1

Mit Kubernetes' kubectl ich beliebige Befehle auf jedem pod ausführen kann wie kubectl exec pod-id-here -c container-id -- malicious_command --steal=creditcardsKubernetes für PCI-Konformität auf Google Cloud Platform-Befehlsprotokollierung

Sollte das jemals passieren würde ich müssen in der Lage sein, ein Protokoll zu ziehen, zu sagen, wer den Befehl ausgeführt und welchen Befehl sie ausgeführt haben. Dies schließt ein, wenn sie beschlossen, etwas anderes zu starten, indem sie einfach /bin/bash ausführen und dann Daten durch das tty stehlen.

Wie würde ich sehen, welche authentifizierten Benutzer ausgeführt, um den Befehl als auch den Befehl sie ausgeführt?

Antwort

1

Audit-Protokollierung wird derzeit nicht angeboten, aber die Kubernetes Gemeinschaft is working to get it available in the 1.4 release, die um das Ende September kommen sollte.

+0

Ich sah dies in meiner Forschung, aber sie haben kaum den ursprünglichen Plan vor 9 Tagen zusammen. Ich kenne mehrere Unternehmen, einschließlich WePay, die PCI-konform sein müssen und Kubernetes verwenden. Wären Unternehmen, die vollständige Einhaltung der Vorschriften benötigen, nicht in der Lage, Kubernetes zu verwenden? – nathanjosiah

+1

Wenn Sie Ihre Anwendung in einem Container mit nur der Binärdatei (z. B. von Grund auf neu und nicht von einem voll funktionsfähigen Betriebssystem wie debian oder alpine Linux) ausgeführt, dann das einzige, was Sie im Container kubectl exec wäre, was war läuft bereits. Ich nehme an, Sie könnten es mit verschiedenen Befehlen ausführen, aber Sie könnten auch eine Binärdatei erstellen, die keine Flags akzeptiert, so dass dies auch nicht möglich war. Ich denke, ich versuche zu sagen, dass Audit-Logging * eine Möglichkeit ist, die Compliance-Anforderungen zu erfüllen, aber es ist wahrscheinlich nicht die einzige Möglichkeit, dies zu tun. –

0

Es gibt 3rd-Party-Lösungen, die das Wirtschaftsprüfungs Problem lösen können, und wenn Sie sich für eine PCI-Compliance, wie der Titel schon sagt suchen Lösungen existieren, die helfen, das breitere Problem zu lösen, und zwar nicht nur Revision. Hier

ist ein Link zu einer solchen Lösung von Twistlock. https://info.twistlock.com/guide-to-pci-compliance-for-containers Haftungsausschluss, ich arbeite für Twistlock.