このページでは、Policy Controller のバンドルと、使用可能なポリシー バンドルの概要について説明します。
このページは、監査または適用のために自動化を行い、維持することで、クラウド プラットフォーム内で実行されているすべてのリソースが組織のコンプライアンス要件を確実に満たすようにする IT 管理者とオペレーターを対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。
Policy Controller を使用して、クラスタに個別の制約を適用したり、独自のカスタム ポリシーを作成することができます。また、ポリシー バンドルを使用して、制約を作成せずにクラスタを監査することもできます。ポリシー バンドルとは、クラスタ リソース全体でベスト プラクティスの適用、業界基準の遵守、規制問題の解決のために活用できる制約のグループです。
既存のクラスタに対してポリシー バンドルを適用して、ワークロードがポリシーに準拠しているかどうかを確認できます。ポリシー バンドルを適用する際に dryrun
の適用タイプで制約を適用することによって、クラスタを監査できます。dryrun
適用タイプを使用すると、ワークロードをブロックせずに違反を確認できます。また、新しい制約をテストする場合や、プラットフォームのアップグレードなどの移行を行う場合は、本番環境ワークロードのあるクラスタで warn
または dryrun
の適用アクションのみを使用することもおすすめします。適用アクションの詳細については、制約を使用した監査をご覧ください。
たとえば、ポリシー バンドルの 1 つとして CIS Kubernetes Benchmark バンドルがあります。これは、CIS Kubernetes Benchmark に基づいてクラスタ リソースを監査するのに役立ちます。このベンチマークは、強固なセキュリティ ポスチャーを維持できるように Kubernetes リソースを構成するための一連の推奨事項です。
ポリシー バンドルは Google によって作成、管理されます。バンドルごとのカバレッジなど、ポリシーのカバレッジの詳細については、Policy Controller ダッシュボードをご覧ください。
ポリシー バンドルは、Google Kubernetes Engine(GKE)Enterprise エディション ライセンスに含まれています。
利用可能な Policy Controller のバンドル
次の表は利用可能なポリシー バンドルの一覧です。バンドルの適用方法、リソースの監査方法、ポリシーの適用方法に関するドキュメントを参照するには、ポリシー バンドルの名前を選択してください。
「バンドルのエイリアス」列には、バンドルの単一トークン名が示されています。この値は、Google Cloud CLI コマンドでバンドルを適用するために必要です。
「最も古い収録バージョン」列には、バンドルが Policy Controller で使用できる最も古いバージョンが示されています。つまり、これらのバンドルを直接インストールできます。Policy Controller のどのバージョンでも、表にリンクされている手順に沿って操作することで、利用可能なバンドルをインストールできます。
名前と説明 | バンドルのエイリアス | 最も古い収録バージョン | タイプ | 参照制約を含む |
---|---|---|---|---|
CIS GKE Benchmark: Google Kubernetes Engine(GKE)の構成に推奨される一連のセキュリティ管理である CIS GKE Benchmark v1.5 に対する、クラスタのコンプライアンスを監査します。 | cis-gke-v1.5.0 |
1.18.0 | Kubernetes 標準 | ○ |
CIS Kubernetes Benchmark: 強力なセキュリティ ポスチャーをサポートするように Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.5 に対する、クラスタのコンプライアンスを監査します。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 標準 | ○ |
CIS Kubernetes Benchmark(プレビュー): 強固なセキュリティ ポスチャーがサポートされるように Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.7 に対する、クラスタのコンプライアンスを監査します。 | cis-k8s-v1.7.1 |
該当なし | Kubernetes 標準 | ○ |
コストと信頼性: コストと信頼性のバンドルを使用すると、ワークロードのパフォーマンスや信頼性を損なうことなく、コスト効率の高い GKE クラスタを実行するためのベスト プラクティスを採用できます。 | cost-reliability-v2023 |
1.16.1 | ベスト プラクティス | ○ |
MITRE(プレビュー): MITRE ポリシー バンドルは、実際のモニタリングに基づいて攻撃者の戦術と手法を定義している MITRE のナレッジベースのいくつかの側面に対する、クラスタ リソースのコンプライアンスを評価するのに役立ちます。 | mitre-v2024 |
該当なし | 業界基準 | ○ |
Pod Security Policy: Kubernetes Pod Security Policy(PSP)に基づいて保護を適用します。 | psp-v2022 |
1.15.2 | Kubernetes 標準 | × |
Pod Security Standards Baseline: Kubernetes Pod Security Standards(PSS)Baseline ポリシーに基づいて保護を適用します。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 標準 | × |
Pod Security Standards Restricted: Kubernetes Pod Security Standards(PSS)Restricted ポリシーに基づいて保護を適用します。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 標準 | × |
Cloud Service Mesh セキュリティ: Cloud Service Mesh セキュリティの脆弱性とベスト プラクティスのコンプライアンスを監査します。 | asm-policy-v0.0.1 |
1.15.2 | ベスト プラクティス | ○ |
Policy Essentials: クラスタ リソースにベスト プラクティスを適用します。 | policy-essentials-v2022 |
1.14.1 | ベスト プラクティス | × |
NIST SP 800-53 Rev. 5: NIST SP 800-53 Rev. 5 バンドルには、NIST Special Publication(SP)800-53、Revision 5 に記載されている管理機能が実装されています。このバンドルは、すぐに使用できるセキュリティとプライバシー ポリシーを実装することで、組織がさまざまな脅威からシステムとデータを保護するのに役立ちます。 | nist-sp-800-53-r5 |
1.16.0 | 業界基準 | ○ |
NIST SP 800-190: NIST SP 800-190 バンドルには、NIST Special Publication(SP)800-190、Application Container Security Guide に記載されている管理機能が実装されています。このバンドルは、イメージ セキュリティ、コンテナ ランタイム セキュリティ、ネットワーク セキュリティ、ホストシステム セキュリティなどのアプリケーション コンテナ セキュリティで組織を支援することを目的としています。 | nist-sp-800-190 |
1.16.0 | 業界基準 | ○ |
NSA CISA Kubernetes Hardening Guide v1.2: NSA CISA Kubernetes Hardening Guide v1.2 に基づいて保護を適用します。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 業界基準 | ○ |
PCI-DSS v3.2.1(非推奨): Payment Card Industry データ セキュリティ基準(PCI-DSS)v3.2.1 に基づく保護設定を適用します。 | pci-dss-v3.2.1 または pci-dss-v3.2.1-extended |
1.15.2 | 業界基準 | ○ |
PCI-DSS v4.0: Payment Card Industry データ セキュリティ基準(PCI-DSS)v4.0 に基づいて保護を適用します。 | pci-dss-v4.0 |
該当なし | 業界基準 | ○ |
次のステップ
- 個別の制約の適用について学ぶ。
- クラスタにベスト プラクティスを適用する。
- CI / CD パイプラインでポリシー バンドルを使用してシフトレフトするためのチュートリアルを利用する。