它将传递一个审核策略,该策略从所有注册的API组中收集日志并将其直接流入CloudWatch。如果愿意,可以从CloudWatch将数据导出到其他第三方软件。
您可以查看Kubernetes审核查找类型的列表,EKS对GuardDuty的保护可为您的群集中的威胁检测提供这些类型 这里。如果触发了其中一种类型,您将在GuardDuty仪表板中看到一个发现,其中包含有关导致该问题的更多信息。
由 久保 可以登录 审计事件 可用于安全监视的类型。这意味着可以记录对核心Kubernetes API或通过聚合层设置的扩展API的任何调用。
记录事件的标准基于启动时提供给服务器的审核策略。在诸如EKS之类的托管服务中,您无法自定义服务器,但是为EKS生成的审核策略文件会提取所有注册的API组并将其记录在 元数据 水平。有关Kubernetes审核的更多信息,请参阅此 文件。
配置集群审核日志将取决于您的Kubernetes发行版。例如,使用k3d部署时,请使用以下标志启动 久保 带有日志审核后端:
有两种后端类型 库伯审核: 日志 和 网络钩。The 日志 后端在本地记 牙买加电话号码列表 录所有审核事件,并且是短暂的,而 网络钩 后端允许您将数据发送到外部服务器。为每种类型的灵活配置提供了额外的选项,但必须作为标志传递给 久保 在启动时,您可能无法访问某些内容,具体取决于集群的部署位置。
The 库伯审核 可扩展,这意味着如果新的后端实现后端接口,则可以编写它们,并将其传递给扩展的API服务器,以添加有关审计数据发送位置的功能。
审核事件类型以四个不同级别记录: 无,元数据,请求,和 请求响应。所有这些都为已记录的事件对象添加了更多信息,最终达到了在RequestResponse级别中记录的完整请求和响应主体。根据审核策略的开放程度,每个审核事件对象的大小(元数据 vs。请求响应)和后端类型。
元数据 在威胁检测和可伸缩性的信息之间提供最佳平衡,并举例说明 K10密码 显示的对象:
无论这些自定义资源如何交互,交互都通过 久保。此流程根据审核策略中列出的标准和传递给 久保,例如要使用的后端类型, 日志 或 网络钩,以及每个选项的可配置选项。
这意味着与Kasten K10的所有外部交互 本地 利用Kubernetes审核,任何将其用作数据源的安全监视系统都可以用于监视Kasten K10的安全性。
Kasten K10中与自定义资源无关的活动将不会被记录。库伯审核,因为这些从未被 久保 因此与核心Kubernetes API或通过聚合层的扩展API无关。
由于这将是聚合API创建的自定义资源,因此所有活动都将流经 久保 因此,将根据审核政策创建审核事件。为了获得有关每个内部事件的更具体的信息,审核事件级别应为 要求 或 请求响应。这意味着诸如EKS之类的托管服务将不会记录此信息,并且需要在提供此功能的Kasten K10中构建扩展的后端。
看 如何部署Amazon GuardDuty 与Veeam的K10的Kasten一起在此技术操作指南中监视集群的姿势。
结论
数据保护和管理是Veeam的Kasten K10的核心,其生成的体系结构使其成为本机集成到GuardDuty中的云本机应用程序。为此,它利用了通过请求时生成的Kubernetes审核日志 久保;这些请求是在通过CRD和汇总API创建的K10自定义资源上提出的。
开箱即用的Kasten K10 ’架构使客户只需单击几下即可利用GuardDuty进行保护。立即免费试用Kasten K10!
- Board index
- All times are UTC
- Delete cookies
- Contact us