Para Kubernetes
Secret Manager para Kubernetes
Em ambientes Kubernetes, o desafio nao eh armazenar secrets — eh entrega-los aos pods sem escrever em disco, sem expor via env vars e rotacionar sem downtime. O CipherVault implementa um Mutating Admission Webhook que injeta credenciais via volumes tmpfs em init containers ou sidecars.
Por que CipherVault para Kubernetes
- Mutating webhook nativo (compatível com k8s 1.21+)
- Volumes tmpfs: secrets nunca tocam disco do node
- Workload identity via SPIFFE/SPIRE JWT-SVID (sem long-lived tokens)
- Rotação automática propagada sem restart de pod (signals SIGHUP)
- Compatível com Helm, Kustomize, ArgoCD e Flux
- Integração com Service Accounts via ProjectedToken (TokenRequest API)
Caso de uso típico
Cluster EKS com 200 microserviços onde cada deployment precisa de credenciais de banco distintas, com rotação semanal e auditoria por workload.
Como fica na prática
Kubernetes
apiVersion: apps/v1
kind: Deployment
metadata:
name: payments-api
annotations:
ciphervault.io/inject: "true"
ciphervault.io/secrets: "db/payments-prod,api-keys/stripe"
spec:
template:
spec:
serviceAccountName: payments-sa
containers:
- name: app
image: payments-api:v1.4
# CipherVault injeta /var/run/secrets/cv/ via tmpfsPerguntas frequentes — Kubernetes
Secrets nativos do k8s são armazenados em etcd codificados em base64 (não criptografados por padrão), e ficam expostos como env vars ou arquivos. O CipherVault injeta via tmpfs e suporta rotação sem reiniciar pods.