Etcd Encryption at Rest
Alle Kubernetes Secrets in uw cluster worden versleuteld opgeslagen in etcd. Dit voorkomt dat gevoelige gegevens zoals wachtwoorden, API-tokens en TLS-certificaten als leesbare tekst op schijf staan.
Etcd encryption at rest is standaard ingeschakeld op elk cluster dat via Proxy Platform wordt aangemaakt. U hoeft hier zelf niets voor te configureren.
Wat is etcd?
Etcd is de gedistribueerde key-value database die Kubernetes gebruikt om alle clusterdata op te slaan — van configuraties en deployments tot Secrets. Zonder versleuteling worden Secrets als base64-encoded tekst opgeslagen, wat in feite leesbaar is voor iedereen met toegang tot de etcd-databestanden.
Hoe werkt het?
Elk cluster krijgt een unieke encryptiesleutel die automatisch wordt gegenereerd tijdens de provisioning. Deze sleutel wordt gebruikt om Secrets te versleutelen voordat ze naar etcd worden geschreven.
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ Kubernetes │ │ API Server │ │ etcd │
│ Secret │─────▶│ versleutelt │─────▶│ opgeslagen │
│ (plaintext) │ │ met AES-CBC │ │ (ciphertext) │
└──────────────┘ └──────────────┘ └──────────────┘- Algoritme: AES-CBC (256-bit)
- Sleutelbeheer: Elke cluster heeft een eigen unieke sleutel
- Automatisch: Alle Secrets worden transparant versleuteld en ontsleuteld
Uw encryptiesleutel bekijken
U kunt de encryptiesleutel van uw cluster terugvinden in het Proxy Platform Dashboard onder de clusterdetails:
- Ga naar Clusters in het dashboard
- Selecteer uw cluster
- Klik rechtsboven op het tandwiel-icoon
- Kies Encryptie Sleutel
Bewaar uw encryptiesleutel op een veilige locatie. Bij een disaster recovery scenario heeft u deze sleutel nodig om de etcd-backup te ontsleutelen en uw cluster te herstellen.
Waarom per-cluster sleutels?
Elk cluster heeft een eigen unieke encryptiesleutel. Dit zorgt ervoor dat:
| Voordeel | Toelichting |
|---|---|
| Isolatie | Een gelekte sleutel geeft alleen toegang tot de Secrets van dat specifieke cluster |
| Compliance | Voldoet aan best practices voor multi-tenant omgevingen |
| Disaster recovery | Sleutels worden versleuteld opgeslagen in het platform voor backup-doeleinden |
Veelgestelde vragen
Worden alle Secrets versleuteld?
Ja. Alle Kubernetes Secret-objecten worden automatisch versleuteld in etcd. Dit geldt voor Secrets die u zelf aanmaakt, maar ook voor Secrets die door Kubernetes worden beheerd (zoals ServiceAccount-tokens en TLS-certificaten).
Kan ik de versleuteling uitschakelen?
Nee. Encryption at rest is een vaste beveiligingsmaatregel op het Proxy Platform en kan niet worden uitgeschakeld.
Wat gebeurt er bij een etcd-restore?
Bij het terugzetten van een etcd-backup wordt dezelfde encryptiesleutel gebruikt. Daarom is het belangrijk dat u uw sleutel veilig bewaart. Het platform slaat de sleutel ook versleuteld op in de beheeromgeving.