Установка Policy Reporter

Policy Reporter предназначен для работы с результатами срабатываний Kyverno-политик — PolicyReports. Также он поддерживает инструменты Falco, jsPolicy, Kube Bench и Trivy. Policy Reporter позволяет визуализировать результаты в графическом виде. Для долгосрочного хранения или дальнейшей загрузки в SIEM-систему результаты можно выгрузить во внешнее хранилище, например в Yandex Object Storage (S3) или Yandex Data Streams.

Перед началом работыПеред началом работы

1. Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

   По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

2. Убедитесь, что группы безопасности для кластера Managed Service for Kubernetes и его групп узлов настроены корректно. Если отсутствует какое-либо из правил — добавьте его.

   Важно

   От настройки групп безопасности зависит работоспособность и доступность кластера, а также запущенных в нем сервисов и приложений.

3. Для выгрузки результатов срабатываний политик настройте внешнее хранилище:

   • Object Storage

     1. Создайте сервисный аккаунт с ролью storage.uploader. Он необходим для доступа к Object Storage.

     2. Создайте статический ключ доступа для сервисного аккаунта в формате JSON и сохраните его в файл sa-key.json:

        yc iam access-key create \
          --service-account-name=<имя_сервисного_аккаунта> \
          --format=json > sa-key.json
        

     3. Создайте бакет с ограниченным доступом в Object Storage.

   • Data Streams

     Создайте поток данных.

Установка с помощью Yandex Cloud MarketplaceУстановка с помощью Yandex Cloud Marketplace

1. Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.
2. Нажмите на имя нужного кластера Managed Service for Kubernetes и выберите вкладку Marketplace.
3. В разделе Доступные для установки приложения выберите Policy Reporter и нажмите кнопку Перейти к установке.
4. Задайте настройки приложения:
   • Пространство имен — создайте новое пространство имен (например, policy-reporter-space). Если вы оставите пространство имен по умолчанию, Policy Reporter может работать некорректно.
   • Название приложения — укажите название приложения.
   • Идентификатор кластера — выберите кластер Managed Service for Kubernetes из списка.
   • Установить Policy Reporter UI — включите опцию, чтобы установить компонент Policy Reporter UI для отображения результатов в графическом виде.
   • Экспорт в Object Storage — включите опцию, чтобы экспортировать результаты в Object Storage. Также необходимо заполнить дополнительные поля:
     • Имя бакета Object Storage — укажите имя бакета в Object Storage.
     • Статический ключ для доступа к Object Storage — скопируйте содержимое файла sa-key.json или создайте новый ключ доступа для сервисного аккаунта. Сервисный аккаунт должен иметь роль storage.uploader.
   • Экспорт в YDS — включите опцию, чтобы экспортировать результаты в Data Streams. При этом необходимо заполнить дополнительные поля:
     • Endpoint YDS — укажите эндпоинт потока Data Streams.
     • Имя YDS стрима — укажите имя потока Data Streams.
5. Нажмите кнопку Установить.
6. Дождитесь перехода приложения в статус Deployed.

Установка с помощью Helm-чартаУстановка с помощью Helm-чарта

1. Установите менеджер пакетов Helm версии не ниже 3.8.0.

2. Установите kubectl и настройте его на работу с созданным кластером.

3. Для установки Helm-чарта с Policy Reporter выполните команду, указав в ней параметры ресурсов, созданных ранее:

   helm pull oci://cr.yandex/yc-marketplace/policy-reporter \
     --version 2.13.11 \
     --untar && \
   helm upgrade --install \
     --namespace <пространство_имен> \
     --create-namespace \
     --set clusterId=<идентификатор_кластера> \
     --set ui.enabled=<включение_Policy_Reporter_UI> \
     --set target.s3.enabled=<экспорт_в_Object_Storage> \
     --set target.s3.bucket=<имя_бакета_Object_Storage> \
     --set-file serviceaccountawskeyvalue=<путь_к_файлу_со_статическим_ключом_сервисного_аккаунта> \
     --set target.kinesis.enabled=<экспорт_в_Data_Streams> \
     --set target.kinesis.endpoint=<эндпоинт_потока_Data_Streams> \
     --set target.kinesis.streamName=<имя_потока_Data_Streams> \
     policy-reporter ./policy-reporter/
   

   Если вы укажете в параметре namespace пространство имен по умолчанию, Policy Reporter может работать некорректно. Рекомендуем указывать значение, отличное от всех существующих пространств имен (например, policy-reporter-space).

   Примечание

   Если вы используете версию Helm ниже 3.8.0, добавьте в начало команды строку export HELM_EXPERIMENTAL_OCI=1 && \, чтобы включить поддержку Open Container Initiative (OCI) в клиенте Helm.

   Параметры команды:

   • ui.enabled — включение Policy Reporter UI. Возможные значения: true или false.
   • target.s3.enabled — экспорт в Object Storage. Возможные значения: true или false.
   • target.kinesis.enabled — экспорт в Data Streams. Возможные значения: true или false.

   Параметры target.s3.bucket и serviceaccountawskeyvalue необходимы только при включенном экспорте в Object Storage target.s3.enabled=true, а target.kinesis.endpoint и target.kinesis.streamName — при включенном экспорте в Data Streams target.kinesis.enabled=true.

Проверка работы приложенияПроверка работы приложения

1. Настройте в кластере Managed Service for Kubernetes приложение Kyverno & Kyverno Policies и создайте тестовую политику согласно инструкции.
2. Подключитесь к Policy Reporter UI для анализа и визуализации PolicyReports или убедитесь, что данные поступают в Object Storage или Data Streams.

Примеры использованияПримеры использования

• Настройка Kyverno & Kyverno Policies
• Подпись и проверка Docker-образов Yandex Container Registry в Managed Service for Kubernetes

См. такжеСм. также

• Документация Policy Reporter.
• Пример в библиотеке решений Yandex Cloud: Анализ логов безопасности Kubernetes в ELK.