Paquetes de Policy Controller
En esta página, se describe qué son los paquetes de Policy Controller y se proporciona una descripción general de los paquetes de políticas disponibles.
Puedes usar el controlador de políticas para aplicar restricciones individuales a tu clúster o escribir tus propias políticas personalizadas. También puedes usar paquetes de políticas, que te permiten auditar los clústeres sin escribir restricciones. Los paquetes de políticas son un grupo de restricciones que pueden ayudar a aplicar prácticas recomendadas, cumplir con los estándares de la industria o resolver problemas regulatorios en los recursos del clúster.
Puedes aplicar paquetes de políticas a los clústeres existentes para verificar si las cargas de trabajo cumplen con las políticas. Cuando aplicas un paquete de políticas, este audita tu clúster mediante la aplicación de restricciones con el tipo de aplicación dryrun
. El tipo de aplicación dryrun
te permite ver incumplimientos sin bloquear tus cargas de trabajo. También se recomienda
que solo se usen las acciones de aplicación warn
o dryrun
en clústeres con
cargas de trabajo de producción, cuando se prueben restricciones nuevas o se realicen migraciones, como actualizar plataformas. Para obtener más información sobre las acciones de aplicación, consulta Realiza auditorías mediante restricciones.
Por ejemplo, un tipo de paquete de políticas es el paquete de CIS para Kubernetes Benchmark, que puede ayudar a auditar los recursos de tu clúster en función de las comparativas de CIS para Kubernetes. Esta comparativa es un conjunto de recomendaciones para configurar los recursos de Kubernetes a fin de admitir una postura de seguridad sólida.
Google crea y mantiene los paquetes de políticas. Puedes ver más detalles sobre la cobertura de tu política, incluida la cobertura por paquete, en el panel de Policy Controller.
Los paquetes de políticas se incluyen en una licencia de la edición Google Kubernetes Engine (GKE) Enterprise.
Paquetes de Policy Controller disponibles
En la siguiente tabla, se enumeran los paquetes de políticas disponibles. Selecciona el nombre del paquete de políticas para leer la documentación sobre cómo aplicar el paquete, auditar recursos y aplicar políticas.
La columna alias del paquete enumera el nombre de token único del paquete. Este valor es necesario para aplicar un paquete con los comandos de Google Cloud CLI.
En la columna versión más antigua incluida, se muestra la versión más antigua que el paquete está disponible con el controlador de políticas. Esto significa que puedes instalar esos paquetes directamente. En cualquier versión del controlador de políticas, puedes instalar cualquier paquete disponible si sigues las instrucciones vinculadas en la tabla.
Nombre y descripción | Alias del paquete | Versión más antigua incluida | Tipo | Incluye restricciones referenciales |
---|---|---|---|---|
CIS GKE Benchmark: Audita el cumplimiento de tus clústeres en función de CIS GKE Benchmark v1.5, un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
no disponible | Estándar de Kubernetes | Sí |
Comparativas de CIS para Kubernetes: Audita el cumplimiento de tus clústeres en función de la CIS Benchmark 1.5 para Kubernetes, un conjunto de recomendaciones para configurar Kubernetes de modo que admita una postura de seguridad sólida. | cis-k8s-v1.5.1 |
1.15.2 | Estándar de Kubernetes | Sí |
CIS Kubernetes Benchmark (versión preliminar): Audita el cumplimiento de tus clústeres en función de CIS Kubernetes Benchmark v1.7, un conjunto de recomendaciones para configurar Kubernetes de modo que admita una postura de seguridad sólida. | cis-k8s-v1.7.1 |
no disponible | Estándar de Kubernetes | Sí |
Costo y confiabilidad: El paquete de costo y confiabilidad ayuda a adoptar prácticas recomendadas para ejecutar clústeres de GKE rentables sin comprometer el rendimiento ni la confiabilidad de las cargas de trabajo. | cost-reliability-v2023 |
1.16.1 | prácticas recomendadas | Sí |
MITRE (versión preliminar): El paquete de políticas de MITRE ayuda a evaluar el cumplimiento de los recursos del clúster con respecto a algunos aspectos de la base de conocimiento de MITRE de tácticas y técnicas de adversarios basadas en observaciones del mundo real. | mitre-v2024 |
no disponible | Estándar de la industria | Sí |
Política de seguridad de pods: Aplica protecciones en función de la política de seguridad de pods (PSP) de Kubernetes. | psp-v2022 |
1.15.2 | Estándar de Kubernetes | No |
Modelo de referencia de los estándares de seguridad de los Pods: Aplica protecciones según la política de referencia de los estándares de seguridad de los Pods (PSS) de Kubernetes. | pss-baseline-v2022 |
1.15.2 | Estándar de Kubernetes | No |
Estándares de seguridad de Pods restringidos: Aplica protecciones en función de la política de Estándares de seguridad de Pods (PSS) de Kubernetes restringida. | pss-restricted-v2022 |
1.15.2 | Estándar de Kubernetes | No |
Seguridad de Anthos Service Mesh: Audita el cumplimiento de las vulnerabilidades de seguridad y las prácticas recomendadas de Anthos Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | prácticas recomendadas | Sí |
Policy Essentials: Aplica las prácticas recomendadas a los recursos de tu clúster. | policy-essentials-v2022 |
1.14.1 | prácticas recomendadas | No |
NIST SP 800-53 Rev. 5: El paquete de NIST SP 800-53 Rev. 5 implementa los controles incluidos en la Publicación especial (SP) 800-53 del NIST, revisión 5. El paquete puede ayudar a las organizaciones a proteger sus sistemas y datos contra una variedad de amenazas mediante la implementación de políticas de seguridad y privacidad listas para usar. | nist-sp-800-53-r5 |
1.16.0 | Estándar de la industria | Sí |
NIST SP 800-190: El paquete de NIST SP 800-190 implementa los controles que se indican en la Publicación especial (SP) 800-190 de NIST, Guía de seguridad para contenedores de aplicaciones. El paquete está diseñado para ayudar a las organizaciones con la seguridad de contenedores de aplicaciones, como la seguridad de imágenes, la seguridad del entorno de ejecución del contenedor, la seguridad de red y la seguridad del sistema host, por nombrar algunas. | nist-sp-800-190 |
1.16.0 | Estándar de la industria | Sí |
Guía de endurecimiento de Kubernetes de NSA CISA v1.2: Aplica protecciones de acuerdo con la Guía de endurecimiento de Kubernetes NSA CISA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Estándar de la industria | Sí |
PCI-DSS v3.2.1: Aplica protecciones en función de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Estándar de la industria | Sí |
PCI-DSS v4.0 (versión preliminar): Aplica las protecciones en función de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v4.0. | pci-dss-v4.0 |
no disponible | Estándar de la industria | Sí |
¿Qué sigue?
- Prueba Policy Controller sin cargo.
- Obtén más información para aplicar restricciones individuales.
- Aplica las prácticas recomendadas a tus clústeres.
- Consulta un instructivo sobre el uso de paquetes de políticas en tu canalización de CI/CD para desplazar hacia la izquierda.