kubernetes审计日志auditing

已于 2023-09-27 10:14:27 修改
阅读量418 收藏
点赞数 1
文章标签: kubernetes 容器 云原生
于 2023-09-27 10:13:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41910699/article/details/133341505
版权

一、什么是审计

            Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动

         审计功能解决如下问题:       

  • 发生了什么?
  • 什么时候发生的?
  • 谁触发的?
  • 活动发生在哪个(些)对象上?
  • 在哪观察到的?
  • 它从哪触发的?
  • 活动的后续处理行为是什么?

二、kubernetes审计基础概念

        2.1 阶段stage

                每个对API的请求,在不同的执行阶段会生成审计事件,审计事件根据特定的策略处理并写入后端

                已定义如下阶段:            

  • RequestReceived - 此阶段对应审计处理器接收到请求后, 并且在委托给其余处理器之前生成的事件。
  • ResponseStarted - 在响应消息的头部发送后,响应消息体发送前生成的事件。 只有长时间运行的请求(例如 watch)才会生成这个阶段。
  • ResponseComplete - 当响应消息体完成并且没有更多数据需要传输的时候。
  • Panic - 当 panic 发生时生成

        2.2 审计策略

                审计策略定义了关于应记录哪些事件以及应包含哪些数据的规则

                已定义的审计级别有:   

  • None - 符合这条规则的日志将不会记录。
  • Metadata - 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体。
  • Request - 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求。
  • RequestResponse - 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求

            官网审计策略样板:

apiVersion: audit.k8s.io/v1 # 这是必填项。
kind: Policy
# 不要在 RequestReceived 阶段为任何请求生成审计事件。
omitStages:
  - "RequestReceived"
rules:
  # 在日志中用 RequestResponse 级别记录 Pod 变化。
  - level: RequestResponse
    resources:
    - group: ""
      # 资源 "pods" 不匹配对任何 Pod 子资源的请求,
      # 这与 RBAC 策略一致。
      resources: ["pods"]
  # 在日志中按 Metadata 级别记录 "pods/log"、"pods/status" 请求
  - level: Metadata
    resources:
    - group: ""
      resources: ["pods/log", "pods/status"]

  # 不要在日志中记录对名为 "controller-leader" 的 configmap 的请求。
  - level: None
    resources:
    - group: ""
      resources: ["configmaps"]
      resourceNames: ["controller-leader"]

  # 不要在日志中记录由 "system:kube-proxy" 发出的对端点或服务的监测请求。
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API 组
      resources: ["endpoints", "services"]

  # 不要在日志中记录对某些非资源 URL 路径的已认证请求。
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*" # 通配符匹配。
    - "/version"

  # 在日志中记录 kube-system 中 configmap 变更的请求消息体。
  - level: Request
    resources:
    - group: "" # core API 组
      resources: ["configmaps"]
    # 这个规则仅适用于 "kube-system" 名字空间中的资源。
    # 空字符串 "" 可用于选择非名字空间作用域的资源。
    namespaces: ["kube-system"]

  # 在日志中用 Metadata 级别记录所有其他名字空间中的 configmap 和 secret 变更。
  - level: Metadata
    resources:
    - group: "" # core API 组
      resources: ["secrets", "configmaps"]

  # 在日志中以 Request 级别记录所有其他 core 和 extensions 组中的资源操作。
  - level: Request
    resources:
    - group: "" # core API 组
    - group: "extensions" # 不应包括在内的组版本。

  # 一个抓取所有的规则,将在日志中以 Metadata 级别记录所有其他请求。
  - level: Metadata
    # 符合此规则的 watch 等长时间运行的请求将不会
    # 在 RequestReceived 阶段生成审计事件。
    omitStages:
      - "RequestReceived"
 

        2.3 审计后端

                审计后端实现将审计事件导出到外部存储。kube-apiserver 默认提供两个后端:

  • Log 后端,将事件写入到文件系统
  • Webhook 后端,将事件发送到外部 HTTP API

         Log后端配置参数:

  • --audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- 意味着标准化
  • --audit-log-maxage 定义保留旧审计日志文件的最大天数
  • --audit-log-maxbackup 定义要保留的审计日志文件的最大数量
  • --audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)

 注意:如果是kubeadm部署,kube-apiserver以Pod形式运行,需要通过挂载卷的形式:

volumeMounts:
  - mountPath: /etc/kubernetes/audit-policy.yaml
    name: audit
    readOnly: true
  - mountPath: /var/log/kubernetes/audit/
    name: audit-log
    readOnly: false
volumes:
- name: audit
  hostPath:
    path: /etc/kubernetes/audit-policy.yaml
    type: File

- name: audit-log
  hostPath:
    path: /var/log/kubernetes/audit/
    type: DirectoryOrCreate

 Webhook 后端:

        Webhook 后端将审计事件发送到远程 Web AP

  • --audit-webhook-config-file 设置 Webhook 配置文件的路径。Webhook 配置文件实际上是一个 kubeconfig 文件
  • --audit-webhook-initial-backoff 指定在第一次失败后重发请求等待的时间。随后的请求将以指数退避重

        

三、kubernetes添加审计功能

   3.1 添加策略文件

                参见2.2 审计策略配置模板

    3.2 kube-apiserver服务添加audit功能

  --audit-policy-file=/etc/kubernetes/audit-policy.yaml \
  --audit-log-path=/var/log/kube-audit \
  --audit-log-format=json \
  --audit-log-maxbackup=10 \
  --audit-log-maxsize=1000 

注意:我这里是二进制部署的kubernetes,直接修改kube-apiserver.service文件,重启kube-apiserver服务即可

   备注:详细资料,参见:审计 | Kubernetes

罗显明-技术个人博客
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubeaudit:kubeaudit可帮助您针对常见的安全控制来审核Kubernetes集群
02-03
Kubeaudit现在可以用作命令行工具(CLI)和Go包! 库贝迪 :cloud_selector: :locked: :flexed_biceps: kubeaudit是一个命令行工具和Go程序包,用于针对各种不同的安全问题审核Kubernetes集群,例如: 以非根用户身份运行 使用只读的根文件系统 放弃可怕的功能,不要添加新功能 不要特权运行 和更多! tldr。 kubeaudit确保您部署安全的容器! 包 要将kubeaudit用作Go软件包,请参见。 本自述文件的其余部分将重点介绍如何使用kubeaudit作为命令行工具。 命令行界面(CLI) 安装 酿造 brew install kubeaudit 下载二进制文件 Kubeaudit的官方发行版很不错而且很稳定: 自己动手做 Master可能比稳定版本具有更新的功能。 如果需要发行版中尚未包含的较新功能,可以执行以下操作来获取kubeaudit: 对于1.12和更高版本: GO111MODULE=on go get -v github.com/Shopify/kubeaudit 对于旧版本的go:
kubernetes Auditing 实战
爱死亡机器人
08-11 285
catalg:~实战~
k8s之审计日志
fourierr的博客
05-03 1382
k8s在 v1.7 版本中发布了审计Audit日志功能,审计Audit)提供了时序操作记录(包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等)。K8s 中的审计日志是标准的 JSON 格式,APIServer 会根据具体的日志策略将对应的审计日志保存本地,并可以设置最大保存周期、时间、轮转策略等,一般在/var/log/kube-apiserver目录下。
最全Kubernetes审计日志方案
zhaowei121的博客
01-29 709
前言 当前Kubernetes(K8S)已经成为事实上的容器编排标准,大家关注的重点也不再是最新发布的功能、稳定性提升等,正如Kubernetes项目创始人和维护者谈到,Kubernetes已经不再是buzzword,当我们谈起它的时候,变得越发的boring,它作为成熟项目已经走向了IT基础设施的中台,为适应更大规模的生产环境和更多场景的应用不断延展迭代。 而现在我们更加专注于如何利用K8S...
Kubernetes审计日志方案
weixin_34362991的博客
01-29 56
摘要: 审计是每个公司必备的安全手段之一,为尽可能减少用户对于审计日志的分析代价,阿里云容器服务将Kubernetes审计日志日志服务SLS打通,推出了一站式的Kubernetes审计日志方案,让每个用户都能够以图形化报表的方式进行集群审计分析。 前言 当前Kub...
mysql8.0审计日志插件mariaDb安装失败记录
08-15
mysql8.0审计日志插件mariaDb安装失败记录 记录安装过程,失败原因
审计程序-交易Auditing Procedures - transactions.pdf
09-23
审计、英语人才适用。
审计中事件日志的流程挖掘:机遇与挑战-研究论文
06-09
在本文中,我们讨论了事件日志的过程挖掘可以为内部和外部审计员提供的价值。 过程挖掘旨在从信息系统记录的事件日志中提取知识。 事件日志之所以成为审计的独特且可能无价的资源,不仅在于它为审计员提供了更多的...
Network Security Auditing
05-08
网络安全审计,CCIE,安全测试技术,渗透测试技术,.Network Security Auditing
cag:加密审计准则
03-08
加密审计准则我已经独立和使用Kudelski Security进行安全审核已有数年了,审查了加密功能的各种实现,从智能卡应用程序和专用芯片到Web和移动应用程序,从标准算法和椭圆曲线算法到共识协议,一应俱全。和零知识证明...
k8s相关常用语句
QQ563627436的博客
05-11 655
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
记录一次失败的本地K8S集群安装记录
常备不懈
05-18 804
在Ubuntu上从头开始搭建Kubernetes(K8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 317
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
Kubernetes 之 Pod 之间的亲和性与反亲和性
千度阿三的博客
05-18 301
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 752
部署网络组件部署 flannel。
k8s pvc pending waiting for first consumer to be created before binding
weixin_40548182的博客
05-21 7
使用WaitForFirstConsumer的StorageClass创建PV失败,PVC Event提示persistentvolume-controller waiting for first consumer to be created before binding。所以使用nodeName创建的Pod,无法使用WaitForFirstConsumer的StorageClass。是否存在引用当前PVC的Pod,若没有,则需要创建。PVC未检测到Pods被调度到的节点。创建使用当前PVC的Pod。
k8s 二进制安装 详细安装步骤
wyq2070857323的博客
05-15 614
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。关闭防火墙 关闭selinux 关闭swap 根据规划设置主机名做域名映射 调整内核参数 时间同步。
K8s 部署prometheus
最新发布
go|Python的个人博客
05-21 218
可以通过添加storageClass 配置来实现 prometheus-prometheus.yaml 文件中的配置来实现持久化。kube-prometheus 是 github 上开源的整合了 prometheus alertmanager granfana 等监控工具的项目,除此之外,还可以选择修改 prometheus、alertmanager、grafana 中的 spec.type 为 NodePort 方便测试访问。默认的镜像基本上都是国外的源,国内访问不到,需要替换一下镜像id。
查询是否开启Oracle审计日志
06-01
查询是否开启Oracle审计日志可以通过以下SQL查询语句查看: ```sql SELECT * FROM V$OPTION WHERE PARAMETER = 'Unified Auditing'; ``` 如果查询结果中的`VALUE`列显示为`TRUE`,则说明已经开启了Oracle的统一审计功能。如果显示为`FALSE`,则说明未开启。 另外,可以通过以下查询语句查看Oracle审计设置: ```sql SELECT * FROM AUDIT_UNIFIED_ENABLED_POLICIES; ``` 这个命令将显示当前启用的审计策略。如果结果集为空,则表示未启用任何审计策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值