Skip to content

Kiểm tra Kubernetes bằng SIEM và XDR mã nguồn mở

Công nghệ container đã thu hút được sự chú ý của các doanh nghiệp do hiệu quả tăng lên mà nó mang lại. Về vấn đề này, các tổ chức sử dụng rộng rãi Kubernetes để triển khai, mở rộng quy mô và quản lý các ứng dụng được đóng gói. Các tổ chức nên kiểm tra Kubernetes để đảm bảo tuân thủ các quy định, tìm điểm bất thường và xác định rủi ro bảo mật. Nền tảng nguồn mở Wazuh đóng một vai trò quan trọng trong việc giám sát Kubernetes và các thành phần khác trong cơ sở hạ tầng của tổ chức.

Kubernetes là gì?

Kubernetes là một giải pháp quản lý vùng chứa nguồn mở tự động hóa việc triển khai và mở rộng quy mô vùng chứa, đồng thời quản lý vòng đời của vùng chứa. Nó tổ chức các thùng chứa thành các đơn vị hợp lý để quản lý và khám phá đơn giản. Kubernetes mở rộng cách chúng tôi mở rộng quy mô các ứng dụng được đóng gói để chúng tôi có thể sử dụng cơ sở hạ tầng thực sự bền bỉ.

Bạn có thể xây dựng các ứng dụng dựa trên đám mây dựa trên vi dịch vụ với Kubernetes. Những người đam mê xem Kubernetes là nền tảng của hiện đại hóa ứng dụng. Nó cho phép chứa các ứng dụng hiện tại, cho phép các nhà phát triển tạo các ứng dụng một cách nhanh chóng.

Sự phức tạp của các chương trình đang chạy tăng lên khi chúng trải rộng trên một số máy chủ và vùng chứa. Để xử lý sự phức tạp này, Kubernetes cung cấp API mã nguồn mở quản lý vị trí và cách thức các vùng chứa đó sẽ thực thi. Kubernetes kết hợp cân bằng tải, kiểm soát khám phá dịch vụ, theo dõi phân bổ tài nguyên và chia tỷ lệ dựa trên việc sử dụng điện toán. Ngoài ra, nó đánh giá tình trạng của từng tài nguyên và cung cấp cho các chương trình khả năng tự khắc phục bằng cách sao chép các vùng chứa hoặc tự động khởi động lại chúng.

Kiểm tra Kubernetes

Có một số chính sách mà các tổ chức nên tuân thủ, tùy thuộc vào khu vực pháp lý và lĩnh vực mà họ hoạt động. Một số chính sách này tăng cường khả năng phục hồi không gian mạng của cơ sở hạ tầng CNTT, chẳng hạn như PCI DSS và GDPR. Cụm Kubernetes là một phần của cơ sở hạ tầng CNTT và các tổ chức phải đảm bảo rằng họ tuân thủ các chính sách và phương pháp bảo mật tốt nhất nếu có.

Một trong những yêu cầu xuất hiện trong hầu hết các tài liệu chính sách CNTT là chính sách lưu giữ nhật ký. Chính sách lưu giữ nhật ký cho biết bạn nên lưu trữ nhật ký trong bao lâu. Bạn có thể sử dụng các nhật ký này để xác định các mối đe dọa trong quá trình giám sát tích cực và điều tra sự cố.

Quản trị viên tương tác với cụm Kubernetes thông qua API Kubernetes và cụm có thể ghi nhật ký tất cả các yêu cầu và phản hồi API. Bạn có thể phát hiện lệnh gọi API bất thường hoặc không mong muốn từ nhật ký kiểm tra Kubernetes. Chi tiết hơn, bạn có thể nhận thông báo về các sự kiện như lỗi xác thực, tạo vùng chứa, sửa đổi và xóa. Tính năng ghi nhật ký kiểm toán Kubernetes bị tắt theo mặc định. Do đó, bạn cần thực hiện một số bước cần thiết để bật nó lên.

Sử dụng Wazuh để theo dõi và lưu trữ nhật ký kiểm toán Kubernetes

Bạn cần theo dõi nhật ký kiểm tra để phát hiện các mối đe dọa và bất thường về bảo mật. Ngoài ra, bạn cần lập chỉ mục nhật ký để tìm kiếm thông tin liên quan trong quá trình điều tra sự cố. Wazuh theo dõi, lưu trữ và lập chỉ mục nhật ký kiểm tra Kubernetes. Wazuh là một nền tảng XDR và ​​SIEM hợp nhất mã nguồn mở. Nó miễn phí về mặt thương mại và có hơn 10 triệu lượt tải xuống hàng năm.

Nhóm phát triển Wazuh có hướng dẫn chi tiết về kiểm tra Kubernetes với Wazuh. Hướng dẫn chi tiết các bước về cách thực hiện như sau:

Định cấu hình máy chủ Wazuh để nhận và xử lý nhật ký kiểm toán Kubernetes.

Bật nhật ký kiểm tra trên cụm Kubernetes và chuyển tiếp chúng đến máy chủ Wazuh.

Bạn có thể tạo quy tắc tùy chỉnh để kích hoạt cảnh báo khi Wazuh phát hiện các sự kiện cụ thể trong nhật ký kiểm tra Kubernetes. Ví dụ: bạn có thể tạo quy tắc để kích hoạt cảnh báo khi tài nguyên được tạo hoặc xóa trên cụm Kubernetes.

Hình 1: Cảnh báo được kích hoạt từ nhật ký kiểm tra Kubernetes trên bảng điều khiển Wazuh

Bạn có thể định cấu hình Wazuh để hiển thị tất cả nhật ký đã lưu trữ trên bảng điều khiển. Đây là nhật ký của các sự kiện Kubernetes không kích hoạt cảnh báo.

Hình 2: Kho lưu trữ nhật ký kiểm toán Kubernetes trên bảng điều khiển Wazuh

Bộ chỉ mục Wazuh là một công cụ phân tích và tìm kiếm toàn văn bản có khả năng mở rộng cao. Trình lập chỉ mục lập chỉ mục và lưu trữ nhật ký kiểm tra Kubernetes để cung cấp cho bạn khả năng phân tích và tìm kiếm dữ liệu theo thời gian thực. Bộ chỉ mục Wazuh tăng hiệu quả trong quá trình điều tra sự cố khi bạn cần truy xuất dữ liệu liên quan từ nhật ký kiểm tra.

Tóm lược

Kubernetes được sử dụng rộng rãi để triển khai, mở rộng quy mô và quản lý ứng dụng. Bạn nên duy trì nhật ký kiểm toán Kubernetes vì ​​mục đích bảo mật và tuân thủ. Nhật ký kiểm tra chứa dữ liệu có thể chỉ ra các hoạt động bất thường hoặc không mong muốn. Wazuh là một giải pháp XDR và ​​SIEM nguồn mở giám sát, lưu trữ và truy vấn nhật ký kiểm tra Kubernetes để xác định các mối đe dọa bảo mật và các điểm bất thường khác. Wazuh cũng bảo vệ các thành phần khác của cơ sở hạ tầng CNTT, bao gồm các điểm cuối và khối lượng công việc trên đám mây.

Wazuh có một cộng đồng người dùng lớn hỗ trợ lẫn nhau và giúp cải thiện sản phẩm. Bạn có thể tham gia cộng đồng Wazuh để đóng góp cho sản phẩm và yêu cầu hỗ trợ cho bất kỳ vấn đề nào bạn có thể gặp phải.

Nguồn: https://thehackernews.com/2023/02/auditing-kubernetes-with-open-source.html

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x