igen es ehhez kell a hozzaertes hogy ez ne tlortenhessen meg. De ehhez bezony erteni kell a dolgokhoz vagy olyanokra bizni akik ertenek hozza.
Azt mondod, hogy megnezed a secretet? Megis hogyan?
* Sectret: Nalunk senki sem tudja megnezni a secretet a kubernetesen belul csak az app serviceaccountja (rbac). Keptelenseg. En is csak onnan tudom, hogy van jogosultsagom a key-vault-ba egy par secretre es meg csak nem is az osszesre. Amugy meg random generalodik minden alkalommal minden deploynal az osszes secret. Szoval fingom since most eppen mi az erteke :D
* Env var: Senki sem tud exec-elni az APP podba. Igen a "describe" meg a "get" mukodik nekem(!!!) meg meg ket embernek, senki masnak. De nekem is csak ugy, ha elotte MFA-zok egy jot es a PIM-ben megkerem a jogosultsagot (1 orara meg is tarthatom), majd authentikalom magam egy jumphoston a client certemmel (ez mar ugye harom reteg) amit ki tudok szedni a keyvaultbol, mert az is rotalodik folyton (de ilyenkor mar ugye van sessionom az MFA utan)
* A frontendunk kb semmit sem tud semmirol. Indulaskor lekeri a backend-hez valo kapcsolodashoz a tokent egy API-tol, ami general egyet neki a keyvaultban (igen ez csak minden indulaskor tortenik meg, azaz ha valaki ki tudja olvasni a secretet a fentiek alapjan, akkor az tud a frontend IP cimerol kereseket kuldeni a backendnek, mar hogy a picsaban tudna, he ra sem tud lepni?)
* Backend workload identity-vel fut, nincsenek kulcsok IAM-mal van beallitva, hogy mihez van joga (key vault, storage account, stb' Pl. a keyvaultbol keri le indulaskor az adatbazishoz szukseges kapcsolodasi adatokat, igy nincs env var vagy secret sem, csak a memoriajaban letezik), de mint irtam ember legyen a talpan aki be tud exec-elni miutan az egy az egyben titltott, a node-ok meg privatek szoval nem tudsz rajuk lepni (nincs SSH) hogy azok memoriajabol szedd ki a container memoriajanak ytartalmat)
az adatbazis titkositasa sem ved semmi ellen sem, ha a fentiek nincsenek meg. Ennyi