政策控制器包
本页面介绍了什么是政策控制器包,并简要介绍了可用的政策包。
您可以使用政策控制器对集群应用各个限制条件或编写自己的自定义政策。您还可以使用政策包来审核集群,而无需编写任何限制条件。政策包是一套限制条件,可帮助遵循最佳做法、符合业界标准或解决集群资源中的监管问题。
您可以将政策包应用于现有集群来检查工作负载是否符合规定。应用政策包时,它通过应用具有 dryrun 强制执行类型的限制条件来审核集群。dryrun 强制执行类型可让您查看违规行为,而不会阻止您的工作负载。此外,在测试新限制条件或执行迁移(例如升级平台)时,建议仅在具有生产工作负载的集群上使用 warn 或 dryrun 强制执行操作。如需详细了解强制执行操作,请参阅使用限制条件进行审核。
例如,一种类型的政策包是 CIS Kubernetes 基准包,有助于根据 CIS Kubernetes 基准审核集群资源。此基准是一系列关于配置 Kubernetes 资源以支持可靠的安全状况的建议。
政策包由 Google 创建和维护。您可以在政策控制器信息中心中查看有关政策覆盖率的更多详细信息,包括每个包的覆盖率。
Google Kubernetes Engine (GKE) Enterprise 版本许可包含政策包。
可用的政策控制器包
下表列出了可用的政策包。选择政策包的名称,以阅读有关如何应用软件包、审核资源和强制执行政策的文档。
软件包别名列会列出软件包的单令牌名称。使用 Google Cloud CLI 命令应用软件包时需要此值。
包含的最早版本列列出了软件包可用于 Policy Controller 的最低版本。这意味着您可以直接安装这些软件包。在任何版本的 Policy Controller 中,您仍然可以按照表中链接的说明安装任何可用的软件包。
| 名称及描述 | 软件包别名 | 最早包含的版本 | 类型 | 包括参照限制条件 |
|---|---|---|---|---|
| CIS GKE 基准:根据 CIS GKE 基准 v1.5 审核集群的合规性。CIS GKE 基准 v1.5 是一套推荐用于配置 Google Kubernetes Engine (GKE) 的安全控制措施。 | cis-gke-v1.5.0 |
不可用 | Kubernetes 标准 | 是 |
| CIS Kubernetes 基准:根据 CIS Kubernetes 基准 v1.5 审核集群的合规性。CIS Kubernetes 基准 v1.5 是一套关于配置 Kubernetes 以支持可靠的安全状况的建议。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 标准 | 是 |
| CIS Kubernetes 基准(预览版):根据 CIS Kubernetes 基准 v1.7 审核集群的合规性,这是一组有关如何配置 Kubernetes 以支持可靠的安全状况的建议。 | cis-k8s-v1.7.1 |
不可用 | Kubernetes 标准 | 是 |
| 费用和可靠性:费用和可靠性包有助于采用最佳实践来运行经济高效的 GKE 集群,同时不影响工作负载的性能或可靠性。 | cost-reliability-v2023 |
1.16.1 | 最佳实践 | 是 |
| MITRE(预览版):MITRE 政策包可以根据真实观察结果,根据 MITRE 对手战术和技术知识库的某些方面评估集群资源的合规性。 | mitre-v2024 |
不可用 | 行业标准 | 是 |
| Pod 安全政策:根据 Kubernetes Pod 安全政策 (PSP) 应用保护。 | psp-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Pod 安全标准基准:根据 Kubernetes Pod 安全标准 (PSS) 基准政策应用保护。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Pod 安全标准受限:根据 Kubernetes Pod 安全标准 (PSS) 受限政策应用保护。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Anthos Service Mesh 安全性:审核 Anthos Service Mesh 安全漏洞的合规性和最佳实践。 | asm-policy-v0.0.1 |
1.15.2 | 最佳实践 | 是 |
| 政策要点:将最佳实践应用于集群资源。 | policy-essentials-v2022 |
1.14.1 | 最佳实践 | 否 |
| NIST SP 800-53 修订版 5:NIST SP 800-53 修订版 5 包中实现了 NIST 特别出版物 (SP) 800-53 修订版 5 中列出的控制措施。该包可实施开箱即用的安全和隐私权政策,帮助组织保护其系统和数据免受各种威胁的侵扰。 | nist-sp-800-53-r5 |
1.16.0 | 行业标准 | 是 |
| NIST SP 800-190:NIST SP 800-190 包实现 NIST 特别出版物 (SP) 800-190《应用容器安全指南》中列出的控制措施。该包旨在帮助组织实施应用容器安全,包括映像安全、容器运行时安全、网络安全和主机系统安全等。 | nist-sp-800-190 |
1.16.0 | 行业标准 | 是 |
| NSA CISA Kubernetes 安全加固指南 v1.2:根据 NSA CISA Kubernetes 安全加固指南 v1.2 应用保护。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 行业标准 | 是 |
| PCI-DSS v3.2.1:应用基于支付卡行业数据安全标准 (PCI-DSS) v3.2.1 的保护。 | pci-dss-v3.2.1 或 pci-dss-v3.2.1-extended |
1.15.2 | 行业标准 | 是 |
| PCI-DSS v4.0(预览版):应用基于支付卡行业数据安全标准 (PCI-DSS) v4.0 的保护。 | pci-dss-v4.0 |
不可用 | 行业标准 | 是 |
后续步骤
- 免费试用 Policy Controller。
- 详细了解如何应用单个限制条件。
- 将最佳做法应用到集群。
- 学习在 CI/CD 流水线中使用政策包左移教程。