Kloak est un outil innovant conçu pour sécuriser les secrets dans Kubernetes en les injectant directement au niveau du noyau via eBPF, sans que l'application ne les manipule jamais en clair. L'idée centrale est d'intercepter le trafic TLS sortant à l'aide d'uprobes eBPF, remplaçant des placeholders par les vrais secrets juste avant le chiffrement, ce qui empêche leur exposition même en cas de compromission du conteneur. Contrairement aux solutions traditionnelles comme OpenBao ou les sidecars, Kloak évite que les secrets ne résident en mémoire de l'application, réduisant ainsi les risques d'exfiltration.
L'architecture de Kloak repose sur deux plans distincts : un control-plane qui gère les Shadow Secrets et synchronise les eBPF maps, et un data-plane qui intercepte les appels TLS via des hooks sur SSL_write et crypto/tls.(*Conn).Write. Le controller, déployé en tant que DaemonSet, surveille les secrets labellisés et réécrit les montages de pods via un Mutating Admission Webhook, garantissant une intégration transparente sans modification du code applicatif.
L'auteur présente un Proof of Concept (PoC) détaillant les défis rencontrés, notamment avec Flannel et Cilium, ainsi que des méthodes d'analyse via les logs et les compteurs eBPF. Bien que le projet soit récent et open-source, il offre une approche prometteuse pour renforcer la sécurité des secrets dans les environnements Kubernetes, en alignement avec les principes zero-trust.
L'article explique comment utiliser SOPS (Secrets OPerationS) pour chiffrer et gérer des secrets dans des dépôts de code, seul ou en équipe. Il couvre l'installation de SOPS et de age (outil de chiffrement), la création de paires de clés, et trois cas d'usage : chiffrer des variables d’environnement, des secrets Kubernetes, et des secrets pour des flakes Nix. L'article détaille également l'installation manuelle de SOPS sur des distributions non supportées et fournit des commandes pour chiffrer un fichier texte.
Les résumés des conférences de BDX I/O :
- Keynote d'ouverture : LLMs, entre fantasme et réalité - le point de vue d'une dév passée de l'autre côté
- Découvrons ensemble la relève de l'observabilité avec les logs et traces : Quickwit
- HTMX, où le retour de l'AJAX dans le développement Web
- IA-404 : Explication not found
- Rex scale-up : les impacts du passage à l'échelle
- Really Inaccessible - Stanley Servical & Louis Fredice Njako Molom
- Causalité et statistiques : un amour pas si impossible que ça
- Shaders : Comment créer des effets hallucinants sur son site web
- L'envers du décor d'un passage douloureux à Vue 3
- Secrets faciles dans Kubernetes : parce que je le Vault bien
- Les histoires d’A. finissent pas si mal : Offboarding ou la fin de la relation entre un client et une marque
- L'IA Éco-Responsable : Utopie Marketing ou Réalité ?
- Le coût du Mob Programming
- Simplifiez la conteneurisation de vos idées !
Tout est dans le titre
L'auteur montre comment nettoyer son code à partager dans git, des secrets qu'il contient, via "filter" et un script bien conçu.
Tout est dans le titre
Il s'agit d'un outil pour gérer les secrets de clusters Kubernetes
Novops charge les secrets (stockés dans un gestionnaire par exemple) en mémoire en général sous forme de variables d'environnements. Il s'intègre très bien dans une pipeline CI / CD.
Comment spécifier des données de configuration (ConfigMaps) ou des secrets dans Kubernetes
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Un retour d'expérience plutôt positif
Tout est dans le titre
Tout est dans le titre
SOPS (Secrets OPerationS) est une CLI permettant de chiffrer des fichiers, notamment de configuration, en se concentrant sur les valeurs et non sur les clefs. Par exemple machin:truc devient machin:vlaeur_completement_chiffree
Il facilite la gestion des secrets avec la possibilité d'avoir une clef de chiffrement par utilisateur.
L'auteur montre l'utilisation de cet outil avec une clef de type AGE.