Utwórz zasadę audytu Kubernetes

Pani Alicja Szafrański
Utwórz zasadę audytu Kubernetes

Wraz ze wzrostem popularności Kubernetes, Audyt Kubernetes jest kluczowym źródłem danych do włączenia do strategii bezpieczeństwa Kubernetes. Daje zespołom bezpieczeństwa i DevOps całkowitą przejrzystość wszystkich operacji, które odbywają się w klastrze. Funkcja rejestrowania audytu została wprowadzona w Kubernetes 1.11. Audyt dzienników jest istotną częścią ochrony klastra Kubernetes, ponieważ rejestrują one zdarzenia, takie jak inicjowanie usługi portu węzła, usuwanie przestrzeni nazw i uruchomienie nowych wdrożeń. Ten blog szczegółowo wyjaśnia, czym jest audyt Kubernetes i zawiera informacje, które pomagają zacząć. Zanim przejdziemy do polityki kontroli w Kubernetes, najpierw zdefiniujmy, czym jest audyt.

Co to jest audyt w Kubernetes?

Korzystając z audytu Kubernetes, historia wydarzeń klastra jest rejestrowana w serii zapisów, które są zorganizowane chronologicznie. Sam samolot sterujący, aplikacje korzystające z interfejsu API Kubernetes, i użytkownicy, wszystkie zapewniają działania, które audyty klastra.

Administratorzy klastrów mogą skorzystać z kontroli, aby udzielić odpowiedzi na niektóre pytania, takie jak to, co się wydarzyło i kiedy to się wydarzyło, kto to się wydarzył, gdzie został zaobserwowany, gdzie się pochodzi, i dokąd zmierza, które są ujawnione.

Żywotność rekordów audytu rozpoczyna się od komponentu Kube-Apiserver. Każde żądanie zapewnia zdarzenie audytu na każdym etapie przetwarzania, które jest następnie wstępnie przetwarzane zgodnie z zasadą i zapisane na zapleczu. Polityka określa, co jest nagrane, a backends utrzymują rekordy. Dwie bieżące implementacje zaplecza to pliki dziennika i haczyki internetowe.

Każde żądanie może być umieszczone na określonym etapie. Etapy i ich opis są przedstawione w następujący sposób:

Pseudonim artystyczny Opis etapu
Prośba otrzymana Żądanie jest odbierane przez obsługę audytu.
Odpowiedź Chociaż korpus odpowiedzi nie jest przenoszony, nagłówki reakcji pozostają.
ResponSecomplete Po wysłaniu ciała odpowiedzi nie są przenoszone dodatkowe bajty.
Panika Żądanie nie zakończyło się z powodu błędu serwera wewnętrznego.

Jaka jest polityka audytu w Kubernetes?

Polityka audytu określa standardy zdarzeń, które należy zgłosić, oraz dane, które należy podać. Format obiektu polityki audytu jest określony przez audyt.K8s.IO API Group. Lista zasad jest porównywana z wydarzeniem, gdy jest przetwarzana w uporządkowany sposób. Poziom audytu wydarzenia decyduje się na pierwszym zasadzie dopasowania.

Brak, Metdt, żądanie i requestResponse to określone poziomy audytu.

Nic Wydarzenia, które spełniają ten wymóg.
Metadane Ciała żądania i odpowiedzi nie są rejestrowane; tylko informacje o żądaniu (żądanie użytkownika, zasobów, czasownika itp.).
Wniosek Dane dotyczące nadwozia żądania i zdarzenia są rejestrowane, ale nie korpus odpowiedzi.
Wymagać odpowiedzi Współpracowanie i odpowiedzi, a także metadane zdarzenia, powinny zostać udokumentowane. Żądania, które nie są powiązane z zasobami, nie są przez to objęte.

Plik, który utrzymuje zasadę, może być przekazywany do kapisiseru Kube. Jeśli flaga nie jest ustawiona, żadne zdarzenia nie są zarejestrowane. Pole reguły pliku polityki audytu musi zostać wypełnione. Polityka jest uważana za niezgodną z prawem, jeśli nie zawiera żadnych przepisów.

Oto przykład pliku polityki audytu dla Twojej pomocy. Tutaj możesz zobaczyć wszystkie informacje, takie jak użytkownicy, grupy, zasoby i inne rzeczy.

Pamiętaj, że dzienniki audytu są gromadzone na podstawie skonfigurowanej zasady audytu, zanim spróbujesz uchwycić zasady audytu, które podano następujące. Wydarzenia i informacje, które muszą zostać zarejestrowane, są określone przez zasady audytu. Pierwsza reguła dopasowania w hierarchii zasad określonych w polityce audytu określa poziom audytu zdarzenia.

Załączony jest kompletny przykładowy plik polityki audytu, który możesz odwołać, aby lepiej zrozumieć szczegóły.

Kubernetes plik zasad audytu dla klastrów GKE zaczyna się od reguł opisujących, które zdarzenia w ogóle nie powinny być rejestrowane. Na przykład ta reguła określa, że ​​zasoby węzłów lub zasoby NodessTatus nie powinny zgłaszać żadnych żądań, które są składane przez kublety. Pamiętaj, że jeśli poziom nie jest brak, nie należy zgłaszać pasujących zdarzeń.

Plik zasad zawiera listę reguł, które są specjalnymi przypadkami po liście zasad poziomu Brak. Jako przykład, ta reguła specjalna instruuje, aby zarejestrować konkretne żądania na poziomie metadanych.

Wydarzenie odpowiada regułom, jeśli wszystkie poniższe są prawdziwe:

  • Brak poprzedzającej reguły w pliku polityki pasuje do wydarzenia.
  • Zasób typów tajemnic, konfiguracji lub typów Tokenreviews jest przedmiotem żądania.
  • Wymagany etap połączenia nie jest objęty wydarzeniem.

Plik zasad zawiera następnie zbiór ogólnych reguł po liście reguł specjalnych. Musisz zmienić wartość $ (znane_apis) na wartość znanych interfejsów API, aby wyświetlić ogólne zasady skryptu. Po zastąpieniu pojawia się zasada, która czyta w następujący sposób:

Możesz zarejestrować każde żądanie na poziomie metadanych za pomocą prostego pliku polityki audytu.

Co to są dzienniki audytu i dlaczego należy je skonfigurować

Dzienniki audytu są bardzo pomocne w klastrze Kubernetes w celu śledzenia i śledzenia działań i zmian w różnych zasobach klastrów. Możesz dowiedzieć się, kto wykonał co i kiedy, włączając audyt, który nie jest domyślnie włączony.

Dzienniki audytu służą jako podstawa bezpieczeństwa i zgodności i daje wgląd w działania, które mają miejsce w klastrze Kubernetes. Możesz natychmiast wykryć każde niezwykłe zachowanie, które występuje w klastrze, takie jak nieudane próby logowania lub próby dostępu do wrażliwych tajemnic, z prawidłowo skonfigurowanym rejestracją audytu. Możesz współpracować w silosach, aby szybko reagować na podejrzane działania, stosując audyty. Wdrożenie utwardzania klastrów i łagodzenie wszelkiej błędnej konfiguracji jest wspomagane przez rutynowe audyt danych dziennika zdarzeń.

Wniosek

Nauczyliśmy się dokładnie, do czego są dzienniki audytu Kubernetes i do jakiego celu są używane. Dowiedzieliśmy się również, dlaczego audyt ma kluczowe znaczenie dla bezpieczeństwa twojego klastra Kubernetes. Omówiono również konieczność włączenia dzienników audytu dla klastra Kubernetes. W przypadku odniesienia przedstawiliśmy przykładowy plik zasady audytu i szczegółowe wyjaśnienie treści. Możesz odwołać się do tego artykułu, jeśli jesteś nowy w tej koncepcji.

c ostre
Złóż i kontynuuj instrukcje w C#
Oświadczenie o przerwie może wcześnie opuścić pętlę, podczas gdy kontynuacja może pominąć pewne iter...
Sebastian Kaczyński
php
Jak używać funkcji Array_Merge w PHP?
Funkcja array_merge () w php pozwala połączyć wiele tablic w jedną. Śledź ten artykuł, aby dowiedzie...
Pani Julia Szwed
C ++
Jak używać operatora przypisania odejmowania w C ++
W C ++ -= jest operatorem przypisywania odejmowania, odejmuje dwie przeciwne wartości boczne od oper...
Renata Borowiec
Oracle Linux
Jak zainstalować i korzystać z Oracle VirtualBox Extension Pack?
Albert Szcześniak
Pyton
Pandas read_csv multiprocessing
Oliwia Makowski
Doker
Jaki jest cel kompozycji dokera.plik YML w Docker?
Bertram Jóźwiak
Siły sprzedaży
Salesforce Apex - lista
Oliwia Makowski
JavaScript
Jak działa wydarzenie OnClick w JavaScript
Maja Kucharski
AWS
To, co AWS narzędzia i DevOps są potrzebne do opracowania aplikacji internetowej?
Zofia Góra
AWS
Co to jest AWS GuardDuty i dlaczego jest używany?
Sebastian Kaczyński
PowerShell
Jak korzystać z operatorów porównawczych w PowerShell?
Pani Julia Szwed
AWS
Jak korzystać z menedżera sesji AWS Systems Manager?
Makary Stasiak
c ostre
Jak używany jest operator Lambda '=>'
Justyna Flak