Erstellen Sie eine Kubernetes -Audit -Richtlinie
Mit zunehmender Beliebtheit von Kubernetes ist Kubernetes Auditing eine entscheidende Datenquelle, die Sie in Ihre Kubernetes -Sicherheitsstrategie einbeziehen können. Es gibt den Sicherheits- und DevOps -Teams eine vollständige Transparenz für alle Operationen, die innerhalb des Clusters stattfinden. Die Prüfprotokollierungsfunktionalität wurde in Kubernetes 1 eingeführt.11. Prüfungsprotokolle sind ein wesentlicher Bestandteil des Schutzes Ihres Kubernetes -Cluster. In diesem Blog wird ausführlich erklärt, was Kubernetes -Auditing ist, und bietet Ihnen Informationen, mit denen Sie loslegen können. Bevor wir uns mit der Prüfungsrichtlinie in Kubernetes fortsetzen, definieren wir zunächst, was die Prüfung ist.
Was ist die Prüfung in Kubernetes?
Mit Kubernetes Auditing wird die Ereignisgeschichte eines Clusters in einer Reihe von Datensätzen erfasst, die chronologisch organisiert sind. Die Kontrollebene selbst, die Apps, die die Kubernetes -API verwenden, und die Benutzer bieten Aktivitäten, die die Cluster -Audits prüfen.
Cluster -Administratoren können die Prüfung nutzen, um Antworten auf einige Fragen zu geben, wie das, was passiert ist und wann es aufgetreten ist, wer sie initiiert hat, was sich abspielte, wo es beobachtet wurde, wo es entstanden ist und wohin es geht, was alle offenbart werden.
Die Lebensdauer von Prüfungsunterlagen beginnt mit der Kube-Apiserver-Komponente. Jede Anfrage bietet bei jedem Verarbeitungsschritt ein Audit-Ereignis, das dann im Einklang mit einer Richtlinie vorverarbeitet und auf einem Backend gespeichert wird. Die Richtlinie bestimmt, was aufgezeichnet wird und die Backends die Aufzeichnungen beibehalten. Zwei der aktuellen Backend -Implementierungen sind Protokolldateien und Webhooks.
Jede Anfrage kann in einer bestimmten Phase gestellt werden. Die Phasen und ihre Beschreibung sind im Folgenden dargestellt:
| Künstlername | Bühnenbeschreibung |
|---|---|
| Anfrage erhalten | Die Anfrage wird vom Prüfungshandler empfangen. |
| Reagiert | Obwohl der Reaktionskörper nicht übertragen wird, bleibt die Reaktionsüberschriften bestehen. |
| ResponseComplete | Sobald die Reaktionsbehörde gesendet wurde, werden keine zusätzlichen Bytes übertragen. |
| Panik | Die Anforderung war aufgrund eines internen Serverfehlers nicht erfolgreich. |
Was ist die Prüfungsrichtlinie in Kubernetes??
Die Prüfungsrichtlinie gibt die Standards für die gemeldeten Ereignisse und die bereitgestellten Daten an, die bereitgestellt werden müssen. Das Format für Prüfungsrichtlinien wird durch das Audit angegeben.K8S.IO API -Gruppe. Eine Liste von Regeln wird mit einem Ereignis verglichen, wenn es ordentlich verarbeitet wird. Die Prüfungsstufe der Veranstaltung wird durch die erste Matching -Regel festgelegt.
Keine, Metdt, Anfrage und RequestResponse sind die angegebenen Prüfungsstufen.
| Keiner | Die Ereignisse, die diese Anforderung erfüllen, sollten nicht aufgezeichnet werden. |
|---|---|
| Metadaten | Die Anfrage- und Antwortkörper sind nicht protokolliert; Nur die Anforderungsinformationen (Anfrage des Benutzers, Ressource, Verb usw.). |
| Anfrage | Die Anforderungskörper- und Ereignisdaten sind protokolliert, aber nicht die Antwortkörper. |
| RequestResponse | Anfrage- und Antwortkörper sowie die Ereignismetadaten sollten alle dokumentiert werden. Die Anfragen, die nicht mit den Ressourcen zusammenhängen. |
Eine Datei, in der die Richtlinie gehalten wird. Wenn das Flag nicht festgelegt ist, sind überhaupt keine Ereignisse registriert. Das Feld der Regeln der Prüfungsrichtlinie muss ausgefüllt werden. Eine Richtlinie gilt als rechtswidrig, wenn sie keine Vorschriften enthält.
Hier ist ein Beispiel für eine Prüfungsrichtlinie für Ihre Hilfe. Hier sehen Sie möglicherweise alle Informationen wie Benutzer, Gruppen, Ressourcen und andere Dinge.
Denken Sie daran, dass Prüfprotokolle basierend auf der konfigurierten Prüfungsrichtlinie gesammelt werden, bevor Sie versuchen, die im Folgenden angegebenen Prüfungsrichtlinien zu erfassen. Die Ereignisse und Informationen, die aufgezeichnet werden müssen. Die allererste Übereinstimmungsregel in der Hierarchie der Regeln, die in der Prüfungsrichtlinie angegeben sind.
Angehängt ist eine vollständige Beispiel -Prüfungsrichtlinie -Datei, die Sie verweisen können, um die Details besser zu verstehen.
Die Kubernetes -Audit -Richtliniendatei für GKE -Cluster beginnt mit den Regeln, die beschreiben, welche Ereignisse überhaupt nicht angemeldet werden sollten. Diese Regel gibt beispielsweise an, dass die Ressourcen der Knoten oder die Ressourcen von NodessTatus keine Anfragen melden sollten, die von Kubelets gestellt werden. Denken Sie daran, dass, wenn das Level keine ist, keine passenden Ereignisse gemeldet werden sollten.
Die Richtliniendatei enthält eine Liste von Regeln, die nach der Liste der Regeln der Ebene keine speziellen Instanzen sind. Als Beispiel weist diese Spezialfallregel an, die spezifischen Anforderungen auf Metadatenebene zu protokollieren.
Ein Ereignis entspricht der Regel, wenn alle folgenden Aussagen wahr sind:
- Keine vorhergehende Regel in der Richtliniendatei entspricht dem Ereignis.
- Eine Ressource der Geheimnisse, Konfigurationen oder TokenReviews -Typen ist Gegenstand der Anforderung.
- Die RequestReced -Phase des Anrufs ist nicht von der Veranstaltung abgedeckt.
Die Richtliniendatei enthält dann eine Sammlung allgemeiner Regeln, die der Liste der Spezialfallregel folgen,. Sie müssen den Wert von $ (bekannter_API) auf den Wert bekannt für APIs ändern, um die allgemeinen Regeln des Skripts anzuzeigen. Nach der Substitution erscheint eine Regel, die wie folgt liest:
Sie können jede Anforderung mit einer einfachen Prüfungsrichtlinie auf der Metadatenebene protokollieren.
Was sind Audit -Protokolle und warum Sie sie konfigurieren sollten
Audit -Protokolle sind in einem Kubernetes -Cluster sehr hilfreich, um die Aktivitäten und Änderungen an verschiedenen Clusterressourcen zu verfolgen und zu verfolgen. Sie können herausfinden, wer was ausgeführt hat und wenn Sie das Auditing aktivieren, was standardmäßig nicht aktiviert ist.
Audit -Protokolle dienen als Grundlage für Sicherheit und Einhaltung und gibt Einblicke in die Aktivitäten, die in einem Kubernetes -Cluster stattfinden. Sie können ein ungewöhnliches Verhalten, das in Ihrem Cluster auftritt, sofort erkennen, z. B. fehlgeschlagen. Sie können über Silos zusammenarbeiten, um schnell auf verdächtige Aktivitäten zu reagieren, indem Sie Audits einsetzen. Die Implementierung der Clusterhärtung und Minderung jeglicher Misskonfiguration wird durch routinemäßige Prüfung der Ereignisprotokolldaten unterstützt.
Abschluss
Wir haben gelernt, wofür die Kubernetes -Audit -Protokolle genau sind und für welchen Zweck sie verwendet werden. Wir haben auch gelernt, warum die Prüfung von entscheidender Bedeutung für die Sicherheit Ihres Kubernetes -Clusters ist. Die Notwendigkeit, die Audit -Protokolle für Ihren Kubernetes -Cluster einzuschalten, wird ebenfalls diskutiert. Für Ihre Referenz haben wir eine Beispiel -Prüfungsrichtlinie und eine detaillierte Erläuterung des Inhalts bereitgestellt. Sie können auf diesen Artikel verweisen, wenn Sie in diesem Konzept neu sind.