Halaman ini menjelaskan apa yang dimaksud dengan paket Pengontrol Kebijakan dan memberikan ringkasan paket kebijakan yang tersedia.
Halaman ini ditujukan bagi administrator IT dan Operator yang ingin memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan mempertahankan otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise umum.
Anda dapat menggunakan Pengontrol Kebijakan untuk menerapkan batasan individual ke cluster atau menulis kebijakan kustom Anda sendiri. Anda juga dapat menggunakan paket kebijakan, yang memungkinkan Anda mengaudit cluster tanpa menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar industri, atau menyelesaikan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa apakah workload Anda sudah mematuhi kebijakan. Saat Anda menerapkan paket kebijakan, paket tersebut akan mengaudit cluster Anda dengan menerapkan
batasan dengan jenis penegakan dryrun. Jenis penerapan dryrun
memungkinkan Anda melihat pelanggaran tanpa memblokir workload. Sebaiknya
hanya tindakan penegakan warn atau dryrun yang digunakan pada cluster dengan
beban kerja produksi, saat menguji batasan baru, atau melakukan migrasi
seperti mengupgrade platform. Untuk informasi selengkapnya tentang tindakan penegakan, lihat
Audit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket CIS Kubernetes Benchmark, yang dapat membantu mengaudit resource cluster Anda terhadap CIS Kubernetes Benchmark. Tolok ukur ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes guna mendukung postur keamanan yang kuat.
Paket kebijakan dibuat dan dikelola oleh Google. Anda dapat melihat detail selengkapnya tentang cakupan kebijakan, termasuk cakupan per paket, di dasbor Pengontrol Kebijakan.
Paket kebijakan disertakan dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, mengaudit resource, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama token tunggal paket. Nilai ini diperlukan untuk menerapkan paket dengan perintah Google Cloud CLI.
Kolom versi yang disertakan paling awal mencantumkan versi paling awal saat paket tersedia dengan Pengontrol Kebijakan. Artinya, Anda dapat menginstal paket tersebut secara langsung. Di versi Pengontrol Kebijakan apa pun, Anda masih dapat menginstal paket yang tersedia dengan mengikuti petunjuk yang ditautkan dalam tabel.
| Nama dan deskripsi | Alias paket | Versi yang disertakan paling awal | Jenis | Mencakup batasan referensi |
|---|---|---|---|---|
| Tolok Ukur GKE CIS: Mengaudit kepatuhan cluster Anda terhadap Tolok Ukur GKE CIS v1.5, serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark: Mengaudit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.5, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark (Pratinjau): Mengaudit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.7, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu menerapkan praktik terbaik untuk menjalankan cluster GKE yang hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek pusat informasi MITRE tentang taktik dan teknik penyerang berdasarkan pengamatan dunia nyata. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Menerapkan perlindungan berdasarkan Kebijakan Keamanan Pod Kubernetes (PSP). | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar Pengukuran Standar Keamanan Pod: Menerapkan perlindungan berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod Kubernetes (PSS). | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Pod Security Standards Restricted: Menerapkan perlindungan berdasarkan kebijakan Terbatas Standar Keamanan Pod Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Cloud Service Mesh: Audit kepatuhan terhadap kerentanan keamanan Cloud Service Mesh dan praktik terbaik Anda. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Terapkan praktik terbaik ke resource cluster Anda. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 menerapkan kontrol yang tercantum dalam Publikasi Khusus (SP) NIST 800-53, Revisi 5. Paket ini dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan kebijakan keamanan dan privasi siap pakai. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 menerapkan kontrol yang tercantum dalam Publikasi Khusus (SP) NIST 800-190, Panduan Keamanan Container Aplikasi. Paket ini ditujukan untuk membantu organisasi dengan keamanan penampung aplikasi, termasuk keamanan image, keamanan runtime penampung, keamanan jaringan, dan keamanan sistem host, untuk menyebutkan beberapa saja. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| NSA CISA Kubernetes Hardening Guide v1.2: Terapkan perlindungan berdasarkan NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1 (Tidak digunakan lagi): Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0: Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah selanjutnya
- Pelajari lebih lanjut cara menerapkan batasan individual.
- Terapkan praktik terbaik ke cluster Anda.
- Ikuti tutorial tentang menggunakan paket kebijakan di pipeline CI/CD untuk melakukan shift left.