使用叢集的API Server審計功能實現叢集安全營運 - Container Compute Service

審計（Auditing）產生於API Server內部，用於記錄對Kubernetes API的請求以及請求結果。ACS叢集提供API Server的審計日誌，協助叢集管理員排查“什麼人在什麼時間對什麼資源做了什麼操作”，可用於追溯叢集操作歷史、排查叢集故障等，降低叢集安全營運壓力。

步驟一：啟用叢集API Server審計功能

建立ACS叢集時會預設選中使用Log Service，開啟叢集API Server審計功能。若未開通，請參見下方步驟開通。

登入容器計算服務控制台，在左側導覽列選擇叢集列表。
在集群列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇安全管理 > 審計。

若未開通叢集日誌或叢集審計功能，請按照頁面提示手動選擇SLS Project並開啟功能。

重要

請確保帳號下Log Service資源沒有超出配額，否則會導致叢集審計功能開啟失敗。

可建立的日誌Project數量配額。
單個日誌Project內可建立的日誌庫數量配額。
單個日誌Project內可建立的儀錶盤數量配額。

關於SLS配額的說明和調整方式，請參見調整資源配額。

步驟二：查看審計報表

重要

請勿修改審計報表。如有自訂審計報表的需求，請在Log Service管理主控台建立新的報表。

ACS叢集內建了4個審計日誌報表，包括審計中心概覽、資源操作概覽、資源操作詳細列表以及Kubernetes CVE安全風險。可在叢集審計頁面選擇審計事件的篩選維度（例如命名空間、RAM使用者等），並通過報表擷取以下內容。

也可在擷取結果後，單擊目的地區域右上方的表徵圖，進行更多操作，例如查看指定地區全屏圖、預覽置頂地區對應的查詢語句等。

審計中心概覽

審計中心概覽展示ACS叢集中的事件整體概覽以及重要事件（例如RAM使用者操作、公網訪問、命令執行、刪除資源、訪問保密字典、Kubernetes CVE安全風險等）的詳細資料。

資源操作概覽

資源操作概覽展示ACS叢集中常見的計算資源、網路資源以及儲存資源的操作統計資訊。操作包括建立、更新、刪除、訪問。其中：

計算資源：Deployment、StatefulSet、Job、CronJob、Pod、DaemonSet等。
網路資源：Service、Ingress。
儲存資源：ConfigMap、Secret、PersistentVolumeClaim。
存取控制資源：Role、ClusterRole、RoleBinding、ClusterRoleBinding。

資源操作詳細列表

該報表用於展示ACS叢集中某類資源的詳細巨集指令清單。需選擇或輸入指定的資源類型進行即時查詢。該報表會顯示：資源操作各類事件的總數、Namespace分布、成功率、時序趨勢以及詳細巨集指令清單等。

說明

若需查看Kubernetes中註冊的CRD（CustomResourceDefinition）資源或列表中沒有列舉的其他資源，可以手動輸入資源名的複數形式。例如CRD資源為AliyunLogConfig，則輸入AliyunLogConfigs。

Kubernetes CVE安全風險

該報表用於展示當前叢集中可能包含的Kubernetes CVE安全風險，可選擇或輸入子帳號ID（即RAM使用者帳號）進行即時查詢。該報表會顯示當前帳號下的Kubernetes CVE安全風險。關於CVE詳情和解決方案，請參見【CVE安全】漏洞修複公告。

（可選）步驟三：查看詳細日誌記錄

如有自訂查詢、分析審計日誌的需求，可以進入Log Service管理主控台查看詳細的日誌記錄。

說明

ACS叢集的API Server審計日誌在Log Service中對應的日誌庫資料預設儲存時間為30天。如需修改日誌的預設儲存時間，請參見管理Logstore。

登入容器計算服務控制台，在左側導覽列選擇叢集列表。
在集群列表頁面，單擊目的地組群名稱，然後在左側導覽列，選擇集群信息。
單擊基本資料頁簽，找到叢集資源區塊，單擊日志服务 Project對應的Project ID，然後在Project列表地區，單擊名為audit-${clusterid}的日誌庫（Logstore）。
在叢集建立過程中，指定的日誌Project中會自動添加一個名為audit-${clusterid}的日誌庫。
重要
審計日誌的Logstore預設已經配置好索引。請勿修改索引，以免報表失效。
在輸入框中輸入查詢和分析語句，並配置查詢分析的時間範圍，例如最近15分鐘，然後單擊查詢/分析，查看查詢分析結果。
常見的審計記錄搜尋方式如下：
- 查詢某一RAM使用者的操作記錄：輸入RAM使用者ID，單擊查詢/分析。
- 查詢某一資源的操作：輸入集群計算、網路、儲存、存取控制資源的名稱，單擊查詢/分析。
- 過濾掉系統組件的操作，輸入NOT user.username: node NOT user.username: serviceaccount NOT user.username: apiserver NOT user.username: kube-scheduler NOT user.username: kube-controller-manager，然後單擊查詢/分析。
更多查詢、統計方式，請參見Log Service查詢分析方法。

（可選）步驟四：配置警示

若需對某些資源的操作進行即時警示，可以通過Log Service的警示功能實現。警示方式支援DingTalk機器人、自訂Webhook和通知中樞。更多資訊，請參見快速設定日誌警示。

樣本1：對容器執行命令時警示

某公司對於Kubernetes叢集使用有嚴格限制，不允許使用者登入容器或對容器執行命令。如果有使用者執行命令時，警示需要立即被發送，並在警示資訊中包含使用者登入的具體容器、執行的命令、操作人、事件ID、時間、操作源IP等資訊。

查詢語句為：

verb : create and objectRef.subresource:exec and stage:  ResponseStarted | SELECT auditID as "事件ID", date_format(from_unixtime(__time__), '%Y-%m-%d %T' ) as "操作時間",  regexp_extract("requestURI", '([^\?]*)/exec\?.*', 1)as "資源",  regexp_extract("requestURI", '\?(.*)', 1)as "命令" ,"responseStatus.code" as "狀態代碼",
 CASE 
 WHEN "user.username" != 'kubernetes-admin' then "user.username"
 WHEN "user.username" = 'kubernetes-admin' and regexp_like("annotations.authorization.k8s.io/reason", 'RoleBinding') then regexp_extract("annotations.authorization.k8s.io/reason", ' to User "(\w+)"', 1)
 ELSE 'kubernetes-admin' END  
 as "操作帳號", 
CASE WHEN json_array_length(sourceIPs) = 1 then json_format(json_array_get(sourceIPs, 0)) ELSE  sourceIPs END
as "源地址" order by "操作時間" desc  limit 10000

條件運算式為：操作事件 =~ ".*"。

樣本2：API Server公網訪問失敗警示

某叢集開啟了公網訪問，為防止惡意攻擊，需要監控公網訪問的次數以及失敗率。當訪問次數達到一定閾值（10次）且失敗率高於一定閾值（50%）時，警示需要立即被發送，並在警示資訊中包含使用者的IP所屬地區、操作源IP、是否高危IP等資訊。

查詢語句為：

* | select ip as "源地址", total as "訪問次數", round(rate * 100, 2) as "失敗率%", failCount as "非法訪問次數", CASE when security_check_ip(ip) = 1 then 'yes' else 'no' end  as "是否高危IP",  ip_to_country(ip) as "國家", ip_to_province(ip) as "省", ip_to_city(ip) as "市", ip_to_provider(ip) as "電訊廠商" from (select CASE WHEN json_array_length(sourceIPs) = 1 then json_format(json_array_get(sourceIPs, 0)) ELSE  sourceIPs END
as ip, count(1) as total,
sum(CASE WHEN "responseStatus.code" < 400 then 0 
ELSE 1 END) * 1.0 / count(1) as rate,
count_if("responseStatus.code" = 403) as failCount
from log  group by ip limit 10000) where ip_to_domain(ip) != 'intranet' and ip not LIKE '%,%' and not try(is_subnet_of('<您的子網ip地址>')) ORDER by "訪問次數" desc limit 10000

條件運算式為：源地址 =~ ".*"。

參考資訊：ACS叢集API Server審計配置介紹

建立ACS叢集配置叢集組件時，控制台會預設選中使用Log Service，開啟API Server審計功能，按審計策略採集事件數目據，並將事件數目據寫入到後端。

審計策略

審計策略定義了審計功能的配置和請求的採集規則。不同審計層級（Audit Level）的事件記錄採集規則不同。Audit Level包括以下幾種。

Audit Level	日誌採集規則
None	符合規則的事件不予採集。
Metadata	採集請求的Metadata，例如使用者資訊、時間戳記等，但不採集請求體或返回體。
Request	採集請求的Metadata和請求體，但不採集返回體。不適用於非資源請求（Non-Resource Request）。
RequestResponse	採集請求的Metadata、請求體和返回體。不適用於非資源請求（Non-Resource Request）。

可使用--audit-policy-file命令列標誌（flag）將以下YAML樣本檔案儲存為API Server的啟動參數。審計日誌配置策略檔案的YAML樣本如下。

展開查看YAML樣本檔案

apiVersion: audit.k8s.io/v1 # 必填。v1.24及以上叢集為audit.k8s.io/v1，v1.24以下叢集為audit.k8s.io/v1beta1
kind: Policy
# RequestReceived階段（Stage）的請求無鬚生成審計事件。
omitStages:
  - "RequestReceived"
rules:
  # 以下類型的請求十分頻繁且潛在風險較低，建議設定為None，不做審計。
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
      - group: "" # core
        resources: ["endpoints", "services"]
  - level: None
    users: ["system:unsecured"]
    namespaces: ["kube-system"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["configmaps"]
  - level: None
    users: ["kubelet"] # legacy kubelet identity
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["nodes"]
  - level: None
    userGroups: ["system:nodes"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["nodes"]
  - level: None
    users:
      - system:kube-controller-manager
      - system:kube-scheduler
      - system:serviceaccount:kube-system:endpoint-controller
    verbs: ["get", "update"]
    namespaces: ["kube-system"]
    resources:
      - group: "" # core
        resources: ["endpoints"]
  - level: None
    users: ["system:apiserver"]
    verbs: ["get"]
    resources:
      - group: "" # core
        resources: ["namespaces"]
  # 對唯讀URL，例如/healthz*，/version*及/swagger*，設定為None，不做審計。
  - level: None
    nonResourceURLs:
      - /healthz*
      - /version
      - /swagger*
  # Event事件設定為None，不做審計。
  - level: None
    resources: 
      - group: "" # core
        resources: ["events"]
  # 對於可能包含敏感資訊或二進位檔案的Secrets，ConfigMaps，TokenReview介面，設定為Metadata。
  - level: Metadata
    resources:
      - group: "" # core
        resources: ["secrets", "configmaps"]
      - group: authentication.k8s.io
        resources: ["tokenreviews"]
  # 請求可能會返回大量資料，設定為Request，不採集返回體。
  - level: Request
    verbs: ["get", "list", "watch"]
    resources:
      - group: "" # core
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "extensions"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "settings.k8s.io"
      - group: "storage.k8s.io"
  # 已知的Kubernetes API預設設定為RequestResponse，返回請求體和響應體。
  - level: RequestResponse
    resources:
      - group: "" # core
      - group: "admissionregistration.k8s.io"
      - group: "apps"
      - group: "authentication.k8s.io"
      - group: "authorization.k8s.io"
      - group: "autoscaling"
      - group: "batch"
      - group: "certificates.k8s.io"
      - group: "extensions"
      - group: "networking.k8s.io"
      - group: "policy"
      - group: "rbac.authorization.k8s.io"
      - group: "settings.k8s.io"
      - group: "storage.k8s.io"
  # 其餘請求都預設設定為Metadata。
  - level: Metadata

說明

在收到請求後，日誌不立即開始記錄，等待返回體Header發送後才開始記錄。

對於大量冗餘的kube-proxy watch請求、kubelet和system:nodes對節點的Get請求、kube組件在kube-system下對於endpoint的操作、以及API Server對Namespaces的Get請求等，系統不進行審計。

對於authentication、rbac、certificates、autoscaling、storage等敏感介面，系統根據讀寫記錄相應的請求體和返回體。

審計後端

審計事件採集後，會被儲存到Log後端記錄檔系統，記錄檔為標準的JSON格式。

Container Compute Service：使用叢集的API Server審計功能實現叢集安全營運