Gire as chaves de segurança do seu cluster

Rotação de Chaves

A rotação de chaves é o ato de alterar o material criptográfico subjacente contido em uma chave de criptografia (KEK) . Ela pode ser acionada manualmente, geralmente após um incidente de segurança em que as chaves podem ter sido comprometidas. A rotação de chaves substitui apenas o único campo na chave que contém os dados brutos da chave de criptografia/descriptografia.

Para girar as chaves de criptografia gerenciadas pelo cliente, execute as seguintes etapas:

  1. Crie uma nova versão de chave do Azure Key Vault .

  2. Após a rotação de chaves, novos segredos serão criptografados usando a nova chave. Segredos antigos continuarão sendo descriptografados usando chaves antigas. O cluster armazena informações da chave junto com a cifra para auxiliar na descriptografia após a rotação de chaves.

    Forçar o cluster a criptografar novamente todos os segredos usando a nova chave:

    kubectl get secrets --all-namespaces -o json | \
    kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`