Хранение секретов в Kubernetes в ConfigMap небезопасно, так как ConfigMap не шифрует данные и доступен всем с read-доступом к namespace. Для безопасного хранения секретов рекомендуется:

Использовать Kubernetes Secrets, которые хранят данные в base64 и могут быть дополнительно зашифрованы на уровне etcd.
Включить шифрование секретов на стороне etcd (Encryption at Rest) через конфигурацию kube-apiserver.
Ограничить доступ к секретам с помощью RBAC, предоставляя права только необходимым сервисам и пользователям.
Рассмотреть интеграцию с внешними системами управления секретами, например HashiCorp Vault, AWS KMS, Azure Key Vault, которые обеспечивают централизованное и безопасное хранение и ротацию секретов.

Пример использования Kubernetes Secret:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  password: cGFzc3dvcmQ= # base64 encoded 'password'

Таким образом, переход с ConfigMap на Secrets и настройка RBAC значительно повысит безопасность хранения конфиденциальных данных.

Как хранить секреты в Kubernetes безопасно, если сейчас они лежат в ConfigMap и доступны всем с read-доступом к namespace?