ശീർഷകം | വെയ്റ്റ് |
---|---|
Kubernetes ഓഡിറ്റ് ഇവൻറുകൾ | 2 |
പിന്തുണക്കപ്പെട്ട ഇവൻറ് ഉറവിടങ്ങളുടെ ലിസ്റ്റിലേക്ക് ഫാൽക്കോ v0.13.0, Kubernetes Audit Events എന്നതിനെ ചേർക്കുന്നു. സിസ്റ്റം കോൾ ഇവൻറുകൾക്കായി നിലവിലുള്ള പിന്തുണക്ക് പുറമെയാണ് ഇത്. ഓഡിറ്റ് ഇവൻറുകളുടെ ഒരു മെച്ചപ്പെട്ട നടപ്പാക്കൽ Kubernetes v1.11 എന്നതിൽ അവതരിപ്പിച്ചിരുന്നു, കൂടാതെ ഇത് kube-apiserver എന്നതിനുള്ള അഭ്യർത്ഥനകളുടെയും പ്രതികരണങ്ങളുടെയും ഒരു ലോഗും നൽകുന്നുണ്ട്. മിക്കവാറും എല്ലാ ക്ലസ്റ്റർ മാനേജ്മെൻറ് ടാസ്കുകളും API സർവർ വഴി നടത്തുന്നത് കാരണം, ഓഡിറ്റ് ലോഗിന് നിങ്ങളുടെ ക്ലസ്റ്ററിൽ വരുത്തിയ മാറ്റങ്ങൾ ഫലപ്രദമായി ട്രാക്ക് ചെയ്യാൻ കഴിയും.
ഇതിൻറെ ഉദാഹരണങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:
- പോഡുകൾ, സേവനങ്ങൾ, ഡിപ്ലോയ്മെൻറുകൾ, daemonsets തുടങ്ങിയവ നിർമ്മിക്കുകയും നശിപ്പിക്കുകയും ചെയ്യുന്നത്
- ConfigMaps അല്ലെങ്കിൽ രഹസ്യങ്ങൾ നിർമ്മിക്കുകയോ അപ്ഡേറ്റ് ചെയ്യുകയോ നീക്കം ചെയ്യുകയോ ചെയ്യുന്നത്
- ഏതെങ്കിലും എൻഡ്പോയിൻറിൽ അവതരിപ്പിച്ച മാറ്റങ്ങൾ സബ്സ്ക്രൈബ് ചെയ്യുന്നത്
ഈ സാഹചര്യങ്ങൾ കവർ ചെയ്യുന്നതിന്, ശ്രദ്ധേയമായ അല്ലെങ്കിൽ സംശയാസ്പദമായ പ്രവർത്തനങ്ങൾക്ക് വേണ്ടി മേൽനോട്ടം നടത്തുന്ന, ഇനിപ്പറയുന്നവ ഉൾക്കൊള്ളുന്ന ഫാൽക്കോ നിയമങ്ങളുടെ വിശേഷാലുള്ള ഗണം ചേർത്തിട്ടുണ്ട്:
- പ്രത്യേകാവകാശമുള്ള പോഡുകൾ സൃഷ്ടിക്കുക, സെൻസിറ്റീവ് ഹോസ്റ്റ് പാതകൾ മൌണ്ട് ചെയ്യുക,അല്ലെങ്കിൽ ഹോസ്റ്റ് നെറ്റ്വർക്കിങ് ഉപയോഗിക്കുക.
- ഉപയോക്താക്കൾക്ക്
cluster-admin
പോലുള്ള അധികം വിശാലമായ അനുമതികൾ നൽകുക. - സെൻസിറ്റീവ് വിവരങ്ങൾ ഉപയോഗിച്ച് ConfigMaps സൃഷ്ടിക്കുക.
നിങ്ങളുടെ ക്ലസ്റ്റർ ഓഡിറ്റ് ലോഗിങ് ഉപയോഗിച്ച് ക്രമീകരിക്കുകയും, ഫാൽക്കോയിലേക്ക് അയക്കാനുള്ള ഇവൻറുകൾ തിരഞ്ഞെടുക്കുകയും ചെയ്തുകഴിഞ്ഞാൽ, ഈ ഇവൻറുകളെ വായിക്കാനും സംശയാസ്പദമായ അല്ലെങ്കിൽ മറ്റ് ശ്രദ്ധേയമായ പ്രവർത്തനങ്ങൾക്കായി അറിയിപ്പുകൾ അയക്കാനും കഴിവുള്ള ഫാൽക്കോ നിയമങ്ങൾ നിങ്ങൾക്ക് എഴുതാനാകും.
ഫാൽക്കോയിൽ പുതിയതെന്തെല്ലാം
സംശയാസ്പദമോ ശ്രദ്ധേയമോ ആയ പെരുമാറ്റം തിരിച്ചറിയുന്ന നിയമത്തോടുകൂടിയും, നിയമങ്ങളുടെ ഗണങ്ങളുമായി പൊരുത്തപ്പെടുന്ന ഇവൻറുകളോടുകൂടിയും, ഫാൽക്കോയുടെ മൊത്തത്തിലുള്ള രൂപകൽപ്പന അതേപടി നിലനിൽക്കുന്നു. ഒരെണ്ണം എന്നുള്ളതിന് പകരം, പ്രത്യേകമായി വായിക്കപ്പെടുകയും, നിയമങ്ങളുടെ ഗണങ്ങളുമായി പ്രത്യേകം പൊരുത്തപ്പെടുകയും ചെയ്യുന്ന രണ്ട് സമാന്തരവും സ്വതന്ത്രവുമായ ഇവൻറുകളുടെ സ്ട്രീമുകളാണ് v0.13.0 എന്നതിൽ ഫാൽക്കോ അവതരിപ്പിക്കുന്നത്.
Kubernetes ഓഡിറ്റ് ഇവൻറുകൾ സ്വീകരിക്കുന്നതിന്, ഫാൽക്കോ ക്രമീകരണയോഗ്യമായ ഒരു പോർട്ടിൽ ഒരു ശ്രദ്ധിക്കുന്ന civetweb വെബ് സർവർ ഉൾച്ചേർക്കുകയും,ക്രമീകരണയോഗ്യമായ ഒരു എൻഡ് പോയിൻറിൽ പോസ്റ്റ് അഭ്യർത്ഥനകൾ അംഗീകരിക്കുകയും ചെയ്യുന്നു. ഉൾച്ചേർത്ത വെബ് സർവർ ക്രമീകരിക്കുന്നതിനെ കുറിച്ചുള്ള വിവരങ്ങൾക്കായി configuration page കാണുക. പോസ്റ്റ് ചെയ്ത JSON ഓബ്ജക്റ്റ് ഇവൻറ് ഉൾക്കൊള്ളുന്നു.
ലഭിച്ചിരിക്കുന്ന ഒരു നിയമം സിസ്റ്റം കോൾ ഇവൻറുകളായോ Kubernetes ഓഡിറ്റ് ഇവൻറുകളായോ source
വിശേഷണം വഴി ബന്ധപ്പെട്ടിരിക്കുന്നു. വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, ഉറവിടം syscall
എന്നതിലേക്ക് ഡീഫോൾട്ട് ആകുന്നു. syscall
ഉറവിടമുള്ള നിയമങ്ങൾ സിസ്റ്റം കോൾ ഇവൻറുകളുമായി പൊരുത്തപ്പെട്ടിരിക്കുന്നു. k8s_audit
ഉറവിടമുള്ള നിയമങ്ങൾ Kubernetes ഓഡിറ്റ് ഇവൻറുകളുമായി പൊരുത്തപ്പെട്ടിരിക്കുന്നു.
ഫാൽക്കോ ഉപയോഗിച്ച് തുടങ്ങുന്നതിന് Auditing with Falco കാണുക.
നിബന്ധനകളും ഫീൽഡുകളും
സിസ്റ്റം കോൾ നിയമങ്ങൾ പോലെ, ഓപ്പറേറ്ററുകളും ഇവൻറ് ഫീൽഡുകളും അടിസ്ഥാനമാക്കിയുള്ള ഒരു യുക്തിപരമായ ആവിഷ്കാരമാണ് Kubernetes ഓഡിറ്റ് നിയമങ്ങൾക്കായുള്ള ഒരു വ്യവസ്ഥാ ഫീൽഡ്. ഉദാഹരണം, ka.user.name
. തന്നിരിക്കുന്ന ഒരു ഇവൻറ് ഫീൽഡ് json ഓബ്ജക്റ്റിൽ നിന്ന് ഒരു പ്രോപ്പർട്ടി മൂല്യം തിരഞ്ഞെടുക്കുന്നു. ഉദാഹരണത്തിന്, ka.user.name
എന്ന ഫീൽഡ് ആദ്യം Kubernetes ഓഡിറ്റ് ഇവൻറിനുള്ളിൽ നിന്ന് user
ഓബ്ജക്റ്റിനെ തിരിച്ചറിയുകയും പിന്നെ ആ ഓബ്ജക്റ്റിൻറെ username
പ്രോപ്പർട്ടി തിരിച്ചറിയുകയും ചെയ്യുന്നു.
Kubernetes ഇവൻറ് അല്ലെങ്കിൽ json ഓബ്ജക്റ്റിൻറെ സാധാരണ പ്രോപ്പർട്ടികൾ ആക്സസസ്സ് ചെയ്യുന്ന ഒരു കൂട്ടം മുൻനിശ്ചയിച്ച ഫീൽഡുകൾ ഫാൽക്കോ ഉൾക്കൊള്ളുന്നു. falco --list k8s_audit
എന്നതിലൂടെ നിങ്ങൾക്ക് ഫീൽഡുകൾ കാണാനാകും.
മുൻനിശ്ചയിച്ച ഫീൽഡുകളിലൊന്നിനാൽ കവർ ചെയ്യപ്പെടാത്ത, Kubernetes ഇവൻറിൻറെ അല്ലെങ്കിൽ json ഓബ്ജക്റ്റിൻറെ ഒരു പ്രോപ്പർട്ടി മൂല്യം തിരഞ്ഞെടുക്കുന്നതിന്, നിങ്ങൾക്ക് jevt.value[<json pointer>
എന്നതി ഉപയോഗിക്കാം. ഒരു json ഓബ്ജക്റ്റിൽ നിന്നും ഒരൊറ്റ പ്രോപ്പർട്ടി മൂല്യം തിരഞ്ഞെടുക്കുന്നതിന് നിങ്ങൾ JSON Pointer ഉപയോഗിക്കുന്നു.നിങ്ങളുടെ നിയമത്തിൻറെ വ്യവസ്ഥ സൃഷ്ടിക്കുന്നതിന്, Kubernetes ഓഡിറ്റ് ഇവൻറിൽ നിന്ന് സ്വേച്ഛാപരമായ പ്രോപ്പർട്ടി മൂല്യങ്ങൾ തിരഞ്ഞെടുക്കാൻ ഇത് നിങ്ങളെ സഹായിക്കുന്നു. ഉദാഹരണത്തിന്, ka.username
വേർതിരിച്ചെടുക്കാനുള്ള ഒരു തുല്യമായ മാർഗ്ഗം jevt.value[/user/username]
എന്നതാണ്.
Kubernetes ഓഡിറ്റ് നിയമങ്ങൾ
Kubernetes ഓഡിറ്റ് ഇവൻറുകൾക്കായി സമർപ്പിച്ചിരിക്കുന്ന നിയമങ്ങൾ k8s_audit_rules.yaml എന്നതിൽ നൽകിയിരിക്കുന്നു. ഒരു daemon ആയി ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, ഫാൽക്കോ ഈ നിയമഫയലിനെ /etc/falco/
എന്നതിലേക്ക് ഇൻസ്റ്റാൾ ചെയ്യുന്നു, അങ്ങനെ അവ ഉപയോഗത്തിന് ലഭ്യമാകുന്നു.
ഉദാഹരണം
k8s_audit_rules.yaml
എന്നതിലെ നിയമങ്ങളിലൊന്ന് ഇനി പറയുന്ന പോലെയാണ്:
Configmap contains private credentials
നിയമം,ഒരുപക്ഷേ AWS കീകൾ അല്ലെങ്കിൽ പാസ് വേർഡുകൾ പോലെ ഉപയോഗിച്ച് സെൻസിറ്റീവ് ആയിരിക്കാവുന്ന ഇനങ്ങൾ കൊണ്ട് സൃഷ്ടിച്ച ഒരു ConfigMap ന് വേണ്ടി പരിശോധിക്കുന്നു.
ഇത്തരം സന്ദർഭങ്ങളിൽ നിയമം എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് നമുക്ക് നോക്കാം. ഈ വിഷയം Kubernetes ഓഡിറ്റ് ലോഗിങ് നിങ്ങളുടെ പരിതസ്ഥിതിയിൽ ക്രമീകരിച്ചിരിക്കുന്നുവെന്ന് അനുമാനിക്കുന്നു.
AWS ക്രെഡൻഷ്യലുകളടങ്ങിയ ഒരു ConfigMap സൃഷ്ടിക്കൂ:
ഈ ConfigMap സൃഷ്ടിക്കുന്നത് ഓഡിറ്റ് ലോഗിലെ ഇനി പറയുന്ന json ഓബ്ജക്റ്റിൽ കൊണ്ടെത്തിക്കുന്നു:
ConfigMap സ്വകാര്യ ക്രെഡെൻഷ്യലുകൾ ഉൾക്കൊള്ളുമ്പോൾ, നിയമം ഇനി പറയുന്ന ഫീൽഡുകൾ കൊടുത്തിരിക്കുന്ന ക്രമത്തിൽ ഉപയോഗിക്കുന്നു:
kevt
: ഓബ്ജക്റ്റിൻറെstage
പ്രോപ്പർട്ടിk8s_audit_stages
ലിസ്റ്റിൽ ഉണ്ടോ എന്ന് പരിശോധിക്കുന്നു.configmap
:objectRef > resource
പ്രോപ്പർട്ടിയുടെ മൂല്യം "configmap" എന്നതിന് തുല്യമാണോ എന്ന് പരിശോധിക്കുന്നു.kmodify
:verb
എന്നതിൻറെ മൂല്യം ഇനി പറയുന്നവയിൽ ഒന്നാണോ എന്ന് പരിശോധിക്കുന്നു:create
,update
,patch
.contains-private-credentials
:contains_private_credentials
മാക്രോയിൽ ഏതെങ്കിലും സെൻസിറ്റീവ് സ്ട്രിങ്ങുകൾ പേരുനൽകിയിട്ടുണ്ടോ എന്നതിനായിrequestObject > data
എന്നതിൽ ConfigMap ഉള്ളടക്കങ്ങൾ തിരയുക.
അവ അങ്ങനെ ചെയ്യുന്നുണ്ടെങ്കിൽ, ഒരു ഫാൽക്കോ ഇവൻറ് ജനറേറ്റ് ചെയ്യപ്പെടുന്നു:
ഓഡിറ്റ് ഇവൻറിനെ കുറിച്ച് ഇനി പറയുന്നവ ഉൾക്കൊള്ളുന്ന അവശ്യവിവരങ്ങൾ പ്രിൻറ് ചെയ്യാൻ ഔട്ട്പുട്ട് സ്ട്രിങ് ഉപയോഗിക്കുന്നു:
- ഉപയോക്താവ്:
%ka.user.name
- ക്രിയ:
%ka.verb
- ConfigMap നാമം:
%ka.req.configmap.name
- ConfigMap ഉള്ളടക്കങ്ങൾ:
%ka.req.configmap.obj
Kubernetes ഓഡിറ്റ് ലോഗുകൾ പ്രവർത്തനക്ഷമമാക്കൽ
Kubernetes ഓഡിറ്റ് ലോഗുകൾ പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, നിങ്ങൾ --audit-policy-file
, --audit-webhook-config-file
എന്നീ ആർഗ്യുമെൻറുകൾ ചേർക്കാൻ ആർഗ്യുമെൻറുകൾ kube-apiserver
എന്ന പ്രക്രിയയിലേക്ക് മാറ്റുകയും, ഒരു ഓഡിറ്റ് നയം/ വെബ്ഹുക്ക് ക്രമീകരണം നടപ്പാക്കുന്ന ഫയലുകൾ ലഭ്യമാക്കുകയും വേണം. ഇത് എങ്ങനെ ചെയ്യാമെന്നതിനെ കുറിച്ചുള്ള വിശദമായ വിവരണം നൽകുന്നത് ഫാൽക്കോ ഡോക്യുമെൻറേഷൻറെ പരിധിക്കപ്പുറത്താണ്, പക്ഷേ ഓഡിറ്റ് ലോഗിങ് മിനിക്യൂബിലേക്ക് എങ്ങനെ ചേർക്കുന്നു എന്ന് example files കാണിച്ചുതരുന്നു. നിയന്ത്രിത Kubernetes ദാതാക്കൾ സാധാരണയായി ഓഡിറ്റ് സിസ്റ്റം ക്രമീകരിക്കുന്നതിനുള്ള ഒരു പ്രവർത്തനവിദ്യ ലഭ്യമാക്കുന്നതാണ്.
കുറിപ്പ്: ഡൈനാമിക് ഓഡിറ്റ് വെബ്ഹുക്കുകൾ Kubernetes ൽ നിന്നും remove ചെയ്തിരിക്കുന്നു. ഏതായാലും, സ്റ്റാറ്റിക് ഓഡിറ്റ് ക്രമീകരണം പ്രവർത്തിക്കുന്നുണ്ട്.
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.