Kubernetes 审计

最新推荐文章于 2024-05-17 10:17:57 发布
最新推荐文章于 2024-05-17 10:17:57 发布
阅读量441 收藏 1
点赞数
文章标签: kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cl18707602767/article/details/130472256
版权

一、Auditing 基本概念

在 Kubernetes 集群中,API Server 的审计日志可以帮助集群管理人员记录和追溯不同用户的日常操作,是集群安全运维中重要的环节。

1.1 审计阶段

在这里插入图片描述
审计阶段:记录事件的时机。每个请求都可被记录其相关的阶段(stage),已定义的阶段有:

  • RequestReceived:一点接收到请求后立刻记录审计事件;
  • ResponseStarted: 在响应消息的头部发送后,响应消息体发送前生成的事件,仅对长期运行的请求有效,例如 watch。
  • ResponseComplete: 当响应消息体完成;
  • Panic:当严重错误发生时。

审计日志记录功能会增加 API Server 的内存消耗,因为需要为每个请求存储审计所需要的某些上下文,此外,内存消耗取决于审计日志记录的配置。

1.2 审计级别

审计级别:代表记录审计日志的完整程度。

  • None:符合这条规则的日志将不记录;
  • Metadata:记录请求的元数据信息(如:请求用户、时间戳、动作、资源类型等),但不记录请求或响应的消息体;
  • Request:记录请求的元数据信息、请求体,但不记录响应体;
  • RequestResponse:记录事件的元数据信息、请求体、响应体。

1.3 审计后端

None 以上的级别会生成相应的审计日志并将审计日志输出到后端,当前 api-server 默认提供了两种后端:

  1. Log backend:以 JSON 日志格式保存为本地日志文件,我们需要对 API Server 的设置下列参数:
  • –audit-log-maxbackup 审计日志最大分片存储日志文件数
  • –audit-log-maxsize 单个审计日志轮转之前的最大大小(MB),默认为 100MB
  • –audit-log-path 审计日志保存路径,不指定此标志会禁用日志后端,意味着标准化
  • –audit-log-maxage 保留旧审计日志文件的最大天数 --audit-policy-file 审计日志策略文件的路径。

审计日志文件以 audit-log-maxsize 设置的大小为单位,写满后,kube-apiserver 将以时间戳重新命名原文件,然后继续写入 audit-log-path 指定的日志文件,audit-log-maxbackup 和 audit-log-maxage 参数则用于 kube-apiserver 自动删除旧的审计日志文件。

  1. Webhook backend:将审计事件发送到远程 Web API,我们需要对 API Server 的设置下列参数:
  • –audit-webhook-config-file 设置 Webhook 配置文件的路径。Webhook 配置文件实际上是一个 kubeconfig 文件;
  • –audit-webhook-mode 指定哪种模式回调通知;
  • –audit-webhook-initial-backoff 指定在第一次失败后重发请求等待的时间。后续重试等待时间则呈指数级递增。

1.4 审计策略

下面是一个相关的审计策略的示例:

apiVersion: audit.k8s.io/v1 
kind: Policy
omitStages:
  # 不要在 RequestReceived 阶段为任何请求生成审计事件。
  - "RequestReceived"
rules:
  # 在日志中用 RequestResponse 级别记录 Pod 变化。
  - level: RequestResponse
    resources:
    - group: ""
      # 资源 "pods" 不匹配对任何 Pod 子资源的请求,
      # 这与 RBAC 策略一致。
      resources: ["pods"]
  # 在日志中按 Metadata 级别记录 "pods/log"、"pods/status" 请求
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]

二、Log backend 的配置过程

#### 日志策略文件
# cat /etc/kubernetes/audit-policy.yaml
apiversion: audit.k8s.io/v1
kind: Policy
omitStages:                         # 对于 RequestReceived 阶段的所有请求,不生成审计事件
  - "RequestReceived"
rules:                              # 指定审计策略的规则
  - level: None                     # 对于 system:kube-proxy 用户对 endpoints 和 services 资源的 watch 操作,不会生成审计事件
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: ""
      resources: ["endpoints", "services"]
  - level: None
    users: ["system: system:kube-controller-manager", "system: kube-scheduler"]
    verbs: ["get", "update"]
    namespace: ["kube-system"]
    resources:
    - group: ""
      resources: ["endpoints"]
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - /healthz*
    - /version
  - level: None
    resources:
    - group: ""
      resources: ["events"]
  - level: Metadata
    - group: ""
      resources: ["secrets", "configmaps"]
    - group: authentication.k8s.io
      resources: ["tokenreviews"]
  - level: Request
    verbs: ["get", "list", "watch"]
    resources:
      - group: ""
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "storage.k8s.io"
  - level: RequestResponse
    resources:
      - group: ""
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "storage.k8s.io"
  - level: Metadata                 # Default level for all other requests.
    omitStages:                     # 符合这条规则的 watch 等长时间运行的请求将不会在 RequestReceived 阶段生成审计事件
    - "RequestReceived"

#### 备份 kube-apiserver.yaml 文件
# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/

#### 修改 kube-apiserver.yaml 文件
# vim /etc/kubernetes/manifests/kube-apiserver.yaml 
...省略...
spec:
  containers:
  - command:
    - kube-apiserver
    - --audit-policy-file=/etc/kubernetes/audit-policy.yaml
    - --audit-log-path=/var/log/kubernetes/audit/audit.log
    - --audit-log-maxage=30
    - --audit-log-maxbackup=7
...省略... 
    volumeMounts:
    - mountPath: /etc/kubernetes/audit-policy.yaml
      name: audit
      readOnly: true
    - mountPath: /var/log/kubernetes/audit/
      name: audit-log
      readOnly: false
...省略...	
  volumes:
  - name: audit
    hostPath:
      path: /etc/kubernetes/audit-policy.yaml
      type: File
  - name: audit-log
    hostPath:
      path: /var/log/kubernetes/audit/
      type: DirectoryOrCreate
...省略...

检查 pod kube-apiserver 是否运行正常(等待1~2分钟)

# kubectl get pod -n kube-system

检查日志是否正常收集

# tail -f /var/logs/kubernetes/audit.log
cl18707602767
关注
kubernetes审计
process的博客
01-12 616
写在前面:用到的一些参考链接官方介绍:https://github.com/kubernetes/website/blob/release-1.12/content/zh/docs/tasks/debug-application-cluster/audit.md 阿里云介绍:https://help.aliyun.com/document_detail/91406.html 腾讯云介绍:https://cloud.tencent.com/document/product/457/50510 ucloud配置
audit-kubernetes:k8s审计
02-04
公开版简介 Trail of Bits使用GitHub进行许多评论; 我们签入客户端源代码,我们的源代码,屏幕截图,注释和&c。 到单个存储库,并通过GitHub协调我们的工作。 例如,我们通过以下问题审查了各种网络方案: ...
最全Kubernetes审计日志方案
weixin_34378767的博客
01-15 664
前言 当前Kubernetes(K8S)已经成为事实上的容器编排标准,大家关注的重点也不再是最新发布的功能、稳定性提升等,正如Kubernetes项目创始人和维护者谈到,Kubernetes已经不再是buzzword,当我们谈起它的时候,变得越发的boring,它作为成熟项目已经走向了IT基础设施的中台,为适应更大规模的生产环境和更多场景的应用不断延展迭...
Kubernetes集群故障排查—审计
深圳市多克创新科技有限公司
07-19 601
Kubernetes集群故障排查—审计
kubernetes 审计与日志 详解
sxpnp的博客
01-09 1089
如有问题,以你为准
k8s审计
柠是柠檬的檬的博客
08-19 975
k8s审计
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
7. **审计与监控**:Kubernetes审计日志的配置和分析,以及如何通过Prometheus和Grafana等工具进行集群监控。 8. **安全最佳实践**:遵循CIS Kubernetes基准,了解最新的安全指南和推荐实践。 9. **应急响应与恢复...
kubernetes.pdf
09-23
- **审计**:记录 API 调用的日志,以便于安全审计。 - **网络隔离**:使用 NetworkPolicy 控制 Pod 间的网络流量。 - **秘密管理**:使用 Secret 对象安全地存储敏感信息,如密码、密钥等。 #### 七、Kubernetes ...
Kubernetes 审计日志采集与分析最佳实践
最新发布
观测云的博客
05-17 1373
Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
kubeaudit:kubeaudit可帮助您针对常见的安全控制来审核Kubernetes集群
02-03
Kubeaudit现在可以用作命令行工具(CLI)和Go包! 库贝迪 :cloud_selector: :locked: :flexed_biceps: kubeaudit是一个命令行工具和Go程序包,用于针对各种不同的安全问题审核Kubernetes集群,例如: 以非根用户身份运行 使用只读的根文件系统 放弃可怕的功能,不要添加新功能 不要特权运行 和更多! tldr。 kubeaudit确保您部署安全的容器! 包 要将kubeaudit用作Go软件包,请参见。 本自述文件的其余部分将重点介绍如何使用kubeaudit作为命令行工具。 命令行界面(CLI) 安装 酿造 brew install kubeaudit 下载二进制文件 Kubeaudit的官方发行版很不错而且很稳定: 自己动手做 Master可能比稳定版本具有更新的功能。 如果需要发行版中尚未包含的较新功能,可以执行以下操作来获取kubeaudit: 对于1.12和更高版本: GO111MODULE=on go get -v github.com/Shopify/kubeaudit 对于旧版本的go:
k8s-audit-collector:该项目支持对kubernetes集群中的多租户进行隔离的高级审核
05-19
k8s-审计收集器 抽象的 该项目支持对kubernetes集群中的多个租户进行隔离的高级审核。 动机和目标 从kubernetes 1.7开始,kubernetes支持。 借助流利的/ logstash kubernetes集群管理员可以收集审核事件并将其分发给不同的用户。 可以在找到kubernetes社区介绍的指南。 用户将可以通过文件或网页访问自己的审核事件。 但是,通过这种实现,群集管理员需要配置额外的身份验证器以支持租户隔离。 例如,管理员需要文件共享服务和向租户分发用户名/密码。 如果管理员使用Elasticsearch之类的工具来实现访问控制,那么同样的问题仍然存在,并且管理员需要维护另一个身份验证器以及kubernetes自己的身份验证器。 K8s-audit-collector为用户提供了一种更加用户友好的方式。 它使用租户的获取呼叫者的身份,并根据用户的服务帐户授予
Kubernetes 审计日志
qq_36270681的博客
01-22 2057
启用审计日志功能:参考文档 审计 | Kubernetes vi /etc/kubernetes/manifests/kube-apiserver.yaml … - --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml - --audit-log-path=/var/log/k8s_audit.log - --audit-log-maxage=30 - --audit-log-maxbackup=10 - --audit-lo
Kubernetes 安全审计实战指南
TechEnthusiast的博客
12-27 100
通过配置和实战应用 Kubernetes 安全审计,您可以更好地了解和维护集群的安全状态。审计是保障 Kubernetes 安全性的不可或缺的一环,帮助您及时发现潜在的风险并采取适当的措施。希望本指南能够帮助您实施和优化 Kubernetes 安全审计
kubernetes--kubernetes审计日志(api访问日志)
m0_57911290的博客
03-25 2273
Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务请求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志。审计日志采用JSON输出,每条日志报包含丰富的元数据,例如请求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。管理节点(controller-manager scheduler)工作节点(kubelt、kube-proxy)集群服务(CoreDNS、Calico、HPA等)
三十二 、K8s审计
tushanpeipei的博客
12-17 1827
审计(audit)在K8s中的应用。
kubernetes1.7新特性:日志审计变化
热门推荐
容器技术爱好者
08-01 1万+
背景概念出于安全方面的考虑,Kubernetes提供了日志审计记录,用来记录不同普通用户、管理员和系统中各个组件的日志信息。Kubernetes日志审计是Kube-apiserver组件的一部分功能,通过日志审计来记录apiserver上面所有请求处理过程。每条审计日志记录包括两行:1、  请求行:唯一ID、源IP、请求用户、请求资源信息、模拟信息等。2、  响应行:唯一ID、相应信息代码。通过唯
k8s:集群审计
qq_34482492的博客
02-20 231
手动开启集群审计的方法。
kubernetes Auditing 实战
爱死亡机器人
08-11 315
catalg:~实战~
Kubernetes Dashboard安装与安全访问指南
同时,定期更新和审计访问策略是保持集群安全的重要环节。 Kubernetes Dashboard提供了可视化管理和监控Kubernetes集群的能力,通过安装和配置,可以为日常运维带来便利。而自签发证书则是保障通信安全的一种常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值