Registros de auditoría

Información general

Google Distributed Cloud (solo software) para VMware admite el registro de auditoría tanto a nivel de API como de clúster de Kubernetes.Google Cloud En este documento se proporciona información sobre el registro de auditoría de clústeres de Kubernetes. Para obtener información sobre losGoogle Cloud registros de auditoría de APIs, consulta Información sobre los registros de auditoría de APIs de Cloud.

Google Distributed Cloud usa el registro de auditoría de Kubernetes, que mantiene un registro cronológico de las llamadas realizadas al servidor de la API de Kubernetes de un clúster. Los registros de auditoría son útiles para investigar solicitudes de API sospechosas y para recoger estadísticas.

Puedes configurar un clúster para que escriba los registros de auditoría en el disco o en Cloud Audit Logs en un Google Cloud proyecto. Escribir en los registros de auditoría de Cloud tiene varias ventajas con respecto a escribir en el disco o incluso a capturar registros en un sistema de registro local:

  • Los registros de auditoría de todos los clústeres de GKE se pueden centralizar.
  • Las entradas de registro escritas en Registros de auditoría de Cloud son inmutables.
  • Las entradas de registros de auditoría de Cloud se conservan durante 400 días.
  • Registros de auditoría de Cloud está incluido en el precio de Anthos.

Registro de auditoría basado en disco

De forma predeterminada, los registros de auditoría se escriben en un disco persistente para que los reinicios y las actualizaciones de las VMs no provoquen que desaparezcan.

  • Si el clúster avanzado no está habilitado:

    Google Distributed Cloud conserva hasta 12 GB de entradas de registro de auditoría.

  • Si la opción Clúster avanzado está habilitada

    Google Distributed Cloud conserva hasta 1 GB de entradas de registro de auditoría.

Registros de auditoría de Cloud

Si habilitas Cloud Audit Logs en un clúster, las entradas del registro de auditoría de actividad del administrador del servidor de la API de Kubernetes del clúster se enviarán a Google Cloud, mediante el proyecto Google Cloud que especifiques en el campo cloudAuditLogging.projectID del archivo de configuración del clúster. Este Google Cloud proyecto se denomina proyecto de registro de auditoría.

El proyecto de registro de auditoría debe ser el mismo que el proyecto de host de flota.

Para almacenar en búfer y escribir entradas de registro en Cloud Audit Logs, Google Distributed Cloud implementa un audit-proxy Pod en el clúster de administrador. Este componente también está disponible como contenedor sidecar en clústeres de usuarios.

Limitaciones

La versión actual de Registros de auditoría de Cloud para Google Distributed Cloud tiene varias limitaciones:

  • No se admite el registro de acceso a datos (solicitudes get, list y watch).

  • No se puede modificar la política de auditoría de Kubernetes.

  • Registros de auditoría de Cloud no es resistente a las interrupciones de red prolongadas. Si las entradas de registro no se pueden exportar a Google Cloud, se almacenan en caché en un búfer de disco de 10 GB. Si se llena, se descartarán las entradas posteriores.

  • Un proyecto puede admitir hasta aproximadamente 1000 cuentas de servicio para usarlas con Cloud Audit Logs. Varios clústeres pueden usar la misma cuenta de servicio.

Habilitar la API de auditoría de Anthos

Habilita la API de auditoría de Anthos en tu proyecto de registro de auditoría.

Habilitar la API Anthos Audit

Crear una cuenta de servicio para Cloud Audit Logs

Ya tienes una o varias cuentas de servicio que has creado para usar con Google Distributed Cloud. Para usar esta función, debes crear una cuenta de servicio adicional llamada cuenta de servicio de registro de auditoría.

  1. Crea tu cuenta de servicio de registro de auditoría:

    gcloud iam service-accounts create audit-logging-service-account

  2. Crea un archivo de clave JSON para tu cuenta de servicio de Cloud Audit Logs:

    gcloud iam service-accounts keys create audit-logging-key.json \
   --iam-account AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL

    donde AUDIT_LOGGING_SERVICE_ACCOUNT_EMAIL es la dirección de correo de tu cuenta de servicio.

  3. Guarda audit-logging-key.json en la estación de trabajo del administrador en la misma ubicación que las demás claves de cuenta de servicio.

ADVERTENCIA: Antes de eliminar esta cuenta de servicio, asegúrate de sustituirla por la nueva cuenta de servicio en la configuración del clúster. El proceso es similar al de habilitar los registros de auditoría de Cloud en un clúster de usuario. Si olvidas hacerlo, consulta la guía para limpiar.

Crear un clúster de administrador con los registros de auditoría de Cloud habilitados

Solo puedes habilitar Cloud Audit Logs en un clúster de administrador cuando lo creas por primera vez. No puedes modificar un clúster de administrador para habilitar los registros de auditoría de Cloud.

  1. Consulta Crear un clúster de administradores.

  2. En el archivo de configuración del clúster de administrador, rellena la sección cloudAuditLogging.

  3. Asigna a cloudAuditLogging.projectID el ID de tu proyecto de registro de auditoría.

  4. Asigna a cloudAuditLogging.clusterLocation la región en la que quieras almacenar los registros de auditoría. Google Cloud Para mejorar la latencia, elige una región que esté cerca de tu centro de datos local.

  5. Asigna a cloudAuditLogging.serviceAccountKeyPath la ruta del archivo de clave JSON de tu cuenta de servicio de registro de auditoría.

Por ejemplo:

cloudAuditLogging:
  projectID: "my-project"
  clusterLocation: "us-west1"
  serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"

Sigue creando el clúster como de costumbre.

Crear un clúster de usuarios con los registros de auditoría de Cloud habilitados

  1. Consulta el artículo Crear un clúster de usuarios.

  2. En el archivo de configuración del clúster de usuarios, rellena la sección cloudAuditLogging.

  3. Asigna a cloudAuditLogging.projectID el ID de tu proyecto de registro de auditoría.

  4. Asigna a cloudAuditLogging.clusterLocation la región en la que quieras almacenar los registros de auditoría. Google Cloud Para mejorar la latencia, elige una región que esté cerca de tu centro de datos local.

  5. Asigna a cloudAuditLogging.serviceAccounKeyPath la ruta del archivo de clave JSON de tu cuenta de servicio de registros de auditoría de Cloud.

  6. Asegúrese de que la sección gkeConnect esté rellena y de que gkeConnect.projectID sea igual que cloudAuditLogging.projectID.

Por ejemplo:

gkeConnect:
  projectID: "my-project"
  registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"

cloudAuditLogging:
  projectID: "my-project"
  clusterLocation: "us-west1"
  serviceAccountKeyPath: "/my-key-folder/audit-logging-key.json"

Sigue creando el clúster como de costumbre.

Habilitar los registros de auditoría de Cloud en un clúster de usuario

Cloud Audit Logs solo se puede habilitar en el Google Cloud proyecto en el que se ha registrado el clúster de usuarios.

Si un clúster de usuarios no está registrado, regístralo siguiendo estos pasos antes de habilitar Registros de auditoría de Cloud:

  1. Añade una sección gkeConnect al archivo de configuración del clúster de usuarios. Por ejemplo:

    gkeConnect:
  projectID: "my-project"
  registerServiceAccountKeyPath: "/my-key-fokder/connect-register-key.json"

  2. Actualiza el clúster:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Una vez que se haya registrado el clúster de usuarios, sigue estos pasos para habilitar los registros de auditoría de Cloud:

  1. Rellena la sección cloudAuditLogging de tu archivo de configuración de clúster de usuarios. Consulta los detalles de los campos en el artículo Crear un clúster de usuario con Cloud Audit Logs habilitado. El projectID de la sección cloudAuditLogging debe ser el mismo que el de la sección gkeConnect.

  2. Actualiza el clúster:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

Inhabilitar los registros de auditoría de Cloud en un clúster de usuarios

  1. En el archivo de configuración del clúster de usuarios, elimina la sección cloudAuditLogging.

  2. Actualiza el clúster de usuarios:

gkectl update cluster --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] --config [USER_CLUSTER_CONFIG]

de auditoría de acceso a datos.

Registro de auditoría basado en disco

Puedes encontrar los registros de auditoría del clúster de administrador en los nodos del plano de control, en /var/log/kube-audit/kube-apiserver-audit.log. Los registros de auditoría del clúster de usuarios se encuentran en el PersistentVolumeClaim llamado kube-audit-kube-apiserver-0. Puedes acceder a estos datos en tus propios pods a través de las entradas de volumes:

Añade esta entrada para el clúster de administrador: 

    volumes:
    - name: kube-audit
      hostPath:
        path: /var/log/kube-audit
        type: ""

Añade esta entrada para el clúster de usuarios: 

    volumes:
    - name: kube-audit
      persistentVolumeClaim:
        claimName: kube-audit-kube-apiserver-0

Para programar tu pod en el nodo del clúster de administrador adecuado (y solo en ese nodo), tendrás que añadir las secciones nodeSelector y tolerations a la especificación del pod, como se muestra a continuación:

    spec:
      nodeSelector:
        node-role.kubernetes.io/master: ''
      tolerations:
      - key: node-role.kubernetes.io/master
        value: ""
        effect: NoSchedule

En Clúster de usuarios, asigna namespace como nombre del clúster de usuarios y, a continuación, asigna nodeName al mismo valor que kube-apiserver-0:

   spec:
     nodeName: NODE_NAME

Para señalar el nodeName de kube-apiserver-0, ejecuta el siguiente comando:

kubectl get pod kube-apiserver-0 -n USER_CLUSTER_NAME --kubeconfig kubeconfig -o jsonpath='{.spec.nodeName}'

El nombre de cada archivo de registro de auditoría incluye una marca de tiempo que indica cuándo se ha roto el archivo. Un archivo contiene registros de auditoría hasta esa hora y fecha.

Registros de auditoría de Cloud

Consola

  1. En la Google Cloud consola, ve a la página Registros del menú Registro.

    Ir a la página Registros

  2. En el cuadro Filtrar por etiqueta o buscar texto, situado justo encima de los menús desplegables que hemos visto, haz clic en la flecha hacia abajo para abrir el menú desplegable. En el menú, elige Convertir en filtro avanzado.

  3. Rellena el campo con el siguiente filtro:

    resource.type="k8s_cluster"
logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity"
protoPayload.serviceName="anthosgke.googleapis.com"

  4. Haz clic en Enviar filtro para mostrar todos los registros de auditoría de los clústeres que se hayan configurado para iniciar sesión en este proyecto.

gcloud

Lista las dos primeras entradas del registro de actividad de administración de tu proyecto que se apliquen al tipo de recurso k8s_cluster:

gcloud logging read \
    'logName="projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity" \
    AND resource.type="k8s_cluster" \
    AND protoPayload.serviceName="anthosgke.googleapis.com" ' \
    --limit 2 \
    --freshness 300d

donde PROJECT_ID es el ID del proyecto.

El resultado muestra dos entradas de registro. Observe que, en cada entrada de registro, el campo logName tiene el valor projects/PROJECT_ID/logs/externalaudit.googleapis.com%2Factivity y que protoPayload.serviceName es igual a anthosgke.googleapis.com.

Política de auditoría

El comportamiento de los registros de auditoría de Cloud se determina mediante una política de registro de auditoría de Kubernetes configurada de forma estática. Actualmente no se puede cambiar esta política, pero estará disponible en una versión posterior.