[安全审核员已要求我解释oc delete secret的基本过程,他们想要确定的秘密是,例如,一旦删除,该秘密就无法通过取证工具恢复。
感谢您的任何输入。
为了进行全面的评估/审核,您必须剥离很多层。首先查看oc CLI执行的调用,该调用应在下面向DELETE secret endpoint on the API Server发送请求。
最终,在Kubernetes中,删除操作将归结为从etcd数据存储中删除密钥,如here所示。您可以进一步挖掘etcd Go API和etcd内部,以确定提交时如何跨群集节点执行删除操作,并确定取证工具是否能够撬入磁盘上的存储块。
此外,请确保装入机密的Pod不会将数据写入磁盘或日志。