Questa pagina mostra come visualizzare informazioni sullo stato di implementazione e sull'applicazione dei criteri in Cloud Audit Logs.
Per scoprire di più sulla terminologia dell'interfaccia utente di Cloud Audit Logs utilizzata in questa pagina, consulta Visualizzazione dei log.
Puoi valutare la security posture delle applicazioni, inclusa Autorizzazione binaria applicazione dei criteri per tutti i prodotti Google Cloud interdipendenti in un'unica Fitbit.com. Per saperne di più, vedi Monitoraggio della sicurezza.
Panoramica
Quando utilizzi l'autorizzazione binaria per eseguire il deployment di un'immagine container in Google Kubernetes Engine (GKE), GKE scrive i dettagli del deployment nei log di controllo in Google Cloud Observability. Questi audit log
includono i messaggi di stato dell'applicazione. Puoi visualizzare queste voci di log
nella console Google Cloud o nella riga di comando utilizzando il
comando gcloud logging read.
Per le ricerche successive nella guida, accedi a Cloud Audit Logs e seleziona il progetto con gli eventi che vuoi visualizzare.
Per accedere generale a Cloud Audit Logs, segui questi passaggi:
Vai a Google Cloud Observability Logging > Log (Esplora log) nell'app Console Google Cloud:
Scegli il progetto Google Cloud per il quale vuoi visualizzare Cloud Audit Logs.
Messaggi di stato dell'applicazione
GKE scrive i messaggi nell'audit log per condizioni di applicazione:
- Deployment bloccato: il deployment è stato bloccato a causa del criterio di Autorizzazione binaria.
- Evento deployment di emergenza: il deployment ha ignorato il controllo dei criteri utilizzando il deployment di emergenza meccanismo di attenzione. Per maggiori informazioni, vedi Utilizzo del deployment di emergenza.
- Fail open: il deployment è stato consentito perché il backend di Autorizzazione binaria era non disponibile.
- Dry run: deployment consentito con violazioni delle norme perché in modalità dry run è stato impostato nel criterio di Autorizzazione binaria.
Eventi di deployment bloccati in Cloud Audit Logs
Quando un'immagine container viene bloccata perché viola un'Autorizzazione binaria puoi trovare gli eventi di deployment bloccato in Cloud Audit Logs.
Query su Cloud Audit Logs per eventi di deployment bloccati
Questa sezione descrive come eseguire query su Cloud Audit Logs per gli eventi di deployment bloccati.
Esplora log
Per visualizzare gli eventi di deployment bloccati in Esplora log di Cloud Audit Logs, segui questi passaggi:
Vai alla pagina Esplora log.
Inserisci la seguente query nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") protoPayload.response.status="Failure" (protoPayload.response.reason="VIOLATES_POLICY" OR protoPayload.response.reason="Forbidden") NOT "kube-system" NOT "istio-system"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare in Cloud Audit Logs gli eventi di violazione delle norme della scorsa settimana utilizzando in Google Cloud CLI, esegui questo comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
(protoPayload.response.reason="VIOLATES_POLICY" OR
protoPayload.response.reason="Forbidden")
NOT "kube-system"
NOT "istio-system"'
Eventi di emergenza in Cloud Audit Logs
Autorizzazione binaria consente di eseguire l'override del criterio utilizzando deployment di emergenza nella specifica del pod. Quando le immagini vengono implementate con il privilegio breakglass, Autorizzazione binaria registra gli eventi breakglass in Cloud Audit Logs. La sezione seguente descrive come eseguire query per questi eventi.
Esegui query su Cloud Audit Logs per i pod per i quali è stato specificato il deployment di emergenza
Esplora log
Per visualizzare gli eventi di emergenza in Esplora log di Cloud Audit Logs, segui questi passaggi:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") "image-policy.k8s.io/break-glass"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di emergenza della scorsa settimana in Cloud Audit Logs utilizzando gcloud CLI, esegui questo comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster" AND
logName:"cloudaudit.googleapis.com%2Factivity" AND
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update") AND
"image-policy.k8s.io/break-glass"'
Eventi di fail open in Cloud Audit Logs
Il fail open si verifica quando viene tentato il deployment di un'immagine container, la verifica dell'autorizzazione binaria non è disponibile o scade e il deployment dell'immagine container è consentito.
In questo caso, il risultato della verifica è sconosciuto e viene registrata una voce di log.
Query sugli eventi di fail open di Cloud Audit Logs
Esplora log
Per visualizzare gli eventi di fail open in Esplora log di Cloud Audit Logs, segui questi passaggi:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") ("image-policy.k8s.io/failed-open" OR "imagepolicywebhook.image-policy.k8s.io/failed-open" OR "failed-open.validating.webhook.admission.k8s.io")Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di fail open della settimana precedente in Cloud Audit Logs utilizzando l'interfaccia a riga di comando gcloud, esegui il seguente comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
("image-policy.k8s.io/failed-open" OR
"imagepolicywebhook.image-policy.k8s.io/failed-open" OR
"failed-open.validating.webhook.admission.k8s.io")'
Eventi di prova in Cloud Audit Logs
La modalità dry run è una modalità di applicazione forzata in un criterio che consente il deployment di immagini non conformi, ma scrive i dettagli sull'oggetto il deployment nell'audit log. La modalità di prova ti consente di testare un criterio nel tuo ambiente di produzione prima che venga applicato.
Quando un'immagine container non supera i controlli richiesti in un criterio, ma
il cui deployment può essere eseguito in modalità dry run, Cloud Audit Logs contiene
imagepolicywebhook.image-policy.k8s.io/dry-run: "true".
Esegui query su Cloud Audit Logs per gli eventi di prova secca
Esplora log
Per visualizzare gli eventi dry run in Esplora log di Cloud Audit Logs, seguenti:
Vai alla pagina Esplora log.
Inserisci quanto segue nella casella search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"Seleziona l'intervallo di tempo nel selettore dell'intervallo di tempo.
gcloud
Per visualizzare gli eventi di deployment dry run dell'ultima settimana in Cloud Audit Logs utilizzando gcloud CLI, esegui questo comando:
gcloud logging read --order="desc" --freshness=7d \
'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'