Svaki Kubernetes klaster isporučuje se s ugrađenim objektom Secret. Izgleda kao sigurnost. Osjeća se kao sigurnost. To nije sigurnost.
Kubernetes Secret je prema zadanim postavkama samo base64-kodirani niz pohranjen u etcd — može ga čitati svatko s pristupom klasteru i trivijalno ga je moguće dekodirati jednolinijskim: echo "c2VjcmV0" | osnova64 -d. Osim ako niste eksplicitno omogućili enkripciju u mirovanju (a većina timova nije), vaše lozinke baze podataka, API tokeni i TLS privatni ključevi stoje nešifrirani u pohrani podataka kontrolne razine vašeg klastera. Predajte Kubernetesov manifest koji sadrži Tajnu za Git i ta će vjerodajnica zauvijek ostati u povijesti vašeg repozitorija.
To je problem za čije rješavanje se pojavila nova generacija alata za upravljanje tajnama — a 2026. ekosustav je značajno sazrio. Ovaj vodič pokriva šest najvažnijih alata za upravljanje tajnama u Kubernetes okruženjima: što rade, što ne rade i koji od njih odgovara razini zrelosti vašeg tima.
Povezano čitanje: Ako ste zabrinuti zbog curenja tajni kroz vaš CI/CD cjevovod, pogledajte naš pregled najboljih alata za CI/CD cjevovod. Za širu sigurnosnu sliku spremnika pogledajte naš vodič za alate za skeniranje ranjivosti.
Zašto Kubernetesove zadane tajne padaju
Prije nego što zaronite u alate, vrijedi biti precizan o tome što Kubernetes Secrets nedostaje — jer je razumijevanje praznine ono što vam omogućuje da odaberete pravo rješenje.
Nema enkripcije u mirovanju prema zadanim postavkama. etcd pohranjuje Kubernetes tajne kao base64, nekriptirane. Omogućivanje Enkripcije u mirovanju korak je konfiguracije na razini klastera koji upravljani Kubernetes pružatelji usluga (EKS, GKE, AKE) postupaju drugačije, a mnogi ga klasteri kojima sami upravljaju u potpunosti preskaču.
Nema tajne rotacije. Nema ugrađenog mehanizma pomoću kojeg bi Kubernetes Secret znao da se njegova pozadinska vjerodajnica promijenila. Rotirate lozinku baze podataka izvana, a vaši moduli nastavljaju koristiti staru dok ručno ne ažurirate tajnu i ponovno pokrenete zahvaćene module.
Nema revizijskog dnevnika za tajni pristup. Standardno Kubernetes revizijsko evidentiranje bilježi izmjene tajnih objekata, ali većina konfiguracija ne bilježi pojedinačna čitanja — što znači da ne možete odgovoriti “koja je usluga pristupila ovom tokenu i kada?”
Git-neprijateljski prema dizajnu. Standardni savjet je “nikada ne predavaj tajne Gitu.” Ali u GitOps svijetu gdje je cilj sve kao kod, to je bolna iznimka za održavanje.
RBAC kao tupi instrument. Kubernetes RBAC vam omogućuje da odobrite ili zabranite pristup tajnim objektima na razini prostora imena. Ne može izraziti “Usluga A može čitati tajnu X, ali ne i tajnu Y” ili “ova tajna ističe za 24 sata.”
Ništa od navedenog nije razlog za napuštanje Kubernetesa — to su razlozi za korištenje posvećenog alata za upravljanje tajnama povrh njega.
TL;DR — Usporedba značajki
| Alat | Enkripcija u mirovanju | Dinamičke tajne | Dnevnici revizije | Izvorni K8s | Multi-Cloud | Cijene |
|---|---|---|---|---|---|---|
| HashiCorp Vault | ✅ | ✅ | ✅ | ⚠️ (preko agenta) | ✅ | OSS besplatno / HCP se plaća |
| Vanjski tajni operater | ✅ (preko pozadine) | ✅ (preko pozadine) | ✅ (preko pozadine) | ✅ | ✅ | Besplatno / OSS |
| Zapečaćene tajne | ✅ | ❌ | ❌ | ✅ | ❌ | Besplatno / OSS |
| AWS Secrets Manager | ✅ | ✅ | ✅ | ⚠️ (putem ESO/CSI) | ❌ (samo AWS) | Cijene po tajnosti |
| Doppler | ✅ | ❌ | ✅ | ✅ (operater) | ✅ | Besplatni → plaćeni slojevi |
| Infizičko | ✅ | ✅ | ✅ | ✅ (operater) | ✅ | OSS / oblak plaćen |
⚠️ = zahtijeva dodatne komponente
1. HashiCorp Vault — zlatni standard za poslovne tajne
HashiCorp Vault mjerilo je prema kojem se mjeri svaki drugi alat za upravljanje tajnama. Testiran je u borbama u poslovnim okruženjima gotovo desetljeće, a njegov skup značajki odražava tu dubinu.
Osnovna sposobnost Vaulta su dinamičke tajne — vjerodajnice koje se generiraju na zahtjev i automatski istječu. Umjesto pohranjivanja statičke PostgreSQL lozinke, Vault generira jedinstveni par korisničko ime/lozinka za svaku uslugu koja zahtijeva, važeći za konfigurabilno razdoblje najma (npr. jedan sat). Kada najam istekne, vjerodajnica se opoziva. Ovo eliminira čitave klase širenja vjerodajnica i dramatično olakšava obuzdavanje kršenja.
Za Kubernetes, Vault Agent Injector ili Vault Secrets Operator putovi su integracije. Injektor radi kao mutirajući webhook koji automatski uključuje Vault agenta u vaše podove, koji se autentificira Vaultu koristeći podov Kubernetes servisni račun i zapisuje tajne na dijeljeni volumen u memoriji. Vault Secrets Operator (VSO), noviji pristup, sinkronizira Vault tajne u izvorne Kubernetes Secret objekte — poznatije operaterima, po cijenu tajni koje nakratko postoje u itd.
Vaultovi tajni motori pokrivaju impresivan raspon:
- vjerodajnice baze podataka (PostgreSQL, MySQL, MongoDB i više)
- AWS, GCP, Azure dinamičke vjerodajnice
- Generiranje PKI i TLS certifikata
- Potpisivanje SSH certifikata
- Tokeni računa usluge Kubernetes
Što Vault radi dobro: Dinamičke vjerodajnice, precizna pravila pristupa, sveobuhvatni dnevnik revizije i zreli ekosustav dodataka. Ako vam je potrebno upravljanje tajnom podataka na razini usklađenosti s potpunim tragom tko je-što-kada pristupio, Vault je često jedina razumna opcija.
Na što treba paziti: Trezor je operativno složen. Njegovo pokretanje u načinu visoke dostupnosti zahtijeva posebnu pozornost na backend-ove za pohranu (Raft je sada preporučeni izbor), postupke otvaranja i nadogradnje. Krivulja učenja je stvarna. Proračun za vrijeme inženjeringa platforme.
Cijene: Verzija otvorenog koda besplatna je i pokriva većinu potreba. HashiCorp Cloud Platform (HCP) Vault je upravljana ponuda s cijenama temeljenim na radnom vremenu klastera i tajnim operacijama. Promjena BSL licence iz 2023. dovela je do OpenTofu forka za Terraform, ali Vaultov fork ekvivalent (OpenBao) još uvijek sazrijeva.
📚 Preporučeno čitanje: Hakiranje Kubernetesa Andrewa Martina i Michaela Hausenblasa — izvrsna pokrivenost Kubernetes napadnih površina uključujući tajne scenarije eksfiltracije.
2. Vanjski tajni operater (ESO) — K8s-nativni integracijski sloj
External Secrets Operator ima bitno drugačiji arhitektonski stav: umjesto da sam bude skladište tajni, on je most između Kubernetesa i bilo koje vanjske trgovine koju već imate. ESO sinkronizira tajne iz AWS Secrets Managera, GCP Secret Managera, Azure Key Vaulta, HashiCorp Vaulta, 1Passworda, Dopplera i sve većeg popisa drugih pozadina u izvorne Kubernetes Secret objekte.
Temeljna je apstrakcija prilagođeni resurs ExternalSecret:
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
name: database-credentials
spec:
refreshInterval: 1h
secretStoreRef:
name: aws-secrets-manager
kind: ClusterSecretStore
target:
name: db-creds
data:
- secretKey: password
remoteRef:
key: production/db/password
ESO promatra ovaj resurs, dohvaća tajnu iz AWS Secrets Managera (ili bilo gdje) i stvara standardnu Kubernetes Secret. Vaša aplikacija čita db-creds baš kao i svaka druga Kubernetes Secret — nisu potrebne izmjene koda. Kada refreshInterval otkuca, ESO automatski ponovno dohvaća i ažurira tajnu.
Zašto je ESO toliko popularan 2026.: Dobro se slaže s postojećim ulaganjima. Vaša organizacija već ima AWS Secrets Manager (ili Vault, ili GCP Secret Manager) — ESO samo čini te tajne potrošnim u Kubernetesu bez mijenjanja vašeg koda aplikacije ili vaših postojećih tijekova rada tajne rotacije.
ESO ili Vault Secrets Operator? Ako koristite Vault, VSO ima čvršću integraciju specifičnu za Vault (Vault dynamic secrets, Vault PKI). Ako ste na izvornoj tajnoj trgovini pružatelja usluga oblaka, ESO je čišći izbor. Mnogi timovi pokreću oboje — ESO za statičke tajne pohranjene u oblaku, VSO za dinamičke vjerodajnice kojima upravlja Vault.
Cijene: ESO je besplatan i otvorenog koda (Apache 2.0), održava ga CNCF sandbox projekt sa snažnom podrškom zajednice.
3. Zapečaćene tajne — Šifrirane tajne prilagođene GitOps-u
Sealed Secrets Bitnamija rješava određeni problem: kako pohraniti manifeste Kubernetes Secret u Gitu bez pohranjivanja stvarnog otvorenog teksta? Odgovor je asimetrična enkripcija.
Kontroler Sealed Secrets radi u vašem klasteru i drži privatni ključ. kubeseal CLI šifrira manifest Kubernetes Secret s javnim ključem klastera, stvarajući SealedSecret CRD. Ovaj šifrirani manifest može se sigurno predati Gitu — samo ga privatni ključ klastera može dešifrirati, a može se dešifrirati samo u tom specifičnom klasteru (prema zadanim postavkama, šifrirani tekst vezan je za imenski prostor + ime).
# Encrypt a secret for Git storage
kubectl create secret generic db-creds \
--from-literal=password=s3cr3t \
--dry-run=client -o yaml | \
kubeseal --format=yaml > db-creds-sealed.yaml
# This file is safe to commit
git add db-creds-sealed.yaml
Kada primijenite SealedSecret na klaster, kontroler ga dekriptira i stvara odgovarajući Secret objekt.
Što Sealed Secrets čini dobro: GitOps tijek rada. Ako koristite Argo CD ili Flux i želite svaki resurs klastera (uključujući tajne) deklarativno pohranjen u Gitu, Sealed Secrets savršeno odgovara tom modelu. Ne zahtijeva nikakve vanjske ovisnosti izvan kontrolera unutar klastera.
Što ne radi: Rotacija, dinamičke vjerodajnice ili revizijsko bilježenje izvan standardnih Kubernetes događaja. Sealed Secrets je Git rješenje za pohranu, a ne puna platforma za upravljanje tajnama. Ako se vaša zaporka promijeni, ponovno šifrirate i ponovno obvezujete.
Sigurnosna kopija privatnog ključa je kritična. Ako izgubite privatni ključ kontrolera, gubite mogućnost dešifriranja vaših zapečaćenih tajni. Sigurnosno kopirajte tajnu sealed-secrets-key na zasebnoj, sigurnoj lokaciji.
Cijene: Potpuno besplatno i otvorenog koda (Apache 2.0).
4. AWS Secrets Manager s Kubernetesom
Ako se vaša radna opterećenja prvenstveno izvode na EKS-u (ili se intenzivno povezuju s AWS uslugama), AWS Secrets Manager uparen s Secrets Store CSI Driver ili External Secrets Operator prirodno odgovara. Čuvate tajne u AWS-ovoj upravljanoj, kriptiranoj, revizijski evidentiranoj trgovini i po potrebi ih povlačite u Kubernetes.
CSI drajver za pohranu tajni (SSCSID) je pristup koji održava CNCF: tajne se montiraju izravno u podove kao datoteke putem CSI volumena, nikad se ne zapisuju u etcd kao Kubernetes Secret objekti. Ovo je najsigurniji put — tajne postoje u memoriji modula, ali ne i u trgovini Kubernetes Secret.
volumes:
- name: secrets-store
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: aws-secrets
Izvorne mogućnosti AWS Secrets Managera uključuju automatsku rotaciju za podržane usluge (RDS, Redshift, DocumentDB i preko Lambda za prilagođenu rotaciju), pristup više računa i duboku integraciju CloudTraila za revizijske tragove sukladnosti.
Razmatranje troškova: AWS Secrets Manager naplaćuje po tajni mjesečno i po API pozivu. Za velike flote s mnogo malih tajni, troškovi se mogu zbrojiti. Pogledajte naš vodič za optimizaciju troškova u oblaku za strategije upravljanja AWS potrošnjom povezanom s tajnim podacima.
Najbolje za: EKS-native timove koji su već uložili u AWS ekosustav koji žele čvrstu integraciju IAM-a i izvornu rotaciju vjerodajnica RDS-a.
5. Doppler — Developer-First SaaS Secrets Platforma
Doppler ima SaaS-prvi pristup koji daje prednost iskustvu razvojnog programera u odnosu na operativnu složenost. Vi definirate tajne u Dopplerovom korisničkom sučelju (ili putem CLI/API-ja), organizirate ih prema okruženju (dev, staging, production), a Doppler Kubernetes operater ih automatski sinkronizira u Kubernetes Secrets.
Operater ispituje Doppler za promjene i ažurira odgovarajuću Kubernetes tajnu, opcionalno pokrećući ponovno pokretanje modula kada se tajne promijene. Postavljanje je jedna instalacija Helm karte:
helm repo add doppler https://helm.doppler.com
helm install --generate-name doppler/doppler-kubernetes-operator
Gdje Doppler blista: Lokalni razvoj i CI/CD integracija uz Kubernetes. Doppler CLI u potpunosti zamjenjuje datoteke okruženja (doppler run -- your-command), dajući iste tajne u lokalnim, CI i proizvodnim okruženjima. Za CI/CD cjevovode, Dopplerove izvorne integracije s GitHub Actions, CircleCI i drugima eliminiraju potrebu kopiranja tajni u varijable okruženja cjevovoda.
Što Doppler ne pokriva: vjerodajnice dinamičke baze podataka. Doppler je statična pohrana tajni s poviješću verzija i evidencijom revizije — to nije mehanizam za generiranje tajni kao što je Vault.
Cijene: Doppler nudi besplatnu razinu za male timove. Plaćeni planovi dodaju SSO, zahtjeve za pristup i značajke usklađenosti. Provjerite Dopplerovu stranicu s cijenama za trenutne razine (promjene cijena; provjerite prije proračuna).
6. Infisical — alternativa trezoru otvorenog koda
Infisical najjači je open-source izazivač duopola Vault/Doppler. Pruža web sučelje, CLI, SDK-ove i Kubernetes operatera — koji se može implementirati samostalno ili se koristi kao usluga u oblaku.
Infisical je dodao podršku za dinamičke tajne u 2024., ciljajući na generiranje vjerodajnica baze podataka slično Vaultovom mehanizmu tajni baze podataka. Infisical Kubernetes operater sinkronizira InfisicalSecret CRD-ove s izvornim Kubernetes Secrets, s konfigurabilnim intervalima osvježavanja.
Za timove koji žele UX na razini SaaS-a (nadzorna ploča na webu, tijekovi rada zahtjeva za pristupom, zapisnici revizije), ali ne mogu koristiti vanjski SaaS zbog zahtjeva usklađenosti, Infisical s vlastitim hostingom je uvjerljiv. Znatno je lakši za rukovanje od Vaulta i ima programersko iskustvo pristupačnije.
Cijene: Jezgra otvorenog koda je besplatna. Verzija u oblaku ima besplatnu razinu i plaćene planove za napredne značajke. Licenca poduzeća koja se samostalno hostira dostupna je za okruženja koja zahtijevaju veliku usklađenost.
📚 Za dublji uvid u sigurnosnu arhitekturu Kubernetesa: Kubernetes Security and Observability na Amazonu pokriva tajne, RBAC, mrežna pravila i sigurnost vremena izvođenja u jednom kohezivnom okviru.
Savjeti za implementaciju
Počnite s enkripcijom u mirovanju. Prije dodavanja bilo kakvog dodatnog alata, omogućite enkripciju Kubernetes etcd u mirovanju. Za upravljane klastere, ovo je često jedan potvrdni okvir. Za samoupravljane klastere slijedite službeni vodič. Ovo odmah podiže vaš osnovni sigurnosni položaj.
Usvojite RBAC s najmanjim privilegijama za tajne. Provjerite koji servisni računi imaju dopuštenja dobiti, popisati ili gledati na tajnim objektima. Zadani servisni računi u mnogim Helmovim grafikonima su preopterećeni. Zategnite RBAC prije okretanja na vanjski spremište.
Rano planirajte svoje tajne konvencije o imenovanju. Tajne se brzo šire. Dosljedna hijerarhija ({env}/{service}/{credential-type}) čini automatizaciju, RBAC pravila i rotacijske tijekove rada dramatično jednostavnijima u svim alatima.
Nemojte preskočiti tajno testiranje rotacije. Koji god alat odabrali, pokrenite rotacijsku bušilicu prije nego što vam zatreba. Provjerite preuzima li vaša aplikacija nove vjerodajnice bez zastoja. Dinamičke tajne s Vaultom ili ESO-om čine ovo znatno lakšim od ručno ažuriranih statičkih tajni.
Pratite širenje tajni. Kako vaša platforma raste, tajne se gomilaju. Integrirajte izvješćivanje o upravljanju tajnama u svoje nadzorne ploče za inženjering platforme. Pogledajte naš Vodič za Kubernetes alate za praćenje za alate za promatranje koji mogu pratiti tajne obrasce pristupa.
Koji alat za koji tim?
Mali tim, izvorno u oblaku (AWS/GCP/Azure): Započnite s vanjskim tajnim operaterom koji se povezuje s izvornim tajnim skladištem vašeg pružatelja usluga oblaka. Minimalni operativni troškovi, solidna integracija revizije, besplatno.
GitOps-prvi tim (Argo CD / Flux): Zapečaćene tajne za konfiguraciju pohranjenu u GitOps-u, u kombinaciji s ESO-om za osjetljive vjerodajnice za vrijeme izvođenja koje ne bi trebale biti čak ni šifrirane u Gitu.
Poduzeće sa zahtjevima usklađenosti (SOC 2, PCI, HIPAA): HashiCorp Vault — ili Raft klaster s vlastitim hostingom ili HCP Vault kojim upravlja. Revizijski dnevnik, dinamičke vjerodajnice i precizni mehanizam za politiku teško je replicirati negdje drugdje.
Mješovito okruženje usmjereno na razvojno iskustvo (K8s + lokalno + CI/CD): Doppler za objedinjeni DX u svim okruženjima ili Infisical samostalan ako je rezidencija podataka važna.
Veliki platformski tim koji upravlja okruženjima s više klastera: Eksterni tajni operater kao sloj apstrakcije na strani K8s, uz potporu Vaulta ili izvorne trgovine u oblaku. Centraliziranje izvora istine u jednoj trgovini uz korištenje ESO-a kao univerzalnog adaptera za klastere dobro je dokazan obrazac 2026. godine.
Povezano: Za sigurnosne rizike koje uvode AI alati za kodiranje u vaše Kubernetes manifeste i CI/CD cjevovode, pogledajte naš vodič o sigurnosnim rizicima vibe kodiranja u 2026..
FAQ
Jesu li Kubernetes Secrets šifrirani prema zadanim postavkama?
Ne. Kubernetes Secrets prema zadanim su postavkama kodirani base64 — kodiranje, a ne enkripcija. Podaci se pohranjuju u etcd bez enkripcije osim ako izričito ne omogućite Enkripciju u mirovanju. Uvijek provjerite konfiguraciju klastera i razmislite o vanjskim alatima za upravljanje tajnama za proizvodna radna opterećenja.
Koja je razlika između Sealed Secrets i External Secrets Operator?
Sealed Secrets šifrira tajne manifeste za sigurno Git skladištenje — to je GitOps rješenje. External Secrets Operator dohvaća žive tajne iz vanjskih trgovina (Vault, AWS Secrets Manager itd.) i iz njih stvara izvorne Kubernetes Secrets. Rješavaju različite probleme i često se koriste zajedno.
Što su dinamičke tajne i zašto su važne?
Dinamičke tajne vjerodajnice su generirane na zahtjev s automatskim istekom — umjesto statičnih lozinki pohranjenih na neodređeno vrijeme. HashiCorp Vault primarni je izvor dinamičkih tajni za Kubernetes. Ako je dinamička vjerodajnica ugrožena, ističe prema vlastitom rasporedu. Ovo dramatično ograničava radijus eksplozije proboja u usporedbi s dugotrajnim statičnim tajnama.
Trebam li koristiti Doppler ili HashiCorp Vault za Kubernetes?
Doppler pobjeđuje iskustvom programera i brzim usvajanjem. Vault pobjeđuje na usklađenosti poduzeća — dinamičke vjerodajnice, detaljni revizijski zapisnici i precizna pravila. Za male i srednje timove Doppler je često brži put. Za SOC 2, PCI DSS ili HIPAA okruženja, Vault je obično branjiviji izbor.
Kako mogu spriječiti curenje tajni u zapise spremnika?
Montirajte tajne kao datoteke, a ne kao varijable okruženja (varijable okruženja mogu se otkriti kroz /proc i krajnje točke za otklanjanje pogrešaka). Upotrijebite Secrets Store CSI Driver da u potpunosti zaobiđete etcd. Skenirajte slučajne tajne obveze u vašem CI/CD cjevovodu pomoću alata poput Trivyjevog tajnog skenera — pogledajte naš vodič za alate za skeniranje ranjivosti za detalje postavljanja.
Koji je najbolji alat za upravljanje tajnama za mali Kubernetes tim?
Započnite s External Secrets Operatorom uz potporu izvorne tajne trgovine vašeg pružatelja usluga oblaka. Minimalni operativni troškovi, solidno revizijsko bilježenje, besplatno. Dodajte Dopplerovu besplatnu razinu ako također želite jedinstveno iskustvo razvojnih/CI/produkcijskih tajni.
Kako mogu integrirati AWS Secrets Manager s Kubernetesom?
Koristite External Secrets Operator s ClusterSecretStore koji pokazuje na AWS Secrets Manager. Na EKS-u koristite IRSA (IAM Roles for Service Accounts) za IAM autentifikaciju na razini pod-nisu potrebne statičke vjerodajnice. Na klasterima koji nisu EKS, koristite IAM korisnika sa secretsmanager:GetSecretValue opsegom na vaše specifične tajne ARN-ove.