Создание Kubernetes Audit Log Policy

Всем привет!

Kubernetes предоставляет достаточно сильный инструмент для сбора событий, описывающих происходящее в кластере – Audit Policy.

По умолчанию она «отключена»: ее сперва надо написать и настроить несколько параметров для kube-apiserver.

Нюанс состоит в том, что сперва может быть не очень понятно, а что надо записывать? Ответу на этот вопрос и посвящена статья.

В ней Автор описывает Audit Policy, которая больше всего ему подходит. Начинается все с основ – из чего она состоит, почему не надо «журналировать все», как можно записать конкретное действие и т.д.

После чего Автор приводит политику, которая (по его мнению) является оптимальной и описывает почему это так.

Кроме этого в статье приводятся Audit Policy от Amazon и Google (но они будут генерировать много событий, к этому надо быть готовым) на случай, если политика Автора вам не нравится и нужно что-то еще.

"Всё не так и всё не то" - хочу создать свою! Тогда, для ускорения процесса, можно воспользоваться «помощником»: Генератором политик аудита, разработанного командой Штурвала, о котором мы писали тут.

А для вдохновения использовать множество наработок от команды Luntry, посвященных вопросам журналирования Kubernetes и не только.

DevSecOps Talks

Создание Kubernetes Audit Log Policy

Всем привет!

Kubernetes предоставляет достаточно сильный инструмент для сбора событий, описывающих происходящее в кластере – Audit Policy.

По умолчанию она «отключена»: ее сперва надо написать и настроить несколько параметров для kube-apiserver.

Нюанс состоит в том, что сперва может быть не очень понятно, а что надо записывать? Ответу на этот вопрос и посвящена статья.

В ней Автор описывает Audit Policy, которая больше всего ему подходит. Начинается все с основ – из чего она состоит, почему не надо «журналировать все», как можно записать конкретное действие и т.д.

После чего Автор приводит политику, которая (по его мнению) является оптимальной и описывает почему это так.

Кроме этого в статье приводятся Audit Policy от Amazon и Google (но они будут генерировать много событий, к этому надо быть готовым) на случай, если политика Автора вам не нравится и нужно что-то еще.

"Всё не так и всё не то" - хочу создать свою! Тогда, для ускорения процесса, можно воспользоваться «помощником»: Генератором политик аудита, разработанного командой Штурвала, о котором мы писали тут.

А для вдохновения использовать множество наработок от команды Luntry, посвященных вопросам журналирования Kubernetes и не только.

Medium

My favourite Kubernetes Audit log policy

The Kubernetes audit logs can give you a lot of information about who created pods, who accessed secrets etc. The part that is confusing is…

❤3

hottg.com/devsecops_weekly/1258

938 viewsJul 8 at 04:24