我们正在使用与 Vault 集成的 EKS,使用 Kubernetes 作为 Vault 的“身份验证后端”。我们看到的一个安全漏洞是,如果有人可以访问 kubelet 证书,他们可以冒充 kubelet,因此可以获得 pod 已映射到的服务帐户的机密(根据Vault 角色定义)并使用 Vault 验证自身并从 Vault 获取数据库凭据。有没有办法缓解这种情况。基本上我们如何才能降低有人冒充 kubelet 的风险。
我们正在使用与 Vault 集成的 EKS,使用 Kubernetes 作为 Vault 的“身份验证后端”。我们看到的一个安全漏洞是,如果有人可以访问 kubelet 证书,他们可以冒充 kubelet,因此可以获得 pod 已映射到的服务帐户的机密(根据Vault 角色定义)并使用 Vault 验证自身并从 Vault 获取数据库凭据。有没有办法缓解这种情况。基本上我们如何才能降低有人冒充 kubelet 的风险。