Esta página mostra-lhe como ver informações sobre o estado de implementação e a aplicação de políticas nos registos de auditoria da nuvem.
Para saber mais sobre a terminologia da interface do utilizador dos registos de auditoria do Cloud usada nesta página, consulte o artigo Ver registos.
Pode avaliar a postura de segurança da sua aplicação, incluindo a aplicação de políticas de autorização binária em produtos interdependentes num único painel de controlo. Google Cloud Para saber mais, consulte o artigo Monitorização de segurança.
Vista geral
Quando usa a autorização binária para implementar uma imagem de contentor no Google Kubernetes Engine (GKE), o GKE escreve detalhes sobre a implementação nos registos de auditoria no Google Cloud Observability. Estas entradas do registo de auditoria incluem mensagens de estado de aplicação. Pode ver estas entradas do registo na
Google Cloud consola ou na linha de comandos através do comando
gcloud logging read.
Para as pesquisas mais adiante neste guia, aceda aos registos de auditoria do Cloud e selecione o projeto com os eventos que quer ver.
Para acesso geral aos registos de auditoria do Cloud, faça o seguinte:
Aceda à página Google Cloud Observability Logging > Registos (Explorador de registos) na Google Cloud consola:
Escolha o Google Cloud projeto para o qual quer ver os registos de auditoria do Cloud.
Mensagens de estado de aplicação
O GKE escreve mensagens no registo de auditoria para as seguintes condições de aplicação:
- Implementação bloqueada: a implementação foi bloqueada devido à política de autorização binária.
- Evento de acesso de emergência: a implementação ignorou a verificação de políticas através do mecanismo de acesso de emergência. Para mais informações, consulte o artigo Usar o acesso de emergência.
- Falha aberta: a implementação foi permitida porque o back-end da autorização binária estava indisponível.
- Execução de ensaio: a implementação foi permitida com violações de políticas porque o modo de execução de ensaio foi definido na política de autorização binária.
Eventos de implementação bloqueados nos registos de auditoria da nuvem
Quando uma imagem de contentor é bloqueada porque viola uma política de autorização binária, pode encontrar os eventos de implementação bloqueada nos registos de auditoria da nuvem.
Consulte os registos de auditoria da nuvem para eventos de implementação bloqueados
Esta secção descreve como consultar os registos de auditoria do Cloud para eventos de implementação bloqueada.
Logs Explorer
Para ver eventos de implementação bloqueados no Explorador de registos dos registos de auditoria do Cloud, faça o seguinte:
Aceda à página Explorador de registos.
Introduza a seguinte consulta na caixa search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") protoPayload.response.status="Failure" (protoPayload.response.reason="VIOLATES_POLICY" OR protoPayload.response.reason="Forbidden")Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de violação de políticas da semana anterior nos registos de auditoria do Cloud através da CLI Google Cloud, execute o seguinte comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
(protoPayload.response.reason="VIOLATES_POLICY" OR
protoPayload.response.reason="Forbidden")'
Eventos de acesso de emergência nos registos de auditoria do Cloud
A autorização binária permite-lhe substituir a política através de uma etiqueta breakglass na especificação do pod. Quando as imagens são implementadas com o acesso de emergência, a autorização binária regista eventos de acesso de emergência nos registos de auditoria da nuvem. A secção seguinte descreve como pode consultar estes eventos.
Consultar registos de auditoria do Cloud para pods com breakglass especificado
Logs Explorer
Para ver eventos de acesso de emergência no Explorador de registos dos registos de auditoria na nuvem, faça o seguinte:
Aceda à página Explorador de registos.
Introduza o seguinte na caixa search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") "image-policy.k8s.io/break-glass"Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de acesso de emergência da semana anterior nos registos de auditoria da nuvem através da CLI gcloud, execute o seguinte comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster" AND
logName:"cloudaudit.googleapis.com%2Factivity" AND
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update") AND
"image-policy.k8s.io/break-glass"'
Eventos de falha aberta nos registos de auditoria da nuvem
A abertura em caso de falha ocorre quando se tenta uma implementação de uma imagem de contentor, a aplicação da autorização binária está indisponível ou atinge o limite de tempo, e a imagem de contentor é autorizada a ser implementada.
Neste caso, o resultado da validação é desconhecido e é registada uma entrada no registo.
Consultar eventos de abertura de falhas dos registos de auditoria da nuvem
Logs Explorer
Para ver eventos de abertura em caso de falha no Explorador de registos dos registos de auditoria na nuvem, faça o seguinte:
Aceda à página Explorador de registos.
Introduza o seguinte na caixa search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") ("image-policy.k8s.io/failed-open" OR "imagepolicywebhook.image-policy.k8s.io/failed-open" OR "failed-open.validating.webhook.admission.k8s.io")Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de abertura em caso de falha da semana anterior nos registos de auditoria da nuvem através da CLI gcloud, execute o seguinte comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
("image-policy.k8s.io/failed-open" OR
"imagepolicywebhook.image-policy.k8s.io/failed-open" OR
"failed-open.validating.webhook.admission.k8s.io")'
Eventos de teste de execução no Cloud Audit Logs
O modo de teste é um modo de aplicação numa política que permite a implementação de imagens não conformes, mas escreve detalhes sobre a implementação no registo de auditoria. O modo de teste permite-lhe testar uma política no seu ambiente de produção antes de entrar em vigor.
Quando uma imagem de contentor não passa nas verificações necessárias numa política, mas tem autorização para ser implementada pelo modo de teste, os registos de auditoria da nuvem contêm imagepolicywebhook.image-policy.k8s.io/dry-run: "true".
Consulte os registos de auditoria da nuvem para eventos de teste
Logs Explorer
Para ver eventos de teste de execução no Explorador de registos dos registos de auditoria do Google Cloud, faça o seguinte:
Aceda à página Explorador de registos.
Introduza o seguinte na caixa search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de implementação de teste de execução dos últimos 7 dias nos registos de auditoria da nuvem através da CLI gcloud, execute o seguinte comando:
gcloud logging read --order="desc" --freshness=7d \
'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'