Stai visualizzando la documentazione di Service Mesh legacy v1.18.

Versioni disponibili

Cloud Service Mesh
Archivio 1.22
Archivio 1.21
Archivio 1.20
Archivio 1.19
Archivio 1.18

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei criteri di audit per i tuoi servizi

Un criterio di controllo ti consente di controllare l'accesso ai dati ai tuoi servizi in Cloud Service Mesh. L'audit dei tuoi servizi ti aiuta a rispondere alle domande "chi ha fatto cosa, quando e possibly why". Con un criterio di controllo, puoi specificare quando viene creato un log di controllo e i relativi contenuti. Questa guida spiega come installare Cloud Service Mesh in modo da poter utilizzare un criterio di controllo.

Poiché visualizzi gli audit log nella Cloud Logging Esplora log nella console Google Cloud, controllo sono supportati solo sulle seguenti piattaforme:

GKE su Google Cloud
Google Distributed Cloud
Google Distributed Cloud

Un criterio di controllo estende AuthorizationPolicy aggiungendo un'azione AUDIT. Viene applicato solo nell'ambito del criterio di destinazione (che può essere un carico di lavoro, uno spazio dei nomi o l'intero mesh). Le norme sono ORed insieme, ovvero viene registrata una richiesta se un criterio lo richiede. Se non viene eseguito alcun controllo si applicano a un determinato carico di lavoro, per quel carico non viene generato alcun audit log.

Ecco un esempio di criterio di controllo per controllare tutti gli accessi in scrittura al percorso/user/profile/* in myapi:

  apiVersion: security.istio.io/v1beta1
  kind: AuthorizationPolicy
  metadata:
    namespace: ns1
    name: anyname
  spec:
    selector:
      matchLabels:
        app: myapi
    action: AUDIT
    rules:
    - to:
      - operation:
          methods: ["POST", "UPDATE", "DELETE"]
          paths: ["/user/profile/*"]

Limitazioni

Non è presente alcun log di controllo su ingress-gateway.
I contenuti del controllo non sono configurabili.
Attualmente, gli audit log di Cloud Service Mesh hanno la stessa proprietà di affidabilità come normali log di accesso. Ad esempio, se viene riavviato un pod di carico di lavoro, alcuni log di controllo per il carico di lavoro, se non sono permanenti, possono andare persi.

Prima di iniziare

Segui i passaggi descritti in Installare gli strumenti dipendenti e convalidare il cluster. a:

Prepara la configurazione del gateway

Cloud Service Mesh ti offre la possibilità di eseguire il deployment e gestire i gateway all'interno del tuo mesh di servizi. Un gateway descrive un bilanciatore del carico che opera all'esterno della rete mesh e riceve connessioni HTTP/TCP in entrata o in uscita. I gateway sono Envoy che forniscono un controllo granulare sul traffico in entrata e escono dalla rete.

asmcli non installa istio-ingressgateway. Ti consigliamo di il deployment e la gestione del piano di controllo e dei gateway separatamente. Per maggiori informazioni consulta Installazione e upgrade dei gateway.

Personalizzazione dell'installazione di Anthos Service Mesh

Per utilizzare un criterio di controllo, personalizza l'installazione di Cloud Service Mesh:

Installazioni

Segui i passaggi descritti in Installare Cloud Service Mesh. Quando esegui asmcli install, includi la seguente opzione:

--option audit-authorizationpolicy

Ad esempio:

./asmcli install \
  --project_id PROJECT_ID \
  --cluster_name CLUSTER_NAME \
  --cluster_location CLUSTER_LOCATION \
  --ca mesh_ca \
  --output_dir DIR_PATH  \
  --enable_all \
  --option audit-authorizationpolicy

Assicurati di specificare eventuali altri file overlay necessari per configurare Cloud Service Mesh.

Completa l'installazione di Cloud Service Mesh per abilitare il sidecar automatico l'inserimento del proxy sui carichi di lavoro. Consulta Eseguire il deployment e il nuovo deployment dei carichi di lavoro.

Upgrade

Segui i passaggi descritti in Eseguire l'upgrade di Cloud Service Mesh. Quando esegui asmcli install, includi la seguente opzione:

--option audit-authorizationpolicy

Ad esempio:

./asmcli install \
  --project_id PROJECT_ID \
  --cluster_name CLUSTER_NAME \
  --cluster_location CLUSTER_LOCATION \
  --ca mesh_ca \
  --output_dir DIR_PATH  \
  --enable_all \
  --option audit-authorizationpolicy

Assicurati di specificare eventuali altri file overlay necessari per configurare Cloud Service Mesh.

Completa l'installazione di Cloud Service Mesh per abilitare l'iniezione automatica di proxy sidecar nei tuoi carichi di lavoro. Per maggiori dettagli, vedi Passa al nuovo piano di controllo

Utilizzo dell'audit logging

Questa sezione utilizza l'esempio di Bookinfo per dimostrare come utilizzare l'audit logging.

Esegui il deployment dell'applicazione di esempio Bookinfo predefinito.
Ottieni l'indirizzo IP esterno del gateway in entrata e invia richieste all'applicazione di esempio per generare del traffico.
Nella console Google Cloud, vai al menu di navigazione e selezionare Logging > Esplora log:

Vai a Esplora log
Seleziona un progetto Google Cloud.
Poiché non hai ancora eseguito il deployment di un criterio di controllo, non ci sarà alcun controllo logaritmi. Tieni presente che l'audit log è diverso dal log di accesso. Per visualizzare i log di accesso stackdriver, inserisci la seguente query nel campo Query builder e fai clic su Esegui query:
```
logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver"
```
Per ulteriori informazioni sull'utilizzo di Esplora log, consulta Panoramica di Esplora log.

Configurazione del criterio di controllo e controllo degli audit log

Questa sezione fornisce diverse opzioni per il controllo dell'applicazione Bookinfo. Dopo aver eseguito il deployment del criterio di controllo, puoi inviare alcune richieste e quindi controllare in Esplora log.

Inserisci il comando seguente per recuperare le credenziali di autenticazione per interagire con il cluster. Questo comando imposta anche il contesto corrente per kubectl sul cluster.
```
gcloud container clusters get-credentials CLUSTER_NAME \
    --project=PROJECT_ID \
    --zone=CLUSTER_LOCATION
```
Nota: per il cluster regionale, sostituisci --region con --zone.

Applica il seguente criterio di controllo per controllare le richieste GET al percorso /productpage:

kubectl apply -f - << EOF
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
  name: "audit-productpage"
  namespace: default
spec:
  action: AUDIT
  rules:
  - to:
    - operation:
        methods: ["GET"]
        paths: ["/productpage"]
EOF

Invia alcune richieste a Bookinfo.
In Esplora log, inserisci la seguente query nel campo Query Builder e fai clic su Esegui query:
```
logName="projects/PROJECT_ID/logs/server-istio-audit-log"
```
La query restituisce log simili ai seguenti:

Applica il seguente criterio alle richieste di controllo al servizio bookinfo-ratings. I criteri di audit sono cumulabili. Dopo aver applicato le seguenti norme, vedrai i log di controllo per le richieste a ProductPage e Ratings.

kubectl apply -f - << EOF
apiVersion: "security.istio.io/v1beta1"
kind: "AuthorizationPolicy"
metadata:
  name: "audit-ratings"
  namespace: default
spec:
  action: AUDIT
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/bookinfo-ratings"]
    to:
    - operation:
        methods: ["GET"]
EOF

Prima che il nuovo criterio di controllo abbia effetto, deve essere propagato.

Invia almeno 10 richieste a Bookinfo per assicurarti di raggiungere il servizio di valutazione, quindi controlla il log di controllo in Esplora log. L'audit log simile al seguente:

Applica il seguente criterio per eseguire il controllo a tutti i servizi nell'impostazione predefinita nello spazio dei nomi.

kubectl apply -f - << EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  namespace: default
  name: "audit-all"
spec:
  action: AUDIT
  rules:
    - {}
EOF

Invia altre richieste a Bookinfo e poi controlla il log di controllo in Esplora log. Ora l'audit log registra tutte le richieste:
Se vuoi limitare il criterio di controllo a ProductPage e Valutazioni, puoi eliminare il criterio audit-all:
```
kubectl delete authorizationpolicy audit-all -n default
```

Risoluzione dei problemi

Se non vedi audit log dopo aver abilitato un criterio di controllo, ecco alcune aspetti che puoi controllare:

Assicurati che sia presente traffico per il periodo di tempo specificato in Esplora log. Se stai testando con Bookinfo, puoi inviare le richieste eseguendo il comando seguente comando più volte:
```
curl -s http://EXTERNAL_IP/productpage | grep Bookstore
```
Controlla se è presente un AuthorizationPolicy sul gateway in entrata che blocca le richieste al servizio controllato.
Controlla i log di accesso stackdriver con il seguente filtro in Logs Explorer per verificare se le richieste hanno raggiunto l'applicazione:
```
logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver"
```
Per assicurarti che Stackdriver sia configurato e che l'audit log sia abilitato, esegui il dump della configurazione dello stato attuale di istiod. In config_dump, cerca enable_audit_log e il nome del criterio di controllo.
```
istioctl dashboard envoy POD_NAME.NAMESPACE
```
Per assicurarti che le tue richieste corrispondano alle regole dei criteri di controllo, puoi: Controllare i log di debug del controllo degli accessi basato su ruoli (RBAC, Role-Based Access Control). Attiva il logging di debug RBAC con il seguente comando:
```
kubectl exec POD_NAME -n NAMESPACE -c istio-proxy -- pilot-agent request POST 'logging?rbac=debug'
```
Invia alcune richieste, quindi controlla i log del pod con Comando kubectl logs:
```
kubectl logs POD_NAME -n NAMESPACE -c istio-proxy
```

Passaggi successivi

Scopri di più sulla sicurezza in Cloud Service Mesh