u0151 secretek titkos\u00edt\u00e1sa<\/p>\n\n\n\n Fontos: a titkos\u00edt\u00e1s bekapcsol\u00e1sa el\u0151tt l\u00e9trehozott secretekhez tov\u00e1bbi l\u00e9p\u00e9sek sz\u00fcks\u00e9gesek, hogy biztosan titkos\u00edtva legyenek. A Kubernetes dokument\u00e1ci\u00f3 \u00e1tfog\u00f3 \u00fatmutat\u00f3t tartalmaz arr\u00f3l, hogyan gondoskodj r\u00f3la, hogy minden relev\u00e1ns adat titkos\u00edtva legyen, bele\u00e9rtve azokat a parancsokat is, amelyek friss\u00edtik a megl\u00e9v\u0151 secretek \u00e1llapot\u00e1t a tartalom megv\u00e1ltoztat\u00e1sa n\u00e9lk\u00fcl. L\u00e1sd az \u201eEnsure all relevant data are encrypted\u201d r\u00e9szt.<\/p>\n\n\n\n K\u00f6telez\u0151 korl\u00e1tozni, ki f\u00e9rhet hozz\u00e1 \u00e9s ki kezelheti a secreteket. Itt egy p\u00e9lda RBAC konfigur\u00e1ci\u00f3ra a \u201eleast privilege\u201d elv szerint:<\/p>\n\n\n\n Ezzel az RBAC konfigur\u00e1ci\u00f3val biztos\u00edtjuk, hogy csak a myapp-service ServiceAccount olvashassa a db-credential secretj\u00e9t, \u00e9s csak a get m\u0171veletet hajthassa v\u00e9gre. Ez jelent\u0151sen cs\u00f6kkenti az illet\u00e9ktelen hozz\u00e1f\u00e9r\u00e9s kock\u00e1zat\u00e1t.<\/p>\n\n\n\n Ha Kubernetes manifesteket Git repositorykban t\u00e1rolsz, az \u00e9rz\u00e9keny adatok titkos\u00edt\u00e1sa k\u00f6telez\u0151. Olyan eszk\u00f6z\u00f6k, mint a Mozilla SOPS, Sealed Secrets \u00e9s git-crypt haszn\u00e1lhat\u00f3k arra, hogy a titkos\u00edtott secretek biztons\u00e1gosan, az alkalmaz\u00e1sk\u00f3d mellett legyenek t\u00e1rolhat\u00f3k.<\/p>\n\n\n\n A Kubernetes-kommunik\u00e1ci\u00f3 teljes k\u00f6r\u0171 TLS titkos\u00edt\u00e1sa alapvet\u0151 az \u00e1tfog\u00f3 biztons\u00e1ghoz. Ez \u00e9rinti az API server, etcd \u00e9s kubelet kommunik\u00e1ci\u00f3j\u00e1t, valamint az alkalmaz\u00e1s szintj\u00e9n is sz\u00fcks\u00e9ges. A cert-managerhez hasonl\u00f3 certificate management eszk\u00f6z\u00f6k seg\u00edthetnek az automatiz\u00e1l\u00e1sban.<\/p>\n\n\n\n Mindk\u00e9t t\u00e9ma el\u00e9g \u00f6sszetett ahhoz, hogy \u00f6n\u00e1ll\u00f3, dedik\u00e1lt \u00fatmutat\u00f3t \u00e9rdemeljen; javasolt a hivatalos Kubernetes dokument\u00e1ci\u00f3 tanulm\u00e1nyoz\u00e1sa az adott k\u00f6rnyezethez igaz\u00edtva. Ahogy az 1. r\u00e9szben bemutattam, a Secrets Store CSI Driver azzal k\u00edn\u00e1l biztons\u00e1gosabb megk\u00f6zel\u00edt\u00e9st, hogy a secretek k\u00fcls\u0151 providerekt\u0151l, k\u00f6zvetlen\u00fcl volume-k\u00e9nt vannak a podokba mountolva, teljesen megker\u00fclve az etcd t\u00e1rol\u00e1st (kiv\u00e9ve, ha a sync enged\u00e9lyezve van).<\/p>\n\n\n\n A legt\u00f6bb cloud provider k\u00edn\u00e1l egyszer\u0171s\u00edtett telep\u00edt\u00e9si m\u00f3dszert. P\u00e9ld\u00e1ul AKS-en:<\/p>\n\n\n\n az aks enable-addons –addons azure-keyvault-secrets-provider –name\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 myAKSCluster –resource-group myResourceGroup<\/mark><\/p>\n\n\n\n M\u00e1s k\u00f6rnyezetekben jellemz\u0151en Helm-et haszn\u00e1lunk:<\/p>\n\n\n\n helm repo add secrets-store-csi-driver https:\/\/kubernetes-sigs.github.io\/secrets-store-csi-driver\/charts A SSCSI sikeres telep\u00edt\u00e9se ut\u00e1n (Helm Charttal vagy a cloud provider megold\u00e1s\u00e1val) defini\u00e1lnunk kell a resource-t. A SecretProviderClass egy custom resource, amely meghat\u00e1rozza, mely secretek legyenek mountolva a k\u00fcls\u0151 providerb\u0151l.<\/p>\n\n\n\n Ez a konfigur\u00e1ci\u00f3 k\u00e9t fontos dolgot csin\u00e1l:<\/p>\n\n\n\n Ne feledd: ha a sync funkci\u00f3t haszn\u00e1lod, a secretek az etcd-ben is t\u00e1rol\u00f3dnak, ez\u00e9rt ebben az esetben is enged\u00e9lyezd az encryption at restet, ahogy az 1. megk\u00f6zel\u00edt\u00e9sben!<\/p>\n\n\n\n A legbiztons\u00e1gosabb megk\u00f6zel\u00edt\u00e9s, ha az alkalmaz\u00e1s k\u00f6zvetlen\u00fcl a mountolt volume-r\u00f3l olvassa a secreteket. Ezzel a konfigur\u00e1ci\u00f3val az alkalmaz\u00e1s f\u00e1jlokb\u00f3l olvas, nem environment variable-\u00f6kb\u0151l \u2014 ez biztons\u00e1gosabb, de alkalmaz\u00e1s-m\u00f3dos\u00edt\u00e1st ig\u00e9nyelhet. Azokhoz az alkalmaz\u00e1sokhoz, amelyek nem tudnak egyszer\u0171en f\u00e1jlb\u00f3l olvasni, haszn\u00e1lhat\u00f3 a sync funkci\u00f3 Kubernetes Secret l\u00e9trehoz\u00e1s\u00e1ra.<\/p>\n\n\n\n Bal oldalt p\u00e9ld\u00e1k vannak Kubernetes Secret Sync n\u00e9lk\u00fcl, jobb oldalt pedig a syncelt megold\u00e1sra.<\/p>\n\n\n\n Megjegyz\u00e9s: m\u00e9g ha environment variable-\u00f6ket is haszn\u00e1lunk, a volume mountol\u00e1sa akkor is sz\u00fcks\u00e9ges, mert a CSI Driver csak azut\u00e1n hozza l\u00e9tre a Kubernetes Secretet, miut\u00e1n sikeresen mountolta a secreteket a k\u00fcls\u0151 providerb\u0151l.<\/p>\n\n\n\n Az External Secrets Operator (ESO) m\u00e1s megk\u00f6zel\u00edt\u00e9st alkalmaz. A secretek volume-k\u00e9nt t\u00f6rt\u00e9n\u0151 mountol\u00e1sa helyett k\u00fcls\u0151 providerekb\u0151l szinkroniz\u00e1lja azokat Kubernetes Secretekkel.<\/p>\n\n\n\n Az ESO telep\u00edthet\u0151 Helmmel:<\/p>\n\n\n\n helm repo add external-secrets https:\/\/charts.external-secrets.io Azure Key Vault integr\u00e1ci\u00f3hoz az ESO t\u00f6bb autentik\u00e1ci\u00f3s m\u00f3dszert t\u00e1mogat. 2025. december \u00e1llapot szerint AKS clusterekn\u00e9l a Workload Identity a javasolt megk\u00f6zel\u00edt\u00e9s.<\/p>\n\n\n\n K\u00f6vetelm\u00e9nyek:<\/p>\n\n\n\n Els\u0151 l\u00e9p\u00e9sk\u00e9nt annot\u00e1lnod kell a Kubernetes ServiceAccountot, hogy t\u00e1rs\u00edtsd az Azure AD Applicationh\u00f6z.<\/p>\n\n\n\n Ezut\u00e1n konfigur\u00e1lnod kell a SecretStore er\u0151forr\u00e1st Workload Identityhez.<\/p>\n\n\n\n Hozd l\u00e9tre az ExternalSecret er\u0151forr\u00e1st.<\/p>\n\n\n\n Amint az ExternalSecret er\u0151forr\u00e1s l\u00e9trej\u00f6tt \u00e9s a sync lefutott, l\u00e9trej\u00f6n egy Kubernetes Secret er\u0151forr\u00e1s. Ellen\u0151rizheted ezzel a paranccsal:<\/p>\n\n\n\n kubectl get secret myapp-azure-secret -n external-secrets -o yaml<\/mark><\/p>\n\n\n\n Ha a sync nem siker\u00fcl, n\u00e9zd meg az operator logokat:<\/p>\n\n\n\n kubectl logs deployment\/external-secrets -n external-secrets<\/mark><\/p>\n\n\n\n Ebben a bejegyz\u00e9sben t\u00f6bb implement\u00e1ci\u00f3t \u00e9s p\u00e9ld\u00e1t j\u00e1rtunk v\u00e9gig a Kubernetes secret management t\u00e9m\u00e1j\u00e1ban, a k\u00f6vetkez\u0151 kulcsmegk\u00f6zel\u00edt\u00e9sekre f\u00f3kusz\u00e1lva:<\/p>\n\n\n\n A fenti p\u00e9ld\u00e1kat k\u00f6vetve kiv\u00e1laszthatod \u00e9s implement\u00e1lhatod azt a secret management mint\u00e1t, amely a legjobban illeszkedik az ig\u00e9nyeidhez. Ha lehets\u00e9ges, haszn\u00e1lj olyan biztons\u00e1gos m\u00f3dszert, mint az External Secrets Operator. https:\/\/kubernetes.io\/docs\/concepts\/configuration\/secret<\/a><\/p>\n\n\n\n https:\/\/kubernetes.io\/docs\/concepts\/security\/secrets-good-practices<\/a><\/p>\n\n\n\n https:\/\/kubernetes.io\/docs\/tasks\/administer-cluster\/encrypt-data<\/a><\/p>\n\n\n\n https:\/\/secrets-store-csi-driver.sigs.k8s.io<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-18-1024x344.png\")
<\/figure>\n\n\n\nA megfelel\u0151 encryption provider kiv\u00e1laszt\u00e1sa<\/h4>\n\n\n\n
Lok\u00e1lis vs. KMS titkos\u00edt\u00e1s<\/h4>\n\n\n\n
API Server konfigur\u00e1l\u00e1sa<\/h4>\n\n\n\n
![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-19.png\")
<\/figure>\n\n\n\n
L\u00e9p\u00e9sr\u0151l l\u00e9p\u00e9sre itt: https:\/\/kubernetes.io\/docs\/tasks\/administer-cluster\/encrypt-data\/#verifying-that-data-is-encrypted <\/a><\/p>\n\n\n\nRBAC kontrollok megval\u00f3s\u00edt\u00e1sa<\/h4>\n\n\n\n
![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-20.png\")
<\/figure>\n\n\n\nF\u00e1jlok titkos\u00edt\u00e1sa Git-ben<\/h4>\n\n\n\n
Kommunik\u00e1ci\u00f3k v\u00e9delme TLS\/SSL-lel<\/h4>\n\n\n\n
<\/p>\n\n\n\n2. megk\u00f6zel\u00edt\u00e9s: Secrets Store CSI Driver<\/h3>\n\n\n\n
Secrets Store CSI Driver telep\u00edt\u00e9se<\/h4>\n\n\n\n
helm install csi-secrets-store secrets-store-csi-driver\/secrets-store-csi-driver \\
–namespace kube-system \\
–set syncSecret.enabled=true\u00a0\u00a0 # ONLY IF YOU WOULD LIKE TO ENABLE SYNC!<\/strong><\/mark><\/p>\n\n\n\n![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-21-1024x986.png\")
<\/figure>\n\n\n\n\n
Deployol\u00e1s CSI Driverrel k\u00f6zvetlen mounttal<\/h4>\n\n\n\n
![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/Nevtelen-1-1-1024x873.png\")
<\/figure>\n\n\n\n3. megk\u00f6zel\u00edt\u00e9s: External Secrets Operator<\/h3>\n\n\n\n
External Secrets Operator telep\u00edt\u00e9se<\/h4>\n\n\n\n
helm install external-secrets external-secrets\/external-secrets \\
–namespace external-secrets \\
–create-namespace<\/mark><\/p>\n\n\n\nAzure autentik\u00e1ci\u00f3 konfigur\u00e1l\u00e1sa<\/h4>\n\n\n\n
Azure autentik\u00e1ci\u00f3 Workload Identityvel<\/h4>\n\n\n\n
\n
![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-17.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-16.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/blog.adesso-bc.com\/wp-content\/uploads\/2025\/12\/image-15.png\")
<\/figure>\n\n\n\n\u00d6sszegz\u00e9s<\/h3>\n\n\n\n
\n
\n
\n
<\/p>\n\n\n\nForr\u00e1sok<\/h3>\n\n\n\n