Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Esta es documentación inédita para Admission Controller 1.34-dev.

¿Qué es el Audit Scanner?

La función Audit Scanner está disponible a partir de la versión SUSE Security Admission Controller 1.7.0

El componente audit-scanner comprueba constantemente los recursos en el clúster. Marca aquellos que no cumplen con las políticas Admission Controller desplegadas en el clúster.

Las políticas evolucionan con el tiempo. Hay nuevos despliegues de políticas y actualizaciones de políticas. Las versiones y configuraciones cambian. Esto puede dar lugar a situaciones en las que los recursos ya presentes en el clúster ya no son conformes. La función Audit Scanner proporciona a los administradores de Kubernetes una herramienta que verifica constantemente el estado de conformidad de sus clústeres.

Para explicar el uso del Audit Scanner en Admission Controller, considera el siguiente escenario.

Supón que Bob está desplegando un Pod de WordPress en el clúster. Bob es nuevo en Kubernetes, comete un error y despliega el Pod ejecutándose como un contenedor privilegiado. En este punto, no hay ninguna política que lo impida, por lo que el Pod se crea con éxito en el clúster.

Unos días después, Alice, la administradora de Kubernetes, aplica una política Admission Controller que prohíbe la creación de contenedores privilegiados. El Pod desplegado por Bob sigue ejecutándose en el clúster ya que ya existe.

Un informe generado por el Audit Scanner permite a Alice identificar todas las cargas de trabajo que están violando las políticas de creación. Esto incluye el Pod de WordPress creado por Bob.

El Audit Scanner opera de la siguiente manera:

  • identificando todos los recursos a auditar

  • para cada recurso, construye una solicitud de admisión sintética con los datos del recurso

  • envía cada solicitud de admisión a un punto final del servidor de políticas que es solo para solicitudes de auditoría

Para la política que evalúa la solicitud, no hay diferencias entre las solicitudes reales o de auditoría. Este punto final del servidor de políticas de auditoría tiene instrumentación para recopilar datos sobre la evaluación. Así, los usuarios pueden utilizar sus herramientas de monitoreo para analizar los datos del Audit Scanner.

Habilitar Audit Scanner

Puedes habilitar el Audit Scanner a partir de la versión Admission Controller 1.7.0.

Las instrucciones de instalación detalladas están en el instrucciones del Audit Scanner.

Directivas

Por defecto, el Audit Scanner evalúa cada directiva. Los operadores que deseen omitir una evaluación de directiva en el Audit Scanner deben establecer el campo spec.backgroundAudit en false en la definición de la directiva.

Además, las políticas en Admission Controller ahora admiten dos anotaciones opcionales:

  • La anotación io.kubewarden.policy.severity te permite especificar el nivel de gravedad de la violación de la directiva, como critical, high, medium, low o info.

  • La anotación io.kubewarden.policy.category te permite categorizar la directiva en función de un dominio o propósito específico, como PSP, compliance o performance.

Consulta la documentación de los autores de la directiva para más información.

Permisos y Cuentas de Servicio

El Audit Scanner en Admission Controller requiere configuraciones específicas de control de acceso basado en funciones (RBAC) para poder escanear recursos de Kubernetes y guardar los resultados. La instalación crea una Cuenta de Servicio predeterminada correcta con esos permisos. El usuario puede crear su propia Cuenta de Servicio para configurar el acceso a los recursos.

El Audit Scanner por defecto ServiceAccount se vincula al view ClusterRole proporcionado por Kubernetes. Este ClusterRole permite el acceso de solo lectura a una amplia gama de recursos de Kubernetes dentro de un espacio de nombres. Puedes encontrar más detalles sobre este rol en la documentación de Kubernetes.

El Audit Scanner se vincula a un ClusterRole que otorga acceso de lectura a Admission Controller tipos de recursos y acceso de lectura-escritura a los PolicyReport CRDs. Estos permisos permiten al Audit Scanner obtener recursos para realizar evaluaciones de auditoría y crear informes de directivas basados en los resultados de la evaluación.