Policy reporter

Kyverno Policy Reporter предназначен для работы с результатами срабатываний Kyverno-политик — PolicyReports. Также он поддерживает инструменты Kube Bench, Trivy, jsPolicy и Falco. Kyverno Policy Reporter позволяет визуализировать результаты в графическом виде. Для долгосрочного хранения или дальнейшей загрузки в SIEM-систему результаты можно выгрузить во внешнее хранилище, например в Yandex Object Storage (S3) или Yandex Data Streams.

Чтобы использовать Kyverno Policy Reporter, установите Kyverno или другой продукт, который поддерживает запись результатов в wg-policy-prototypes.

1. Чтобы выгружать результаты срабатываний политик, настройте внешнее хранилище:

   • Object Storage:

     1. Создайте сервисный аккаунт с ролью storage.uploader, необходимый для доступа к Object Storage:

        yc iam service-account create --name <имя сервисного аккаунта>
        

     2. Создайте статический ключ доступа для сервисного аккаунта в формате JSON и сохраните его в файл sa-key.json:

        yc iam access-key create \
           --service-account-name=<имя сервисного аккаунта> \
           --format=json > sa-key.json
        

     3. Создайте бакет в Object Storage.

   • Data Streams:

     Создайте поток данных.

2. Задайте настройки Kyverno Policy Reporter:

   • Пространство имен — выберите пространство имен или создайте новое.

   • Название приложения — укажите название приложения.

   • Идентификатор кластера — выберите кластер Managed Service for Kubernetes из списка.

   • Установить Policy Reporter UI — включите опцию, чтобы установить компонент Policy Reporter UI для отображения результатов в графическом виде.

   • Экспорт в Object Storage — включите опцию, чтобы экспортировать результаты в Object Storage. При этом необходимо заполнить дополнительные поля:

     • Имя бакета Object Storage — укажите имя бакета в Object Storage.
     • Статический ключ для доступа к Object Storage — скопируйте содержимое файла sa-key.json или создайте новый ключ доступа для сервисного аккаунта. Сервисный аккаунт должен иметь роль storage.uploader.

   • Экспорт в Data Streams — включите опцию, чтобы экспортировать результаты в Data Streams. При этом необходимо заполнить дополнительные поля:

     • Эндпоинт потока — укажите эндпоинт потока Data Streams.
     • Имя потока — укажите имя потока Data Streams.

3. Нажмите кнопку Установить.

4. Дождитесь перехода приложения в статус Deployed.

Чтобы проверить работу Kyverno Policy Reporter, подключитесь к Policy Reporter UI для анализа и визуализации PolicyReports и убедитесь, что данные поступают в Object Storage или Data Streams.

• Анализ и визуализация Policy Reports.
• Аудит событий безопасности Kubernetes.

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.