Использование kubectl
Я может выполнять произвольные команды Kubernetes' на любом модуле, такие как kubectl exec pod-id-here -c container-id -- malicious_command --steal=creditcards
Kubernetes ведение журнала команд на Google Cloud Platform для PCI Compliance
Если что-нибудь случится, я должен был бы быть в состоянии потянуть журнал о том, кто выполнили команду и какую команду они выполнили. Это включает в себя, если они решили запустить что-то еще, просто запустив /bin/bash
, а затем крадут данные через tty.
Как я могу увидеть, какой аутентифицированный пользователь выполнил команду, а также команду, которую они выполнили?
Я видел это в своих исследованиях, но они едва получили первоначальный план вместе 9 дней назад. Я знаю несколько компаний, включая WePay, которые должны быть совместимы с PCI, и они используют Kubernetes. Могут ли предприятия, требующие полного соответствия, не использовать Kubernetes? – nathanjosiah
Если вы запустили приложение в контейнере только с двоичным кодом (например, с нуля, а не с полнофункциональной ОС, такой как debian или даже alpine linux), то единственное, что вы могли бы использовать kubectl exec в контейнере, - это то, что было уже работает. Я предполагаю, что вы можете выполнить его с помощью разных команд, но вы также можете построить двоичный файл, который не принимает флаги, чтобы это было невозможно. Я предполагаю, что я пытаюсь сказать, что ведение журнала аудита - это один способ решения требований соответствия, но это, вероятно, не единственный способ сделать это. –