Esta página descreve o que são os pacotes do Policy Controller e fornece uma visão geral dos pacotes de políticas disponíveis.
Esta página é destinada a administradores e operadores de TI que querem garantir que todos os recursos executados na plataforma de nuvem atendam a requisitos de conformidade fornecendo e mantendo automação para auditar ou aplicar. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e funções de usuário comuns do GKE Enterprise.
Use o Policy Controller para aplicar restrições individuais ao cluster ou gravar políticas personalizadas. Também é possível usar pacotes de políticas, que permitem auditar seus clusters sem gravar restrições. Pacotes de políticas são um grupo de restrições que podem ajudar a aplicar as práticas recomendadas, atender aos padrões do setor ou resolver problemas regulamentares em todos os recursos do cluster.
É possível aplicar pacotes de políticas nos clusters para verificar se as cargas de trabalho
estão em conformidade. Quando você aplica um pacote de políticas, ele audita o cluster aplicando
restrições com o tipo de aplicação dryrun. O tipo de aplicação dryrun permite acessar violações sem bloquear as cargas de trabalho. Também é recomendável
que apenas as ações da política warn ou dryrun sejam usadas em clusters com
cargas de trabalho de produção, ao testar novas restrições ou realizar migrações, como plataformas de upgrade. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
Por exemplo, um tipo de pacote de política é o CIS Benchmark do Kubernetes, que pode ajudar a auditar seus recursos de cluster em relação ao CIS Benchmark do Kubernetes. Essa comparação é um conjunto de recomendações para configurar os recursos do Kubernetes a fim de oferecer suporte a uma postura de segurança forte.
Os pacotes de políticas são criados e mantidos pelo Google. Confira mais detalhes sobre a cobertura de políticas, incluindo a cobertura por pacote, no painel do Controlador de políticas.
Os pacotes de políticas estão incluídos em uma licença do Google Kubernetes Engine (GKE) Enterprise.
Pacotes do Controlador de políticas disponíveis
A tabela a seguir lista os pacotes de políticas disponíveis. Selecione o nome do pacote de políticas para ler a documentação sobre como aplicar o pacote, auditar recursos e aplicar políticas.
A coluna Alias do pacote lista o nome do token único do pacote. Esse valor é necessário para aplicar um pacote com comandos da CLI do Google Cloud.
A coluna versão incluída mais antiga lista a versão mais antiga em que o pacote está disponível com o Policy Controller. Isso significa que você pode instalar esses pacotes diretamente. Em qualquer versão do Policy Controller, ainda é possível instalar qualquer pacote disponível seguindo as instruções vinculadas na tabela.
| Nome e descrição | Alias do pacote | Versão incluída mais antiga | Tipo | Inclui restrições referenciais |
|---|---|---|---|---|
| Comparativo de mercado CIS do GKE: faça uma auditoria da conformidade dos clusters em relação ao comparativo de mercado CIS do GKE v1.5, um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Padrão do Kubernetes | Sim |
| Comparativo de mercado do Kubernetes do CIS: faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.5, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. | cis-k8s-v1.5.1 |
1.15.2 | Padrão do Kubernetes | Sim |
| Comparativo de mercado CIS do Kubernetes (pré-lançamento): faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.7, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. | cis-k8s-v1.7.1 |
não disponível | Padrão do Kubernetes | Sim |
| Custo e confiabilidade: o pacote de custo e confiabilidade ajuda a adotar as práticas recomendadas para executar clusters econômicos do GKE sem comprometer o desempenho ou a confiabilidade das cargas de trabalho. | cost-reliability-v2023 |
1.16.1 | Práticas recomendadas | Sim |
| MITRE (pré-lançamento): o pacote de políticas MITRE ajuda a avaliar a conformidade dos seus recursos de cluster com alguns aspectos da base de conhecimento de táticas e técnicas de invasão do MITRE baseadas em observações do mundo real. | mitre-v2024 |
não disponível | Padrão do setor | Sim |
| Política de segurança do pod: aplique proteções com base na política de segurança do pod (PSP, na sigla em inglês) do Kubernetes. | psp-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Padrão de referência dos padrões de segurança de pods: aplique proteções com base na política de valor de referência dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. | pss-baseline-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Padrões de segurança do pod restritos: aplique proteções com base na política restrita dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. | pss-restricted-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Segurança do Cloud Service Mesh: faça uma auditoria da conformidade das suas vulnerabilidades e práticas recomendadas de segurança do Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Práticas recomendadas | Sim |
| Políticas essenciais: aplique as práticas recomendadas aos recursos do cluster. | policy-essentials-v2022 |
1.14.1 | Práticas recomendadas | Não |
| NIST SP 800-53 Rev. 5: o pacote NIST SP 800-53 Rev. 5 implementa controles listados na Publicação Especial (SP, na sigla em inglês) 800-53 do NIST, Revisão 5. O pacote pode ajudar as organizações a proteger os sistemas e dados contra diversas ameaças implementando políticas de privacidade e segurança prontas para uso. | nist-sp-800-53-r5 |
1.16.0 | Padrão do setor | Sim |
| NIST SP 800-190: o pacote NIST SP 800-190 implementa controles listados na Publicação Especial do NIST (SP, na sigla em inglês) 800-190, guia de segurança de contêineres de aplicativos. O pacote destina-se a ajudar organizações com segurança de contêineres de aplicativos, incluindo segurança de imagens, segurança do ambiente de execução do contêiner, segurança da rede e segurança do sistema host, entre outras. | nist-sp-800-190 |
1.16.0 | Padrão do setor | Sim |
| Guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2: aplique proteções com base no guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Padrão do setor | Sim |
| PCI-DSS v3.2.1 (descontinuado): aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v3.2.1. | pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended |
1.15.2 | Padrão do setor | Sim |
| PCI-DSS v4.0: aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0. | pci-dss-v4.0 |
não disponível | Padrão do setor | Sim |
A seguir
- Saiba mais sobre como aplicar restrições individuais.
- Aplique as práticas recomendadas aos clusters.
- Acesse um tutorial sobre como usar pacotes de políticas no pipeline de CI/CD para mudar para a esquerda.