Crie uma política de auditoria de Kubernetes
À medida que a popularidade de Kubernetes aumenta, a auditoria de Kubernetes é uma fonte crucial de dados para incorporar em sua estratégia de segurança de Kubernetes. Dá às equipes de segurança e DevOps uma transparência completa em todas as operações que ocorrem dentro do cluster. A funcionalidade de log de auditoria foi introduzida em Kubernetes 1.11. Os registros de auditoria são uma parte essencial para proteger seu cluster Kubernetes, pois eles registram os eventos como iniciar um serviço de porta de nó, excluir namespaces e lançar novas implantações. Este blog explica em detalhes o que é a auditoria de Kubernetes e fornece informações que ajudam você a começar. Antes de seguirmos para a política de auditoria em Kubernetes, vamos primeiro definir o que é a auditoria.
O que é auditoria em Kubernetes?
Usando a auditoria de Kubernetes, o histórico de eventos de um cluster é capturado em uma série de registros que são organizados cronologicamente. O próprio plano de controle, os aplicativos que utilizam a API Kubernetes e os usuários, todos eles fornecem atividades que o cluster audita.
Os administradores de cluster podem utilizar a auditoria para fornecer respostas para algumas perguntas, como o que ocorreu e quando ocorreu, quem o iniciou, o que aconteceu, onde foi observado, onde se originou e para onde está tudo revelado.
A vida útil dos registros de auditoria começa com o componente Kube-apiserver. Cada solicitação fornece um evento de auditoria em todas as etapas do processamento, que é então pré-processado de acordo com uma política e é salvo em um back-end. A política determina o que está registrado e os backnds mantêm os registros. Duas das implementações de back -end atuais são arquivos de log e webhooks.
Cada solicitação pode ser feita em um estágio específico. Os estágios e sua descrição são retratados no seguinte:
| Nome artístico | Descrição do estágio |
|---|---|
| Pedido recebido | A solicitação é recebida pelo manipulador de auditoria. |
| Responseded | Embora o corpo de resposta não seja transmitido, os cabeçalhos de resposta permanecem. |
| RespoCECLIMETE | Nenhum bytes adicionais é transferido quando o corpo de resposta é enviado. |
| Pânico | A solicitação não teve sucesso devido a um erro de servidor interno. |
Qual é a política de auditoria em Kubernetes?
A política de auditoria especifica os padrões para os eventos que devem ser relatados e os dados que devem ser fornecidos. O formato do objeto de política de auditoria é especificado pela auditoria.K8S.IO API Group. Uma lista de regras é comparada a um evento quando é processado de maneira ordenada. O nível de auditoria do evento é decidido pela primeira regra correspondente.
Nenhum, Metdt, Solicitação e RequestResponse são os níveis de auditoria que são especificados.
| Nenhum | Os eventos que atendem a esse requisito não devem ser registrados. |
|---|---|
| Metadados | Os órgãos de solicitação e resposta não são registrados; Apenas as informações de solicitação (solicitando usuário, recurso, verbo, etc.). |
| Solicitar | Os dados do corpo e do evento são registrados, mas não o corpo de resposta. |
| RequestResponse | Órgãos de solicitação e resposta, bem como os metadados do evento, todos devem ser documentados. Os pedidos que não estão relacionados aos recursos não são cobertos por isso. |
Um arquivo que mantém a política pode ser transmitido para o Kube-apiserver usando o interruptor -audit-Policy-File Switch. Se a bandeira não estiver definida, nenhum evento será registrado. O campo de regras do arquivo de política de auditoria deve ser preenchido. Uma política é considerada ilegal se não contiver regulamentos.
Aqui está um exemplo de um arquivo de política de auditoria para sua ajuda. Aqui, você pode ver todas as informações como usuários, grupos, recursos e outras coisas.
Lembre -se de que os registros de auditoria são coletados com base na política de auditoria configurada antes de tentar entender a política de auditoria que é dada no seguinte. Os eventos e informações que devem ser registrados são especificados pela política de auditoria. A primeira regra correspondente na hierarquia das regras especificadas na política de auditoria determina o nível de auditoria do evento.
Anexado está um arquivo de política de auditoria de amostra completa que você pode se referir a entender melhor os detalhes.
O arquivo de política de auditoria de Kubernetes para clusters de GKE começa com as regras que descrevem quais eventos não devem ser conectados. Por exemplo, esta regra especifica que os Recursos dos nós ou os recursos Nodesstatus não devem relatar nenhuma solicitação feita pela Kubelect. Lembre -se de que, se o nível não for, nenhum evento correspondente deve ser relatado.
O arquivo de política contém uma lista de regras que são instâncias especiais após a lista de níveis nenhuma regras. Como exemplo, esta regra de caso especial instrui a registrar as solicitações específicas no nível dos metadados.
Um evento corresponde à regra se todos os seguintes são verdadeiros:
- Nenhuma regra anterior no arquivo de política corresponde ao evento.
- Um recurso dos tipos de segredos, configurações ou tokenReviews é o assunto da solicitação.
- O estágio requestreceived da chamada não é coberto pelo evento.
O arquivo de política contém uma coleção de regras gerais seguindo a lista de regras de casos especiais. Você deve alterar o valor de $ (conhecido_apis) para o valor das APIs conhecidas para ver as regras gerais do script. Após a substituição, aparece uma regra que diz o seguinte:
Você pode registrar cada solicitação no nível dos metadados usando um arquivo de política de auditoria simples.
O que são logs de auditoria e por que você deve configurá -los
Os registros de auditoria são altamente úteis em um cluster Kubernetes para rastrear e rastrear as atividades e mudanças em vários recursos de cluster. Você pode descobrir quem executou o que e quando ativando a auditoria, que não é ativado por padrão.
Os registros de auditoria servem de base para a segurança e a conformidade e fornece informações sobre as atividades que ocorrem em um cluster de Kubernetes. Você pode identificar instantaneamente qualquer comportamento incomum que ocorra em seu cluster, como tenta de login com falha ou tentativas de acessar segredos sensíveis, com o registro de auditoria corretamente configurado. Você pode colaborar em silos para responder rapidamente a atividades suspeitas empregando auditorias. A implementação do endurecimento do cluster e mitigação de qualquer configuração incorreta é auxiliada pela auditoria de rotina dos dados do log de eventos.
Conclusão
Aprendemos para que são exatamente os registros de auditoria de Kubernetes e para que finalidade eles são usados. Também aprendemos por que a auditoria é crucial para a segurança do seu cluster Kubernetes. A necessidade de ativar os registros de auditoria do seu cluster Kubernetes também é discutida. Para sua referência, fornecemos um arquivo de política de auditoria de amostra e uma explicação detalhada do conteúdo. Você pode se referir a este artigo se for novo neste conceito.