Kubernetes v1.35: Ein besserer Weg, Service Account Tokens an CSI-Treiber zu übergeben
Quelle: Kubernetes Blog
2 Minuten Lesezeit

Kubernetes v1.35: Ein besserer Weg, Service Account Tokens an CSI-Treiber zu übergeben

Kubernetes v1.35 führt eine verbesserte Methode zur Übergabe von Service-Account-Token an Container Storage Interface (CSI) Treiber ein. Die neue Beta-Funktion ermöglicht es Treibern,
kubernetes cloud-native service-account-tokens csi-treiber sicherheit devops feature-gate

TL;DR

Kubernetes v1.35 führt eine verbesserte Methode zur Übergabe von Service-Account-Token an Container Storage Interface (CSI) Treiber ein. Die neue Beta-Funktion ermöglicht es Treibern, Tokens über das Secrets-Feld in NodePublishVolumeRequest zu empfangen, was die Sicherheit erhöht und das Risiko von versehentlichen Protokollierungen verringert.

Kubernetes v1.35 optimiert die Handhabung von Service-Account-Token für CSI-Treiber, indem ein neues opt-in Mechanismus eingeführt wird. Zuvor wurden Tokens über das volume_context-Feld übergeben, was sich als unsicher erwies, da sensible Informationen in Logs gelangen konnten. Dies geschah beispielsweise in den Vorfällen CVE-2023-2878 und CVE-2024-3744. Die neue Implementierung erlaubt es Treibern, Tokens über das secrets-Feld zu empfangen, was den Anforderungen der CSI-Spezifikation für sensible Daten besser entspricht.

Die Implementierung der neuen Funktion erfolgt durch das Hinzufügen eines neuen Feldes in der CSIDriver-Spezifikation. Treiber können nun den serviceAccountTokenInSecrets-Wert auf true setzen, um die Übergabe über das Secrets-Feld zu aktivieren. Standardmäßig ist dieser Wert auf false gesetzt, sodass bestehende Treiber weiterhin wie gewohnt funktionieren, bis sie bereit sind, auf die neue Methode umzusteigen. Die Feature-Gate CSIServiceAccountTokenSecrets ist standardmäßig aktiviert, was die Einführung erleichtert.

Für die Entwickler von CSI-Treibern wird empfohlen, eine Fallback-Logik zu implementieren, die sowohl das neue als auch das alte Verfahren unterstützt. Dies gewährleistet die Kompatibilität mit bestehenden Volumes und ermöglicht eine schrittweise Migration zu der neuen Methode. Die Anpassung der Treiber kann unabhängig von der Cluster-Aktualisierung erfolgen.

Die Einführung dieser Funktion in der Beta-Phase zeigt, dass die Kubernetes Entwicklergemeinschaft bestrebt ist, Sicherheitsstandards zu verbessern und gleichzeitig die Kompatibilität mit bestehenden Systemen zu gewährleisten. Die Möglichkeit, die Übergabe von Tokens sicherer zu gestalten, ist ein wichtiger Schritt für die Sicherheit in Kubernetes-Umgebungen.

Insgesamt bietet Kubernetes v1.35 eine wichtige Verbesserung in der Handhabung von Service-Account-Token, die sowohl die Sicherheit erhöht als auch die Flexibilität für Entwickler von CSI-Treibern verbessert. Die schrittweise Einführung ermöglicht es, bestehende Systeme zu erhalten und gleichzeitig neue Sicherheitsstandards zu integrieren.

Originalartikel

Veröffentlicht von Kubernetes Blog

Zum Original-Artikel

Automatisierte Zusammenfassung

Dieser Beitrag wurde automatisch aus dem englischsprachigen Original erstellt und auf Deutsch zusammengefasst. Wir bieten diesen Service an, um Sie bei der oft zerklüfteten und überwiegend englischsprachigen News-Situation im Bereich Cloud-Native Software, Souveräne Cloud, Kubernetes und Container-Technologien zeitnah auf Deutsch zu informieren.

Vorherige News Alle News Nächste News

Ähnliche Artikel