Отправка событий аудита#

Пререквизиты#

• модули приложения развернуты;

• граф репликации создан;

• сетевые доступы открыты;

• часть модулей в параметрах инсталляции содержат определенные администратором метки (параметр воркера и модуля приложения, который задается на k8s и указывается в воркере и в модуле приложения).

Процесс#

1. Пользователь под любой ролью заходит в консоль.

2. UI инициирует аутентификацию через IAM Proxy, который в свою очередь ходит в СУДИР за проверкой логина/пароля и при успешной проверке выпускает JWT-токен с данными пользователя и его ролями. Токен возвращается в UI и будет использоваться в дальнейших запросах.

3. Пользователь выполняет действие в консоли, например, запускает или останавливает репликацию. UI отправляет этот запрос в консоль backend по REST/HTTPS с mTLS. Консоль выполняет операцию и сразу возвращает результат пользователю.

4. Консоль формирует событие аудита (кто, что сделал, над чем, результат, время, роли/привилегии). Чтобы отправить его наружу, консоль обращается к сервису egress. Тот получает из Vault необходимые секреты и сертификаты, а затем запрашивает в OTTS одноразовый токен.

5. Получив токен и секреты, консоль через egress отправляет событие аудита в сервис COTE по защищенному каналу HTTPS с использованием mTLS.

6. COTE принимает событие, сохраняет его и отвечает «200 OK».

   Параллельно система может писать логи в LOGA и метрики в MONA.

   Некоторые события аудита генерируются без использования UI: при старте и завершении приложения отправляются события о начале/завершении аудирования событий, кроме того аудируются события чтения и применения секретов (когда в SecMan меняют используемый консолью секрет).