北京金融科技产业联盟：2024金融业容器云密钥管理技术研究报告

随着容器云的快速发展，Kubernetes 已经成为云原生应用 的事实标准，并得到了广泛应用。容器云内遍布大量敏感数据使 得数据安全性成为关键关注点。本文针对镜像安全交付和密钥使 用等问题，提出了两个创新方案以应对这些挑战。 首先，在镜像安全交付方面，通过测试当前已有方案，识别 到容器镜像加密过程中的性能瓶颈，提出了对应的优化方案，使 得解密性能有着近 40%的提升。通过该优化方案，能够显著提升 镜像在多接收者条件下的启动速度，提高数据安全性并改善系统 性能。其次，在强化密钥使用安全性上，设计了新的密钥分发方 案。当前 Kubernetes 中的敏感信息仅通过 Base64 编码后存储， 尝试通过信任链延伸、复用内部安全机制等方式，解决密钥存储 的安全性问题，对此开发了 Secret Client Plugin 测试程序， 并以常见的接口访问密钥为示例进行测试。该方案有着密钥不落 地、密钥随机化等优势，以达到密钥在本地的安全性和抗泄露性。