Ver registros de auditoria do GKE

Nesta página, mostramos como visualizar informações sobre o status da implantação e a aplicação da política nos registros de auditoria do Cloud.

Para saber mais sobre a terminologia da interface do usuário dos Registros de auditoria do Cloud usada nesta página, consulte Como visualizar registros.

É possível avaliar a postura de segurança do aplicativo, incluindo a aplicação da política de autorização binária entre produtos interdependentes do Google Cloud em um único painel. Para saber mais, consulte Monitoramento de segurança.

Visão geral

Quando você usa a autorização binária para implantar uma imagem de contêiner no Google Kubernetes Engine (GKE), o GKE grava detalhes sobre a implantação nos registros de auditoria no pacote de operações do Google Cloud. Essas entradas de registro de auditoria incluem mensagens de status de aplicação. Você pode ver essas entradas de registro no Console do Google Cloud ou na linha de comando usando o comando gcloud logging read.

Para as pesquisas posteriores neste guia, você acessará os registros de auditoria do Cloud e selecionará o projeto com os eventos que quer visualizar.

Para acesso geral aos registros de auditoria do Cloud, faça o seguinte:

  1. Acesse a página Geração de registros do pacote de operações do Google Cloud > Registros (Explorador de registros) no Console do Cloud:

    Acessar o Explorador de registros

  2. Escolha o projeto do Google Cloud em que você quer ver os registros de auditoria do Cloud.

Mensagens de status da aplicação

O GKE grava mensagens no registro de auditoria para as seguintes condições de aplicação:

  • Implantação bloqueada: a implantação foi bloqueada devido à política de autorização binária.
  • Evento de intervalo: a implantação ignorou a verificação de política usando o mecanismo de intervalo. Para mais informações, consulte Como usar o intervalo.
  • Falha ao abrir: a implantação foi permitida porque o back-end de autorização binária não estava disponível.
  • Teste de simulação: implantação permitida com violações de política porque o modo de simulação foi definido na política de autorização binária.

Eventos de implantação bloqueados nos registros de auditoria do Cloud

Quando uma imagem de contêiner está bloqueada porque viola uma política de autorização binária, é possível encontrar os eventos de implantação bloqueados nos registros de auditoria do Cloud.

Consultar eventos de implantação bloqueados nos registros de auditoria do Cloud

Nesta seção, você verá como consultar registros de auditoria do Cloud em busca de eventos de implantação bloqueados.

Explorador de registros

Para ver eventos de implantação bloqueados no Explorador de registros de auditoria do Cloud:

  1. Acesse a página "Visualizador de registros".

  2. Insira a seguinte consulta na caixa consulta de pesquisa:

    resource.type="k8s_cluster"
    logName:"cloudaudit.googleapis.com%2Factivity"
    (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
     protoPayload.methodName="io.k8s.core.v1.pods.update")
    protoPayload.response.status="Failure"
    (protoPayload.response.reason="VIOLATES_POLICY" OR
    protoPayload.response.reason="Forbidden")
    NOT "kube-system"
    NOT "istio-system"
    

  3. Selecione o intervalo de tempo no seletor de intervalo de tempo.

gcloud

Para ver eventos de violação de política da última passada nos registros de auditoria do Cloud usando a ferramenta de linha de comando gcloud, execute o seguinte comando:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster"
   logName:"cloudaudit.googleapis.com%2Factivity"
   (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update")
   protoPayload.response.status="Failure"
   (protoPayload.response.reason="VIOLATES_POLICY" OR
   protoPayload.response.reason="Forbidden")
   NOT "kube-system"
   NOT "istio-system"'

Eventos de implantação forçada nos registros de auditoria do Cloud

A autorização binária permite substituir a política usando um rótulo de implantação forçada no podspec.

Consultar registros de auditoria do Cloud em busca de pods com implantação forçada especificada

Explorador de registros

Para ver eventos de implantação forçada no Explorador de registros de auditoria do Cloud, faça o seguinte:

  1. Acesse a página "Visualizador de registros".

  2. Digite o seguinte na caixa consulta de pesquisa:

    resource.type="k8s_cluster"
    logName:"cloudaudit.googleapis.com%2Factivity"
    (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update")
    "image-policy.k8s.io/break-glass"
    
  3. Selecione o intervalo de tempo no seletor de intervalo de tempo.

gcloud

Para ver eventos de implantação forçada da última semana nos registros de auditoria do Cloud usando a ferramenta gcloud, execute o comando a seguir:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster" AND
  logName:"cloudaudit.googleapis.com%2Factivity" AND
  protoPayload.methodName="io.k8s.core.v1.pods.create" AND
  "image-policy.k8s.io/break-glass"'

Eventos de falha ao abrir nos registros de auditoria do Cloud

A falha ao abrir ocorre quando há tentativa de implantação de imagem de contêiner, o implementador de autorização binária está indisponível ou expira e a imagem de contêiner tem permissão para implantar.

Nesse caso, o resultado da verificação é desconhecido e uma entrada de registro é gravada.

Consultar eventos de falha ao abrir nos registros de auditoria do Cloud

Explorador de registros

Para ver eventos de falha ao abrir no Explorador de registros de auditoria do Cloud:

  1. Acesse a página "Visualizador de registros".

  2. Digite o seguinte na caixa consulta de pesquisa:

    resource.type="k8s_cluster"
    logName:"cloudaudit.googleapis.com%2Factivity"
    (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
     protoPayload.methodName="io.k8s.core.v1.pods.update")
    ("image-policy.k8s.io/failed-open" OR
     "imagepolicywebhook.image-policy.k8s.io/failed-open" OR
     "failed-open.validating.webhook.admission.k8s.io")
    
  3. Selecione o intervalo de tempo no seletor de intervalo de tempo.

gcloud

Para ver eventos de falha ao abrir da última semana nos registros de auditoria do Cloud usando a ferramenta gcloud, execute este comando:

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster"
   logName:"cloudaudit.googleapis.com%2Factivity"
   (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update")
   ("image-policy.k8s.io/failed-open" OR
    "imagepolicywebhook.image-policy.k8s.io/failed-open" OR
    "failed-open.validating.webhook.admission.k8s.io")'

Eventos de teste nos registros de auditoria do Cloud

O modo de teste é um modo de aplicação em uma política que permite a implantação de imagens não representativas, mas grava detalhes sobre a implantação no registro de auditoria. O modo de teste permite testar uma política no ambiente de produção antes que ela entre em vigor.

Quando uma imagem de contêiner não passa nas verificações necessárias em uma política, mas pode ser implantada pelo modo de teste, os registros de auditoria do Cloud contêm imagepolicywebhook.image-policy.k8s.io/dry-run: "true".

Consultar os registros de auditoria do Cloud em busca de eventos de teste

Explorador de registros

Para ver eventos de teste no Explorador de registros de auditoria do Cloud:

  1. Acesse a página "Visualizador de registros".

  2. Digite o seguinte na caixa consulta de pesquisa:

    resource.type="k8s_cluster"
    logName:"cloudaudit.googleapis.com%2Factivity"
    (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
     protoPayload.methodName="io.k8s.core.v1.pods.update")
    labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"
    
  3. Selecione o intervalo de tempo no seletor de intervalo de tempo.

gcloud

Para ver eventos de implantação de teste da última semana nos registros de auditoria do Cloud usando a ferramenta gcloud, execute este comando:

gcloud logging read --order="desc" --freshness=7d \
  'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'