يُعدّ Kubernetes Secret كائنًا مدمجًا لتخزين البيانات الحساسة مثل كلمات المرور، ورموز API المميزة، ومفاتيح TLS، وبيانات اعتماد التطبيقات. وهو يتيح لأعباء العمل قراءة القيم المطلوبة وقت التشغيل بدلًا من تضمينها بشكل ثابت داخل الصور أو الشيفرة المصدرية.
تكتسب الأسرار أهمية لأنها غالبًا ما تكون الجسر من الحاوية إلى الوصول الفعلي إلى البنية التحتية. إذا تم كشف Secret عبر RBAC ضعيف، أو سجلات مطوّلة، أو ملفات مُركّبة، أو متغيرات بيئة مُهيّأة بشكل خاطئ، أو مخزن طبقة التحكم غير مشفّر، فقد يعيد المهاجم استخدام بيانات الاعتماد للوصول إلى قواعد البيانات أو واجهات برمجة التطبيقات السحابية أو العناقيد الأخرى. ويقلل المدافعون من المخاطر عبر حصر من يمكنه قراءة الأسرار، وتدوير القيم بانتظام، وفصل مساحات الأسماء، واستخدام مديري أسرار خارجيين أو التشفير أثناء التخزين. وفي الهجمات، تُعدّ أسرار Kubernetes المسروقة ذات قيمة لأنها قد تبقى صالحة حتى بعد تنظيف المضيف الأصلي، وتستمر في منح الوصول حتى يتم إبطالها.



