Open 2019.11.13
CloudNative Days Tokyo 2019 / OpenStack Days Tokyo 2019 Room H #2
Kubernetesにauditログを求めるのは間違っているだろうか
- CloudNative Days
- 未設定
■ 動画紹介
本動画は、Kubernetesにauditログを求めるのは間違っているだろうか と題して、長谷川 誠 (Makoto Hasegawa)さん(@makocchi サイバーエージェント)が登壇します。
【登壇概要】
みなさん Kubernetes のログは見ていますか?アプリケーション (Pod) のログはほとんどの方が見ていると思います。
でも API サーバーのログまで見ている人は少ないのではないでしょうか。実は Kubernetes の API サーバーは audit(監査)のログを記録する機能があります。
これにより「いつ」「だれが」「どの操作をしたのか」「その操作の結果」を把握することができ、Falco 等でモニタリングの対象にしておけば例えば
API サーバーに対して不正なアクセスがあった場合に検知することができるようになります。また、このログを利用して RBAC のルールを作成するための手がかりにすることもできます。
audit ログはポリシーを定義することによってその出力内容を柔軟に調整することができますし、最近では Kubernetes 1.13 から alpha 機能として設定を動的に変更できる機能が実装されました。
本セッションでは API サーバーの audit ログを有効にする方法や Falco との連携の仕方を紹介し、実際のログを眺めながら audit ログを解析していく手順を紹介します。"