安全审计员要求我解释oc delete secret的基本过程。他们想确定的是,机密一旦被删除,就无法通过取证工具恢复。
提前感谢您的任何意见。
为了进行彻底的评估/审计,需要剥离很多层。首先查看ocCLI执行的调用,该调用应在下面向API服务器上的DELETE secret端点发送请求。
最终,在Kubernetes中,删除操作将归结为从etcd数据存储中删除密钥,如图所示。您可以进一步深入了解etcd Go API和etcd内部,以确定在提交时如何跨集群节点执行删除,并确定取证工具是否能够窥探磁盘上的存储块。
此外,请确保装载机密的Pod不会将数据写入磁盘或日志。