Policy Controller-Bundles
Auf dieser Seite wird beschrieben, was Policy Controller-Bundles sind und bietet einen Überblick über die verfügbaren Richtlinien-Bundles.
Mit Policy Controller können Sie individuelle Einschränkungen auf einen Cluster anwenden oder eigene benutzerdefinierte Richtlinien schreiben. Sie können auch Richtlinien-Bundles verwenden, mit denen Sie Ihre Cluster prüfen können, ohne Einschränkungen schreiben zu müssen. Richtlinien-Bundles sind eine Gruppe von Einschränkungen, mit denen Sie Best Practices anwenden, Branchenstandards erfüllen oder regulatorische Probleme in Ihren Clusterressourcen lösen können.
Sie können Richtlinien-Bundles auf Ihre vorhandenen Cluster anwenden, um zu prüfen, ob Ihre Arbeitslasten konform sind. Wenn Sie ein Richtlinien-Bundle anwenden, wird der Cluster anhand von Einschränkungen mit dem Erzwingungstyp dryrun
geprüft. Mit dem Erzwingungstyp dryrun
können Sie Verstöße sehen, ohne Ihre Arbeitslasten zu blockieren. Außerdem wird empfohlen, nur die Erzwingungsaktionen warn
oder dryrun
für Cluster mit Produktionsarbeitslasten beim Testen neuer Einschränkungen oder beim Durchführen von Migrationen wie Plattformupgrades zu verwenden. Weitere Informationen zu Erzwingungsaktionen finden Sie unter Auditing mit Einschränkungen.
Eine Art von Richtlinien-Bundle ist beispielsweise das CIS-Kubernetes-Benchmark-Bundle, mit dem Sie Ihre Clusterressourcen anhand der CIS-Kubernetes-Benchmark prüfen können. Diese Benchmark besteht aus einer Reihe von Empfehlungen für die Konfiguration von Kubernetes-Ressourcen, um einen hohen Sicherheitsstatus zu unterstützen.
Richtlinien-Bundles werden von Google erstellt und verwaltet. Weitere Details zur Richtlinienabdeckung, einschließlich der Abdeckung pro Bundle, finden Sie im Policy Controller-Dashboard.
Richtlinien-Bundles sind in einer Lizenz der Google Kubernetes Engine (GKE) Enterprise enthalten.
Verfügbare Policy Controller-Bundles
In der folgenden Tabelle sind die verfügbaren Richtlinien-Bundles aufgeführt. Wählen Sie den Namen des Richtlinien-Bundles aus, um die Dokumentation zum Anwenden des Bundles, zum Prüfen von Ressourcen und zum Erzwingen von Richtlinien zu lesen.
In der Spalte Bundle Alias wird der Name des Bundles mit einem einzelnen Token aufgeführt. Dieser Wert ist erforderlich, um ein Bundle mit Google Cloud CLI-Befehlen anzuwenden.
In der Spalte früheste enthaltene Version wird die früheste Version des Bundles aufgeführt, die mit Policy Controller verfügbar ist. Das bedeutet, dass Sie diese Bundles direkt installieren können. In jeder Version von Policy Controller können Sie weiterhin jedes verfügbare Bundle installieren, indem Sie der Anleitung in der Tabelle folgen.
Name und Beschreibung | Bundle-Alias | Älteste enthaltene Version | Typ | Enthält referenzielle Einschränkungen |
---|---|---|---|---|
CIS-GKE-Benchmark: Prüfen Sie die Compliance Ihrer Cluster mit der CIS-GKE-Benchmark v1.5, einer Reihe von empfohlenen Sicherheitskontrollen zum Konfigurieren der Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
nicht verfügbar | Kubernetes-Standard | Ja |
CIS-Kubernetes-Benchmark: Überprüfen Sie die Compliance Ihrer Cluster anhand der CIS-Kubernetes-Benchmark v1.5. Dabei handelt es sich um eine Reihe von Empfehlungen zum Konfigurieren von Kubernetes für die Unterstützung eines hohen Sicherheitsstatus. | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes-Standard | Ja |
CIS-Kubernetes-Benchmark (Vorabversion): Prüfen Sie die Compliance Ihrer Cluster anhand der CIS-Kubernetes-Benchmark v1.7. Dabei handelt es sich um eine Reihe von Empfehlungen zum Konfigurieren von Kubernetes für die Unterstützung eines hohen Sicherheitsstatus. | cis-k8s-v1.7.1 |
nicht verfügbar | Kubernetes-Standard | Ja |
Kosten und Zuverlässigkeit: Das Kosten- und Zuverlässigkeits-Bundle unterstützt Sie bei der Umsetzung von Best Practices zum Ausführen kosteneffizienter GKE-Cluster, ohne die Leistung oder Zuverlässigkeit von Arbeitslasten zu beeinträchtigen. | cost-reliability-v2023 |
1.16.1 | Best Practices | Ja |
MITRE (Vorabversion): Das MITRE-Richtlinien-Bundle hilft Ihnen, die Compliance Ihrer Clusterressourcen mit bestimmten Aspekten der MITRE-Wissensdatenbank zu Taktiken und Techniken von Angreifern anhand von realen Beobachtungen zu bewerten. | mitre-v2024 |
nicht verfügbar | Branchenstandard | Ja |
Pod-Sicherheitsrichtlinie: Wenden Sie Schutzmaßnahmen basierend auf der Kubernetes Pod-Sicherheitsrichtlinie (PSP) an. | psp-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Pod Security Standards Baseline: Wenden Sie Schutzmaßnahmen auf Basis der Baseline-Richtlinie der Kubernetes Pod Security Standards (PSS) an. | pss-baseline-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Eingeschränkte Pod-Sicherheitsstandards: Wenden Sie Schutzmaßnahmen basierend auf der Richtlinie „Eingeschränkt“ der Kubernetes Pod Security Standards (PSS) an. | pss-restricted-v2022 |
1.15.2 | Kubernetes-Standard | Nein |
Sicherheit von Anthos Service Mesh: Prüfen Sie die Compliance Ihrer Sicherheitslücken in Anthos Service Mesh und Best Practices. | asm-policy-v0.0.1 |
1.15.2 | Best Practices | Ja |
Policy Essentials: Wenden Sie Best Practices auf Ihre Clusterressourcen an. | policy-essentials-v2022 |
1.14.1 | Best Practices | Nein |
NIST SP 800-53 Rev. 5: Das NIST SP 800-53 Rev. 5-Bundle enthält Kontrollen, die in der NIST Special Publication (SP) 800-53, Revision 5 aufgeführt sind. Das Bundle kann Organisationen dabei helfen, ihre Systeme und Daten durch sofort einsatzbereite Sicherheits- und Datenschutzrichtlinien vor einer Vielzahl von Bedrohungen zu schützen. | nist-sp-800-53-r5 |
1.16.0 | Branchenstandard | Ja |
NIST SP 800-190: Das NIST SP 800-190-Bundle enthält Kontrollen, die im NIST Special Publication (SP) 800-190, Application Container Security Guide aufgeführt sind. Das Bundle ist für Organisationen mit Anwendungscontainersicherheit gedacht, darunter Imagesicherheit, Containerlaufzeitsicherheit, Netzwerksicherheit und Hostsystemsicherheit. | nist-sp-800-190 |
1.16.0 | Branchenstandard | Ja |
NSA CISA Kubernetes Hardening Guide v1.2: Wenden Sie Schutzmaßnahmen basierend auf dem NSA CISA Kubernetes Hardening Guide v1.2 an. | nsa-cisa-k8s-v1.2 |
1.16.0 | Branchenstandard | Ja |
PCI-DSS v3.2.1: Wendet Schutzmaßnahmen auf Grundlage des Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 an. | pci-dss-v3.2.1 oder pci-dss-v3.2.1-extended |
1.15.2 | Branchenstandard | Ja |
PCI-DSS v4.0 (Vorabversion): Wenden Sie Schutzmaßnahmen auf Grundlage des Payment Card Industry Data Security Standard (PCI-DSS) v4.0 an. | pci-dss-v4.0 |
nicht verfügbar | Branchenstandard | Ja |
Nächste Schritte
- Policy Controller kostenlos testen
- Weitere Informationen zum Anwenden einzelner Einschränkungen
- Wenden Sie Best Practices auf Ihre Cluster an.
- Sehen Sie sich dazu eine Anleitung zur Verwendung von Richtlinien-Bundles in Ihrer CI/CD-Pipeline zum Verschieben nach links an.