Wraz ze wzrostem popularności Kubernetes, Audyt Kubernetes jest kluczowym źródłem danych do włączenia do strategii bezpieczeństwa Kubernetes. Daje zespołom bezpieczeństwa i DevOps całkowitą przejrzystość wszystkich operacji, które odbywają się w klastrze. Funkcja rejestrowania audytu została wprowadzona w Kubernetes 1.11. Audyt dzienników jest istotną częścią ochrony klastra Kubernetes, ponieważ rejestrują one zdarzenia, takie jak inicjowanie usługi portu węzła, usuwanie przestrzeni nazw i uruchomienie nowych wdrożeń. Ten blog szczegółowo wyjaśnia, czym jest audyt Kubernetes i zawiera informacje, które pomagają zacząć. Zanim przejdziemy do polityki kontroli w Kubernetes, najpierw zdefiniujmy, czym jest audyt.
Co to jest audyt w Kubernetes?
Korzystając z audytu Kubernetes, historia wydarzeń klastra jest rejestrowana w serii zapisów, które są zorganizowane chronologicznie. Sam samolot sterujący, aplikacje korzystające z interfejsu API Kubernetes, i użytkownicy, wszystkie zapewniają działania, które audyty klastra.
Administratorzy klastrów mogą skorzystać z kontroli, aby udzielić odpowiedzi na niektóre pytania, takie jak to, co się wydarzyło i kiedy to się wydarzyło, kto to się wydarzył, gdzie został zaobserwowany, gdzie się pochodzi, i dokąd zmierza, które są ujawnione.
Żywotność rekordów audytu rozpoczyna się od komponentu Kube-Apiserver. Każde żądanie zapewnia zdarzenie audytu na każdym etapie przetwarzania, które jest następnie wstępnie przetwarzane zgodnie z zasadą i zapisane na zapleczu. Polityka określa, co jest nagrane, a backends utrzymują rekordy. Dwie bieżące implementacje zaplecza to pliki dziennika i haczyki internetowe.
Każde żądanie może być umieszczone na określonym etapie. Etapy i ich opis są przedstawione w następujący sposób:
Pseudonim artystyczny | Opis etapu |
---|---|
Prośba otrzymana | Żądanie jest odbierane przez obsługę audytu. |
Odpowiedź | Chociaż korpus odpowiedzi nie jest przenoszony, nagłówki reakcji pozostają. |
ResponSecomplete | Po wysłaniu ciała odpowiedzi nie są przenoszone dodatkowe bajty. |
Panika | Żądanie nie zakończyło się z powodu błędu serwera wewnętrznego. |
Jaka jest polityka audytu w Kubernetes?
Polityka audytu określa standardy zdarzeń, które należy zgłosić, oraz dane, które należy podać. Format obiektu polityki audytu jest określony przez audyt.K8s.IO API Group. Lista zasad jest porównywana z wydarzeniem, gdy jest przetwarzana w uporządkowany sposób. Poziom audytu wydarzenia decyduje się na pierwszym zasadzie dopasowania.
Brak, Metdt, żądanie i requestResponse to określone poziomy audytu.
Nic | Wydarzenia, które spełniają ten wymóg. |
---|---|
Metadane | Ciała żądania i odpowiedzi nie są rejestrowane; tylko informacje o żądaniu (żądanie użytkownika, zasobów, czasownika itp.). |
Wniosek | Dane dotyczące nadwozia żądania i zdarzenia są rejestrowane, ale nie korpus odpowiedzi. |
Wymagać odpowiedzi | Współpracowanie i odpowiedzi, a także metadane zdarzenia, powinny zostać udokumentowane. Żądania, które nie są powiązane z zasobami, nie są przez to objęte. |
Plik, który utrzymuje zasadę, może być przekazywany do kapisiseru Kube. Jeśli flaga nie jest ustawiona, żadne zdarzenia nie są zarejestrowane. Pole reguły pliku polityki audytu musi zostać wypełnione. Polityka jest uważana za niezgodną z prawem, jeśli nie zawiera żadnych przepisów.
Oto przykład pliku polityki audytu dla Twojej pomocy. Tutaj możesz zobaczyć wszystkie informacje, takie jak użytkownicy, grupy, zasoby i inne rzeczy.
Pamiętaj, że dzienniki audytu są gromadzone na podstawie skonfigurowanej zasady audytu, zanim spróbujesz uchwycić zasady audytu, które podano następujące. Wydarzenia i informacje, które muszą zostać zarejestrowane, są określone przez zasady audytu. Pierwsza reguła dopasowania w hierarchii zasad określonych w polityce audytu określa poziom audytu zdarzenia.
Załączony jest kompletny przykładowy plik polityki audytu, który możesz odwołać, aby lepiej zrozumieć szczegóły.
Kubernetes plik zasad audytu dla klastrów GKE zaczyna się od reguł opisujących, które zdarzenia w ogóle nie powinny być rejestrowane. Na przykład ta reguła określa, że zasoby węzłów lub zasoby NodessTatus nie powinny zgłaszać żadnych żądań, które są składane przez kublety. Pamiętaj, że jeśli poziom nie jest brak, nie należy zgłaszać pasujących zdarzeń.
Plik zasad zawiera listę reguł, które są specjalnymi przypadkami po liście zasad poziomu Brak. Jako przykład, ta reguła specjalna instruuje, aby zarejestrować konkretne żądania na poziomie metadanych.
Wydarzenie odpowiada regułom, jeśli wszystkie poniższe są prawdziwe:
Plik zasad zawiera następnie zbiór ogólnych reguł po liście reguł specjalnych. Musisz zmienić wartość $ (znane_apis) na wartość znanych interfejsów API, aby wyświetlić ogólne zasady skryptu. Po zastąpieniu pojawia się zasada, która czyta w następujący sposób:
Możesz zarejestrować każde żądanie na poziomie metadanych za pomocą prostego pliku polityki audytu.
Co to są dzienniki audytu i dlaczego należy je skonfigurować
Dzienniki audytu są bardzo pomocne w klastrze Kubernetes w celu śledzenia i śledzenia działań i zmian w różnych zasobach klastrów. Możesz dowiedzieć się, kto wykonał co i kiedy, włączając audyt, który nie jest domyślnie włączony.
Dzienniki audytu służą jako podstawa bezpieczeństwa i zgodności i daje wgląd w działania, które mają miejsce w klastrze Kubernetes. Możesz natychmiast wykryć każde niezwykłe zachowanie, które występuje w klastrze, takie jak nieudane próby logowania lub próby dostępu do wrażliwych tajemnic, z prawidłowo skonfigurowanym rejestracją audytu. Możesz współpracować w silosach, aby szybko reagować na podejrzane działania, stosując audyty. Wdrożenie utwardzania klastrów i łagodzenie wszelkiej błędnej konfiguracji jest wspomagane przez rutynowe audyt danych dziennika zdarzeń.
Wniosek
Nauczyliśmy się dokładnie, do czego są dzienniki audytu Kubernetes i do jakiego celu są używane. Dowiedzieliśmy się również, dlaczego audyt ma kluczowe znaczenie dla bezpieczeństwa twojego klastra Kubernetes. Omówiono również konieczność włączenia dzienników audytu dla klastra Kubernetes. W przypadku odniesienia przedstawiliśmy przykładowy plik zasady audytu i szczegółowe wyjaśnienie treści. Możesz odwołać się do tego artykułu, jeśli jesteś nowy w tej koncepcji.