Nesta página, mostramos como visualizar informações sobre o status da implantação e a aplicação da política nos registros de auditoria do Cloud.
Para saber mais sobre a terminologia da interface do usuário dos Registros de auditoria do Cloud usada nesta página, consulte Como visualizar registros.
É possível avaliar a postura de segurança do aplicativo, incluindo a aplicação da política de autorização binária entre produtos interdependentes do Google Cloud em um único painel. Para saber mais, consulte Monitoramento de segurança.
Visão geral
Quando você usa a autorização binária para implantar uma imagem de contêiner no Google Kubernetes Engine (GKE), o GKE grava detalhes sobre a implantação nos registros de auditoria do Google Cloud Observability. Essas entradas de registro de auditoria
incluem mensagens de status de aplicação. Veja essas entradas de registro
no Console do Google Cloud ou na linha de comando com
gcloud logging read
.
Para as pesquisas posteriores neste guia, você acessará os registros de auditoria do Cloud e selecionará o projeto com os eventos que quer visualizar.
Para acesso geral aos registros de auditoria do Cloud, faça o seguinte:
Acesse a página Logging do Google Cloud Observability > Registros (Análise de registros) no console do Google Cloud:
Escolha o projeto do Google Cloud em que você quer ver os registros de auditoria do Cloud.
Mensagens de status da aplicação
O GKE grava mensagens no registro de auditoria para as seguintes condições de aplicação:
- Implantação bloqueada: a implantação foi bloqueada devido à política de autorização binária.
- Evento de intervalo: a implantação ignorou a verificação de política usando o mecanismo de intervalo. Para mais informações, consulte Como usar o intervalo.
- Falha ao abrir: a implantação foi permitida porque o back-end de autorização binária não estava disponível.
- Teste de simulação: implantação permitida com violações de política porque o modo de simulação foi definido na política de autorização binária.
Eventos de implantação bloqueados nos registros de auditoria do Cloud
Quando uma imagem de contêiner está bloqueada porque viola uma política de autorização binária, é possível encontrar os eventos de implantação bloqueados nos registros de auditoria do Cloud.
Consultar eventos de implantação bloqueados nos registros de auditoria do Cloud
Nesta seção, você verá como consultar registros de auditoria do Cloud em busca de eventos de implantação bloqueados.
Explorador de registros
Para ver eventos de implantação bloqueados no Explorador de registros de auditoria do Cloud:
Acesse a página Explorador de registros.
Insira a seguinte consulta na caixa consulta de pesquisa:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") protoPayload.response.status="Failure" (protoPayload.response.reason="VIOLATES_POLICY" OR protoPayload.response.reason="Forbidden") NOT "kube-system" NOT "istio-system"
Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de violação de política da semana passada nos registros de auditoria do Cloud usando a Google Cloud CLI, execute o comando a seguir:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
protoPayload.response.status="Failure"
(protoPayload.response.reason="VIOLATES_POLICY" OR
protoPayload.response.reason="Forbidden")
NOT "kube-system"
NOT "istio-system"'
Eventos de implantação forçada nos registros de auditoria do Cloud
A autorização binária permite substituir a política usando um rótulo de implantação forçada na Especificação de pods. Quando as imagens são implantadas com o acesso de emergência, a autorização binária registra eventos de acesso de emergência nos Registros de auditoria do Cloud. Veja na seção a seguir como consultar esses eventos.
Consultar registros de auditoria do Cloud em busca de pods com implantação forçada especificada
Explorador de registros
Para ver eventos de implantação forçada no Explorador de registros de auditoria do Cloud, faça o seguinte:
Acesse a página Explorador de registros.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") "image-policy.k8s.io/break-glass"
Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de implantação forçada da última semana nos Registros de auditoria do Cloud usando a CLI gcloud, execute o comando a seguir:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster" AND
logName:"cloudaudit.googleapis.com%2Factivity" AND
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update") AND
"image-policy.k8s.io/break-glass"'
Eventos de falha ao abrir nos registros de auditoria do Cloud
A falha ao abrir ocorre quando há tentativa de implantação de imagem de contêiner, o implementador de autorização binária está indisponível ou expira e a imagem de contêiner tem permissão para implantar.
Nesse caso, o resultado da verificação é desconhecido e uma entrada de registro é gravada.
Consultar eventos de falha ao abrir nos registros de auditoria do Cloud
Explorador de registros
Para ver eventos de falha ao abrir no Explorador de registros de auditoria do Cloud:
Acesse a página Explorador de registros.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") ("image-policy.k8s.io/failed-open" OR "imagepolicywebhook.image-policy.k8s.io/failed-open" OR "failed-open.validating.webhook.admission.k8s.io")
Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de falha ao abrir da última semana nos Registros de auditoria do Cloud usando a CLI gcloud, execute este comando:
gcloud logging read --order="desc" --freshness=7d \
'resource.type="k8s_cluster"
logName:"cloudaudit.googleapis.com%2Factivity"
(protoPayload.methodName="io.k8s.core.v1.pods.create" OR
protoPayload.methodName="io.k8s.core.v1.pods.update")
("image-policy.k8s.io/failed-open" OR
"imagepolicywebhook.image-policy.k8s.io/failed-open" OR
"failed-open.validating.webhook.admission.k8s.io")'
Eventos de teste nos registros de auditoria do Cloud
O modo de teste é um modo de aplicação em uma política que permite a implantação de imagens não representativas, mas grava detalhes sobre a implantação no registro de auditoria. O modo de teste permite testar uma política no ambiente de produção antes que ela entre em vigor.
Quando uma imagem de contêiner não passa nas verificações necessárias em uma política, mas pode
ser implantada pelo modo de teste, os registros de auditoria do Cloud contêm
imagepolicywebhook.image-policy.k8s.io/dry-run: "true"
.
Consultar os registros de auditoria do Cloud em busca de eventos de teste
Explorador de registros
Para ver eventos de teste no Explorador de registros de auditoria do Cloud:
Acesse a página Explorador de registros.
Digite o seguinte na caixa consulta de pesquisa:
resource.type="k8s_cluster" logName:"cloudaudit.googleapis.com%2Factivity" (protoPayload.methodName="io.k8s.core.v1.pods.create" OR protoPayload.methodName="io.k8s.core.v1.pods.update") labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"
Selecione o intervalo de tempo no seletor de intervalo de tempo.
gcloud
Para ver eventos de implantação de teste da última semana nos Registros de auditoria do Cloud usando a CLI gcloud, execute este comando:
gcloud logging read --order="desc" --freshness=7d \
'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'