Questa pagina mostra come visualizzare le informazioni sullo stato del deployment e sull'applicazione delle policy in Cloud Audit Logs.
Per scoprire di più sulla terminologia dell'interfaccia utente di Cloud Audit Logs utilizzata in questa pagina, consulta Visualizzazione dei log.
Puoi valutare il livello di sicurezza della tua applicazione, inclusa l'applicazione delle policy di Autorizzazione binaria tra prodotti interdipendenti Google Cloud in un'unica dashboard. Per scoprire di più, consulta Monitoraggio della sicurezza.
Panoramica
Quando utilizzi Autorizzazione binaria per eseguire il deployment di un'immagine container in Google Kubernetes Engine (GKE), GKE scrive i dettagli del deployment negli audit log in Google Cloud Observability. Queste voci degli audit log includono messaggi sullo stato di applicazione. Puoi visualizzare queste voci di log
nella Google Cloud console o nella riga di comando utilizzando il
gcloud logging read comando.
Per le ricerche successive in questa guida, accedi a Cloud Audit Logs e seleziona il progetto con gli eventi che vuoi visualizzare.
Per l'accesso generale a Cloud Audit Logs, procedi nel seguente modo:
Vai alla pagina Google Cloud Observability Logging > Logs (Esplora log) nella Google Cloud console:
Scegli il Google Cloud progetto per il quale vuoi visualizzare Cloud Audit Logs.
Messaggi sullo stato di applicazione
GKE scrive messaggi nell'audit log per le seguenti condizioni di applicazione:
- Deployment bloccato: il deployment è stato bloccato a causa della policy di Autorizzazione binaria.
- Evento di emergenza: il deployment ha ignorato il controllo delle policy utilizzando il meccanismo di emergenza. Per saperne di più, consulta Utilizzo del deployment di emergenza.
- Fail open: il deployment è stato consentito perché il backend di Autorizzazione binaria non era disponibile.
- Dry run: il deployment è consentito con violazioni delle policy perché la modalità dry run è stata impostata nella policy di Autorizzazione binaria.
Eventi di deployment bloccati in Cloud Audit Logs
Quando un'immagine container viene bloccata perché viola una policy di Autorizzazione binaria, puoi trovare gli eventi di deployment bloccati in Cloud Audit Logs.
Eseguire query su Cloud Audit Logs per gli eventi di deployment bloccati
Questa sezione descrive come eseguire query su Cloud Audit Logs per gli eventi di deployment bloccati.
Esplora log
Per visualizzare gli eventi di deployment bloccati in Esplora log di Cloud Audit Logs, procedi nel seguente modo:
Vai alla pagina Esplora log.
Inserisci la seguente query nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") protoPayload.response.status="Failure" (protoPayload.response.reason="VIOLATES_POLICY" OR protoPayload.response.reason="Forbidden")Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di violazione delle policy dell'ultima settimana in Cloud Audit Logs utilizzando Google Cloud CLI, esegui il seguente comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
(protoPayload.response.reason="VIOLATES_POLICY" OR
protoPayload.response.reason="Forbidden")'
Eventi di emergenza in Cloud Audit Logs
Autorizzazione binaria ti consente di eseguire l'override della policy utilizzando un'etichetta di emergenza nella specifica del pod. Quando le immagini vengono sottoposte a deployment con la funzionalità di emergenza, Autorizzazione binaria registra gli eventi di emergenza in Cloud Audit Logs. La sezione seguente descrive come eseguire query per questi eventi.
Eseguire query su Cloud Audit Logs per i pod con la funzionalità di emergenza specificata
Esplora log
Per visualizzare gli eventi di deployment di emergenza in Esplora log di Cloud Audit Logs, procedi nel seguente modo:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") "image-policy.k8s.io/break-glass"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di deployment di emergenza dell'ultima settimana in Cloud Audit Logs utilizzando gcloud CLI, esegui il seguente comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster" AND
logName:"cloudaudit.googleapis.com%2Factivity" AND
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update") AND
"image-policy.k8s.io/break-glass"'
Eventi di fail open in Cloud Audit Logs
Il fail open si verifica quando viene tentato il deployment di un'immagine container, l'applicazione forzata di Autorizzazione binaria non è disponibile o si verifica un timeout e il deployment dell'immagine container è consentito.
In questo caso, il risultato della verifica è sconosciuto e viene registrata una voce di log.
Eseguire query su Cloud Audit Logs per gli eventi di fail open
Esplora log
Per visualizzare gli eventi di fail open in Esplora log di Cloud Audit Logs, procedi nel seguente modo:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") ("image-policy.k8s.io/failed-open" OR "imagepolicywebhook.image-policy.k8s.io/failed-open" OR "failed-open.validating.webhook.admission.k8s.io")Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di fail open dell'ultima settimana in Cloud Audit Logs utilizzando gcloud CLI, esegui il seguente comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
("image-policy.k8s.io/failed-open" OR
"imagepolicywebhook.image-policy.k8s.io/failed-open" OR
"failed-open.validating.webhook.admission.k8s.io")'
Eventi di dry run in Cloud Audit Logs
La modalità dry run è una modalità di applicazione forzata in una policy che consente il deployment di immagini non conformi, ma scrive i dettagli del deployment nell'audit log. La modalità dry run ti consente di testare una policy nel tuo ambiente di produzione prima che entri in vigore.
Quando un'immagine container non supera i controlli richiesti in una policy, ma il deployment è
consentito dalla modalità dry run, Cloud Audit Logs contiene
imagepolicywebhook.image-policy.k8s.io/dry-run: "true".
Eseguire query su Cloud Audit Logs per gli eventi di dry run
Esplora log
Per visualizzare gli eventi di dry run in Esplora log di Cloud Audit Logs, procedi nel seguente modo:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di deployment di dry run dell'ultima settimana in Cloud Audit Logs utilizzando gcloud CLI, esegui il seguente comando:
gcloud logging read --order="desc" --freshness=7d \
'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'