Konfigurasi alert audit untuk operasi pada resource ASM - Alibaba Cloud Service Mesh

Untuk mengaudit dan memantau operasi resource dalam service mesh, aktifkan mesh audit dan konfigurasikan peringatan di Simple Log Service (SLS). Fitur ini memungkinkan pemberitahuan audit atas perubahan pada resource ASM, seperti VirtualServices dan DestinationRules. Ketika resource penting diubah, notifikasi peringatan segera dikirim ke kontak peringatan guna memastikan keamanan dan kepatuhan service mesh. Topik ini menjelaskan cara mengonfigurasi peringatan audit untuk operasi resource dalam service mesh serta menunjukkan cara mengirim notifikasi pesan teks ke kontak peringatan ketika layanan virtual dihapus.

Prasyarat

Anda telah mengaktifkan Simple Log Service (SLS). Untuk informasi lebih lanjut mengenai penagihan SLS, lihat Ikhtisar penagihan.
Instans ASM telah dibuat.

Langkah 1: Aktifkan mesh audit

Setelah Anda mengaktifkan mesh audit, log operasi KubeAPI untuk instans ASM dikumpulkan di SLS. Log tersebut berfungsi sebagai sumber data untuk konfigurasi peringatan selanjutnya.

Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.
Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih Mesh Security Center > KubeAPI Operation Audit.
Pada halaman KubeAPI Operation Audit, pilih Enable Mesh Audit dan klik OK.

Gambar berikut menunjukkan bahwa mesh audit telah diaktifkan.

Langkah 2: Tambahkan penerima peringatan

Dalam contoh ini, peringatan dikirim ke grup pengguna bawaan Service Mesh di SLS. Anda harus menambahkan akun yang dapat menerima notifikasi ke grup pengguna ini.

Pastikan akun pengguna Resource Access Management (RAM) uji coba memiliki nomor telepon seluler yang dapat menerima pesan teks. Untuk informasi lebih lanjut, lihat Buat pengguna.
Tambahkan pengguna RAM uji coba ke grup pengguna.
1. Masuk ke Konsol Simple Log Service.
2. Di area Project List, klik nama proyek target. Di panel navigasi kiri, klik Alerts.
  - Jika Anda membuat proyek baru alih-alih menggunakan proyek yang sudah ada saat membuat mesh atau mengaktifkan fitur audit, nama proyek berformat mesh-log-<Mesh ID>.
  - Jika Anda menggunakan kembali proyek yang sudah ada, klik nama proyek tersebut.
3. Pada halaman Alert Center, klik Notification Recipient > User Group Management.
4. Pada tab User Group Management, temukan SLS Service Mesh Built-in User Group dan klik Modify di kolom Actions.
  
  Identifier untuk SLS Service Mesh Built-in User Group adalah sls.app.asm.builtin.
5. Pada kotak dialog Modify User Group, tambahkan pengguna RAM uji coba dan klik OK.

Langkah 3: Konfigurasikan peringatan audit

Konfigurasikan peringatan untuk mengirim notifikasi pesan teks ketika resource layanan virtual dihapus.

Masuk ke Konsol Simple Log Service.
Di area Project List, klik nama proyek target. Di panel navigasi kiri, klik Alerts.
Pada halaman Alert Center, klik tab Alert Rules, lalu klik Create Alert.

Pada panel Create Alert, konfigurasikan parameter dan klik OK.

Tabel berikut menjelaskan beberapa parameter. Untuk informasi lengkap mengenai semua parameter, lihat Buat aturan pemantauan peringatan.

Parameter	Deskripsi
Rule Name	Atur ke Delete Virtual Service.
Check Frequency	Atur ke 1 minute agar hasil verifikasi cepat diperoleh dalam contoh ini.
Query and Analyze	Klik Add. Pada tab Advanced Configuration di kotak dialog Query and Analyze, pilih Logstore yang dimulai dengan audit. Atur Query Time Range ke nilai yang sama dengan Check Frequency, yaitu 1 minute (relative), untuk menghindari alarm berulang atau false negative. Pada kotak teks Query, masukkan `(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: virtualservices and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )`. Klik Preview untuk mengonfirmasi kueri, lalu klik OK.
Trigger Condition	Atur agar memicu peringatan dengan tingkat keparahan High ketika data ditemukan.
Add Annotation	Anda dapat mengubah title dan desc sesuai kebutuhan untuk mengonfigurasi judul dan isi peringatan. Untuk informasi lebih lanjut, lihat Variabel templat konten (Baru).
Outputs	Pilih SLS Notification dan aktifkan sakelar Enable. Untuk Action Policy, pilih SLS Service Mesh Built-in Action Policy (sls.app.asm.builtin).

告警规则.png

Langkah 4: Verifikasi peringatan audit

Hapus resource layanan virtual untuk memverifikasi peringatan audit yang telah Anda konfigurasikan di Langkah 3.

Buat dan hapus layanan virtual.
1. Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.
2. Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih Traffic Management Center > VirtualService. Pada halaman yang muncul, klik Create from YAML.
3. Pada halaman Create, atur Namespace ke default dan Scenario Template ke Basic HTTP Routing. Lalu, klik Create.
4. Pada halaman Virtual Services, temukan layanan virtual reviews-route yang baru dibuat dan klik Delete di kolom Actions. Pada kotak dialog Confirm, klik OK.
Periksa apakah peringatan audit berhasil.
1. Masuk ke Konsol Simple Log Service.
2. Di area Project List, klik nama proyek target. Di panel navigasi kiri, klik Dashboard > Dashboard List.
3. Pada daftar Dashboard, klik Alert History Statistics untuk melihat catatan eksekusi setiap peringatan dan memeriksa apakah peringatan dipicu.
  
  Penghapusan layanan virtual pada langkah sebelumnya memicu peringatan di area Alert History.
4. Di panel navigasi kiri, klik Log Storage. Temukan dan klik Logstore internal-alert-history, lalu klik Search & Analysis di sisi kanan halaman.
  
  Anda dapat melihat log peringatan dengan AlertDisplayName bernilai Delete Virtual Service. Bidang Fired untuk log ini bernilai true.
5. Periksa apakah nomor telepon seluler yang terhubung ke akun uji coba menerima notifikasi peringatan berupa pesan teks.

Informasi Terkait

Detail kebijakan tindakan bawaan Service Mesh di SLS

Tingkat Keparahan Peringatan	Tindakan
Critical	Voice call
High	Text message notification
Other	Email notification

Referensi kueri kondisi peringatan umum

Buat, perbarui, atau hapus gerbang ASM (IstioGateway)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: istiogateways and objectRef.apiGroup: "istio.alibabacloud.com" and ( verb: create or verb: delete or verb: update )

Hapus aturan gateway (Gateway)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: gateways and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )

Hapus sertifikat (ASMCredential)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: asmcredentials and objectRef.apiGroup: "istio.alibabacloud.com" and ( verb: delete )

Hapus layanan virtual (VirtualService)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: virtualservices and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )

Hapus aturan tujuan (DestinationRule)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: destinationrules and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )

Menghapus Telemetri Observabilitas

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: telemetries and objectRef.apiGroup: "telemetry.istio.io" and ( verb: delete )

Hapus kebijakan otorisasi (AuthorizationPolicies)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: authorizationpolicies and objectRef.apiGroup: "security.istio.io" and ( verb: delete )

Hapus filter Envoy (EnvoyFilter)

(responseStatus.code: 200 or responseStatus.code: 201) and objectRef.resource: envoyfilters and objectRef.apiGroup: "networking.istio.io" and ( verb: delete )

Referensi

Untuk memberikan izin read-only atau management kepada pengguna RAM untuk peringatan Simple Log Service, lihat Berikan izin kepada pengguna RAM untuk mengelola peringatan.
Anda dapat mengonfigurasi workload identity, peer authentication, request authentication, dan kebijakan otorisasi dalam mesh untuk mengelola resource mesh secara lebih granular dan meningkatkan keamanan mesh. Untuk informasi lebih lanjut, lihat Ikhtisar keamanan zero trust.