本页面介绍了什么是政策控制器包,并简要介绍了可用的政策包。
本页面适用于想要提供并维护自动化以进行审核或强制执行,从而确保云平台中运行的所有资源满足组织合规性要求的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE Enterprise 用户角色和任务。
您可以使用 Policy Controller 对集群应用各个限制条件或编写自己的自定义政策。您还可以使用政策包来审核集群,而无需编写任何限制条件。政策包是一套限制条件,可帮助遵循最佳做法、符合业界标准或解决集群资源中的监管问题。
您可以将政策包应用于现有集群来检查工作负载是否符合规定。应用政策包时,它通过应用具有 dryrun
强制执行类型的限制条件来审核集群。dryrun
强制执行类型可让您查看违规行为,而不会阻止您的工作负载。此外,在测试新限制条件或执行迁移(例如升级平台)时,建议仅在具有生产工作负载的集群上使用 warn
或 dryrun
强制执行操作。如需详细了解强制执行操作,请参阅使用限制条件进行审核。
例如,一种类型的政策包是 CIS Kubernetes 基准包,有助于根据 CIS Kubernetes 基准审核集群资源。此基准是一系列关于配置 Kubernetes 资源以支持可靠的安全状况的建议。
政策包由 Google 创建和维护。您可以在政策控制器信息中心中查看有关政策覆盖率的更多详细信息,包括每个包的覆盖率。
Google Kubernetes Engine (GKE) Enterprise 版本许可包含政策包。
可用的政策控制器包
下表列出了可用的政策包。选择政策包的名称,以阅读有关如何应用软件包、审核资源和强制执行政策的文档。
“政策包别名”列中列出了政策包的单令牌名称。使用 Google Cloud CLI 命令应用政策包时需要此值。
“包含的最早版本”列中列出了政策包可用于 Policy Controller 的最早版本。这意味着您可以直接安装这些政策包。在任何版本的 Policy Controller 中,您仍然可以按照表中链接的说明来安装任何可用的政策包。
名称及描述 | 政策包别名 | 包含的最早版本 | 类型 | 包括参照限制条件 |
---|---|---|---|---|
CIS GKE 基准:根据 CIS GKE 基准 v1.5 审核集群的合规性,该基准是一系列用于配置 Google Kubernetes Engine (GKE) 的建议安全控制措施。 | cis-gke-v1.5.0 |
1.18.0 | Kubernetes 标准 | 是 |
CIS Kubernetes 基准:根据 CIS Kubernetes 基准 v1.5 审核集群的合规性,该基准是一系列关于配置 Kubernetes 以支持可靠安全状况的建议。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 标准 | 是 |
CIS Kubernetes 基准(预览版):根据 CIS Kubernetes 基准 v1.7 审核集群的合规性,该基准是一系列关于配置 Kubernetes 以支持可靠安全状况的建议。 | cis-k8s-v1.7.1 |
不可用 | Kubernetes 标准 | 是 |
费用和可靠性:费用和可靠性包有助于采用最佳实践来运行经济实惠的 GKE 集群,而不影响工作负载的性能或可靠性。 | cost-reliability-v2023 |
1.16.1 | 最佳做法 | 是 |
MITRE(预览版):MITRE 政策包有助于根据包含攻击者策略和技术(基于现实观察结果)的 MITRE 知识库的某些方面来评估集群资源的合规性。 | mitre-v2024 |
不可用 | 行业标准 | 是 |
Pod 安全政策:根据 Kubernetes Pod 安全政策 (PSP) 应用保护措施。 | psp-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
Pod 安全标准基准:根据 Kubernetes Pod 安全标准 (PSS) 基准政策应用保护措施。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
Pod 安全标准受限:根据 Kubernetes Pod 安全标准 (PSS) 受限政策应用保护措施。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
Cloud Service Mesh 安全性:审核 Cloud Service Mesh 安全漏洞的合规性并了解是否符合最佳实践。 | asm-policy-v0.0.1 |
1.15.2 | 最佳做法 | 是 |
Policy Essentials:将最佳实践应用于集群资源。 | policy-essentials-v2022 |
1.14.1 | 最佳做法 | 否 |
NIST SP 800-53 修订版本 5:NIST SP 800-53 修订版本 5 包实现了 NIST 特别出版物 (SP) 800-53 修订版本 5 中列出的控制措施。该包可实施开箱即用的安全和隐私权政策,帮助组织保护其系统和数据免受各种威胁的侵扰。 | nist-sp-800-53-r5 |
1.16.0 | 行业标准 | 是 |
NIST SP 800-190:NIST SP 800-190 包实现了 NIST 特别出版物 (SP) 800-190 应用容器安全指南中列出的控制措施。该包旨在帮助组织实施应用容器安全,包括映像安全、容器运行时安全、网络安全和主机系统安全等。 | nist-sp-800-190 |
1.16.0 | 行业标准 | 是 |
NSA CISA Kubernetes 安全加固指南 v1.2:根据 NSA CISA Kubernetes 安全加固指南 v1.2 应用保护措施。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 行业标准 | 是 |
PCI-DSS v3.2.1(已弃用):根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 应用保护措施。 | pci-dss-v3.2.1 或 pci-dss-v3.2.1-extended |
1.15.2 | 行业标准 | 是 |
PCI-DSS v4.0:根据支付卡行业数据安全标准 (PCI-DSS) v4.0 应用保护措施。 | pci-dss-v4.0 |
不可用 | 行业标准 | 是 |
后续步骤
- 详细了解如何应用单个限制条件。
- 将最佳做法应用到集群。
- 学习在 CI/CD 流水线中使用政策包左移教程。