Überwachung der AWS EKS Audit-Protokolle mit Falco

Hintergrund

AWS hat kürzlich die Möglichkeit angekündigt, Control-Plane-Protokolle von seinem verwalteten Kubernetes-Service (EKS) an CloudWatch zu senden. Zu diesen Protokollen gehören auch die API-Server-Audit-Ereignisse, die einen wichtigen Sicherheitsnachweis für die Interaktionen mit Ihrem EKS-Cluster liefernSysdig Falco ist ein Open-Source-CNCF-Projekt, das speziell für die Überwachung des Verhaltens von Containern und Anwendungen entwickelt wurde. Neben der Überwachung des Laufzeitverhaltens von Containern kann es auch die Kubernetes-Audit-Ereignisse auf der Grundlage einer vordefinierten Reihe von Regeln auf nicht konforme Interaktionen untersuchen.Wäre es nicht schön, wenn Sie Ihre EKS-Audit-Ereignisse mit Falco automatisch überwachen könnten? In diesem Blog-Beitrag zeigen wir Ihnen, wie Sie das machen können.

Lösung

Es gibt keine Möglichkeit für Falco, die EKS-Audit-Ereignisse direkt zu prüfen, da sie an CloudWatch gesendet werden. Normalerweise würden Sie den API-Server so konfigurieren, dass er die Audit-Ereignisse direkt an Falco sendet, aber da wir einen verwalteten Kubernetes-Dienst verwenden, gibt es keine Möglichkeit, dies zu konfigurieren. Stattdessen benötigen wir eine Möglichkeit, die CloudWatch-Protokolle über eine alternative Methode an Falco zu übermitteln. Die Lösung besteht aus zwei Teilen:

1. Übertragen Sie die CloudWatch-Protokolle in einen S3-Bucket, indem Sie ein standardmäßiges Cloud-natives AWS-Muster verwenden.
2. Laden Sie die Protokolle herunter und übertragen Sie die Audit-Ereignisse an Falco, um die Konformität mit einer benutzerdefinierten Falco-EKS-Bridge-Komponente zu überprüfen.

Schematisch sieht das so aus:

EKS sendet die Audit-Ereignisse an CloudWatch. Von dort müssen wir sie in einen S3-Bucket übertragen, damit wir sie mit Falco herunterladen und verarbeiten können. Wir können dies auf die Cloud-native Weise mit AWS Kinesis Firehose tun. AWS hat eine schöne Anleitung für die Konfiguration dieses Systems bereitgestellt. Anstatt jedoch in die Konsole zu klicken oder einzelne CLI-Befehle auszuführen, werden Sie dafür ein richtiges Infrastructure-as-Code-Tool wie Terraform oder CloudFormation verwenden, richtig? In diesem Repository finden Sie ein funktionierendes Beispiel mit Terraform-Code. Bitte nehmen Sie sich etwas Zeit für die Einrichtung, wir warten, bis Sie fertig sind...Okay, jetzt, wo Ihre Audit-Protokolle schön in Ihren S3-Bucket fließen, ist es an der Zeit, sie mit Falco auf nicht konforme Interaktionen zu untersuchen. Da es hierfür keine Standardmethode gibt, haben wir ein spezielles Tool entwickelt: falco-eks-audit-bridge.Es ist ein Go-basiertes Tool, das als Dienst in Ihrem EKS-Cluster ausgeführt werden sollte. Es überwacht Ihren S3-Bucket kontinuierlich auf neue Audit-Ereignisse und überträgt diese zur Überprüfung an Falco. Bitte lesen Sie die Anweisungen im Repository, um zu erfahren, wie Sie die Falco-EKS-Bridge konfigurieren und einsetzen.Wir hoffen, dass dieser Blog und unsere benutzerdefinierte Falco-EKS-Bridge-Anwendung Ihnen genug Informationen liefern, um sofort mit der Überwachung Ihrer Kubernetes-Audit-Ereignisse zu beginnen. Mögen alle Ihre EKS-Cluster für immer konform sein!