La technologie des conteneurs a gagné du terrain parmi les entreprises en raison de l’efficacité accrue qu’elle offre. À cet égard, les organisations utilisent largement Kubernetes pour déployer, mettre à l’échelle et gérer des applications conteneurisées. Les organisations doivent auditer Kubernetes pour garantir la conformité aux réglementations, détecter les anomalies et identifier les risques de sécurité. La plate-forme open source Wazuh joue un rôle essentiel dans la surveillance de Kubernetes et d’autres composants de l’infrastructure d’une organisation.
Qu’est-ce que Kubernetes ?
Kubernetes est une solution open source de gestion de conteneurs qui automatise le déploiement et la mise à l’échelle des conteneurs et gère également le cycle de vie des conteneurs. Il organise les conteneurs en unités logiques pour une gestion et une découverte simples. Kubernetes étend la façon dont nous mettons à l’échelle les applications conteneurisées afin que nous puissions utiliser une infrastructure véritablement persistante.
Vous pouvez créer des applications cloud natives basées sur des microservices avec Kubernetes. Les passionnés considèrent Kubernetes comme la pierre angulaire de la modernisation des applications. Il permet la conteneurisation des applications actuelles, permettant aux développeurs de créer rapidement des applications.
La complexité des programmes en cours d’exécution augmente lorsqu’ils se répartissent sur plusieurs serveurs et conteneurs. Pour gérer cette complexité, Kubernetes propose une API open source qui gère où et comment ces conteneurs s’exécuteront. Kubernetes intègre l’équilibrage de charge, contrôle la découverte de services, assure le suivi de l’allocation des ressources et s’adapte en fonction de l’utilisation du calcul. De plus, il évalue l’état de chaque ressource et donne aux programmes la possibilité de s’auto-réparer en répliquant les conteneurs ou en les redémarrant automatiquement.
Auditer Kubernetes
Il existe plusieurs politiques auxquelles les organisations doivent se conformer, selon la juridiction et le secteur dans lequel elles opèrent. Certaines de ces politiques améliorent la cyber-résilience de l’infrastructure informatique, par exemple, PCI DSS et GDPR. Le cluster Kubernetes fait partie de l’infrastructure informatique et les organisations doivent s’assurer qu’elles respectent les politiques et les meilleures pratiques de sécurité, le cas échéant.
L’une des exigences qui apparaissent dans la plupart des documents de politique informatique est la politique de conservation des journaux. Les politiques de conservation des journaux dictent la durée de stockage des journaux. Vous pouvez utiliser ces journaux pour identifier les menaces lors de la surveillance active et de l’enquête sur les incidents.
Les administrateurs interagissent avec le cluster Kubernetes via l’API Kubernetes, et le cluster peut enregistrer toutes les demandes et réponses de l’API. Vous pouvez détecter les appels d’API inhabituels ou indésirables à partir des journaux d’audit Kubernetes. Plus en détail, vous pouvez recevoir des alertes pour des événements tels qu’un échec d’authentification, la création, la modification et la suppression d’un conteneur. La fonctionnalité de journalisation d’audit Kubernetes est désactivée par défaut. Par conséquent, vous devez prendre certaines mesures nécessaires pour l’activer.
Utiliser Wazuh pour surveiller et archiver les journaux d’audit Kubernetes
Vous devez surveiller les journaux d’audit pour détecter les menaces de sécurité et les anomalies. De plus, vous devez indexer les journaux pour rechercher des informations pertinentes lors d’une enquête sur un incident. Wazuh surveille, stocke et indexe les journaux d’audit Kubernetes. Wazuh est une plate-forme open source unifiée XDR et SIEM. Il est gratuit dans le commerce et compte plus de 10 millions de téléchargements annuels.
L’équipe de développement Wazuh a un guide détaillé sur auditer Kubernetes avec Wazuh. Le guide détaille les étapes à suivre pour effectuer les opérations suivantes :
- Configurez le serveur Wazuh pour recevoir et traiter les journaux d’audit Kubernetes.
- Activez les journaux d’audit sur le cluster Kubernetes et transférez-les au serveur Wazuh.
Vous pouvez créer des règles personnalisées pour déclencher des alertes lorsque Wazuh détecte des événements spécifiques dans le journal d’audit Kubernetes. Par exemple, vous pouvez créer des règles pour déclencher des alertes lorsque des ressources sont créées ou supprimées sur le cluster Kubernetes.
 |
| Figure 1 : Alertes déclenchées à partir des journaux d’audit Kubernetes sur le tableau de bord Wazuh |
Vous pouvez configurer Wazuh pour afficher tous les journaux archivés sur le tableau de bord. Il s’agit des journaux des événements Kubernetes qui n’ont pas déclenché d’alerte.
 |
| Figure 2 : Archive du journal d’audit Kubernetes sur le tableau de bord Wazuh |
L’indexeur Wazuh est un moteur de recherche et d’analyse en texte intégral hautement évolutif. L’indexeur indexe et stocke les journaux d’audit Kubernetes pour vous fournir des fonctionnalités de recherche et d’analyse de données en temps réel. L’indexeur Wazuh augmente l’efficacité lors d’une enquête sur un incident lorsque vous devez récupérer des données pertinentes à partir des journaux d’audit.
Résumé
Kubernetes est largement utilisé pour déployer, mettre à l’échelle et gérer des applications. Vous devez conserver les journaux d’audit Kubernetes à des fins de sécurité et de conformité. Les journaux d’audit contiennent des données qui peuvent indiquer des activités inhabituelles ou indésirables. Wazuh est une solution XDR et SIEM open source qui surveille, archive et interroge les journaux d’audit Kubernetes pour identifier les menaces de sécurité et autres anomalies. Wazuh protège également d’autres composants d’une infrastructure informatique, y compris les terminaux et les charges de travail cloud.
Wazuh a une grande communauté d’utilisateurs qui se soutiennent et aident à améliorer le produit. Vous pouvez rejoindre le Communauté Wazuh pour contribuer au produit et demander de l’aide pour tout problème que vous pourriez rencontrer.