Halaman ini menunjukkan cara melihat informasi tentang status deployment dan penerapan kebijakan di Cloud Audit Logs.
Untuk mempelajari lebih lanjut terminologi antarmuka pengguna Cloud Audit Logs yang digunakan di halaman ini, lihat Melihat log.
Anda dapat menilai postur keamanan aplikasi, termasuk penerapan kebijakan Otorisasi Biner di seluruh produk yang saling bergantung di satu dasbor. Google Cloud Untuk mempelajari lebih lanjut, lihat Pemantauan keamanan.
Ringkasan
Saat Anda menggunakan Otorisasi Biner untuk men-deploy image container ke Google Kubernetes Engine (GKE), GKE akan menulis detail tentang deployment ke log audit di Google Cloud Observability. Entri log audit ini mencakup pesan status penegakan. Anda dapat melihat entri log ini di konsol Google Cloud atau di command line menggunakan perintah gcloud logging read.
Untuk penelusuran selanjutnya dalam panduan ini, Anda mengakses Cloud Audit Logs dan memilih project dengan peristiwa yang ingin Anda lihat.
Untuk mendapatkan akses umum ke Cloud Audit Logs, lakukan hal berikut:
Buka halaman Google Cloud Observability Logging > Logs (Logs Explorer) di konsolGoogle Cloud :
Pilih Google Cloud project yang Cloud Audit Logs-nya ingin Anda lihat.
Pesan status penegakan
GKE menulis pesan ke log audit untuk kondisi penerapan berikut:
- Deployment yang diblokir: Deployment diblokir karena kebijakan Otorisasi Biner.
- Peristiwa breakglass: Deployment melewati pemeriksaan kebijakan menggunakan mekanisme breakglass. Untuk mengetahui informasi selengkapnya, lihat Menggunakan breakglass.
- Fail open: Deployment diizinkan karena backend Otorisasi Biner tidak tersedia.
- Uji coba: Deployment diizinkan dengan pelanggaran kebijakan karena mode uji coba ditetapkan dalam kebijakan Otorisasi Biner.
Peristiwa deployment yang diblokir di Cloud Audit Logs
Jika image container diblokir karena melanggar kebijakan Otorisasi Biner, Anda dapat menemukan peristiwa deployment yang diblokir di Cloud Audit Logs.
Mengkueri Cloud Audit Logs untuk peristiwa deployment yang diblokir
Bagian ini menjelaskan cara membuat kueri Cloud Audit Logs untuk peristiwa deployment yang diblokir.
Logs Explorer
Untuk melihat peristiwa deployment yang diblokir di Cloud Audit Logs Logs Explorer, lakukan hal berikut:
Buka halaman Logs Explorer.
Masukkan kueri berikut di kotak search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") protoPayload.response.status="Failure" (protoPayload.response.reason="VIOLATES_POLICY" OR protoPayload.response.reason="Forbidden")Pilih rentang waktu di pemilih rentang waktu.
gcloud
Untuk melihat peristiwa pelanggaran kebijakan dari minggu lalu di Cloud Audit Logs menggunakan Google Cloud CLI, jalankan perintah berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
(protoPayload.response.reason="VIOLATES_POLICY" OR
protoPayload.response.reason="Forbidden")'
Peristiwa akses darurat di Cloud Audit Logs
Otorisasi Biner memungkinkan Anda mengganti kebijakan menggunakan label breakglass dalam spesifikasi Pod. Saat image di-deploy dengan akses darurat, Otorisasi Biner mencatat peristiwa akses darurat di Cloud Audit Logs. Bagian berikut menjelaskan cara membuat kueri untuk peristiwa ini.
Mengkueri Cloud Audit Logs untuk pod dengan breakglass yang ditentukan
Logs Explorer
Untuk melihat peristiwa akses darurat di Logs Explorer Cloud Audit Logs, lakukan hal berikut:
Buka halaman Logs Explorer.
Masukkan kode berikut di kotak search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") "image-policy.k8s.io/break-glass"Pilih rentang waktu di pemilih rentang waktu.
gcloud
Untuk melihat peristiwa breakglass dari minggu lalu di Cloud Audit Logs menggunakan gcloud CLI, jalankan perintah berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster" AND
logName:"cloudaudit.googleapis.com%2Factivity" AND
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update") AND
"image-policy.k8s.io/break-glass"'
Peristiwa fail open di Cloud Audit Logs
Buka jika gagal terjadi saat deployment image container dicoba, penerapan Otorisasi Biner tidak tersedia atau waktunya habis, dan image container diizinkan untuk di-deploy.
Dalam hal ini, hasil verifikasi tidak diketahui dan entri log dicatat.
Mengkueri peristiwa fail open Cloud Audit Logs
Logs Explorer
Untuk melihat peristiwa fail open di Logs Explorer Cloud Audit Logs, lakukan hal berikut:
Buka halaman Logs Explorer.
Masukkan kode berikut di kotak search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") ("image-policy.k8s.io/failed-open" OR "imagepolicywebhook.image-policy.k8s.io/failed-open" OR "failed-open.validating.webhook.admission.k8s.io")Pilih rentang waktu di pemilih rentang waktu.
gcloud
Untuk melihat peristiwa buka saat gagal dari minggu lalu di Cloud Audit Logs menggunakan gcloud CLI, jalankan perintah berikut:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
("image-policy.k8s.io/failed-open" OR
"imagepolicywebhook.image-policy.k8s.io/failed-open" OR
"failed-open.validating.webhook.admission.k8s.io")'
Peristiwa uji coba di Cloud Audit Logs
Mode uji coba adalah mode penerapan dalam kebijakan yang memungkinkan gambar yang tidak sesuai di-deploy, tetapi menulis detail tentang deployment ke log audit. Mode uji coba memungkinkan Anda menguji kebijakan di lingkungan produksi sebelum berlaku.
Jika image container gagal melewati pemeriksaan yang diperlukan dalam kebijakan, tetapi diizinkan untuk di-deploy oleh mode uji coba, Cloud Audit Logs akan berisi imagepolicywebhook.image-policy.k8s.io/dry-run: "true".
Mengkueri Cloud Audit Logs untuk peristiwa uji coba
Logs Explorer
Untuk melihat peristiwa uji coba di Logs Explorer Cloud Audit Logs, lakukan hal berikut:
Buka halaman Logs Explorer.
Masukkan kode berikut di kotak search-query:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"Pilih rentang waktu di pemilih rentang waktu.
gcloud
Untuk melihat peristiwa deployment uji coba dari minggu lalu di Cloud Audit Logs menggunakan gcloud CLI, jalankan perintah berikut:
gcloud logging read --order="desc" --freshness=7d \
'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'