Policy Controller のバンドル
このページでは、Policy Controller のバンドルと、使用可能なポリシー バンドルの概要について説明します。
Policy Controller を使用して、クラスタに個別の制約を適用したり、独自のカスタム ポリシーを作成したりすることができます。また、ポリシー バンドルを使用して、制約を作成せずにクラスタを監査することもできます。ポリシー バンドルとは、クラスタ リソース全体でベスト プラクティスの適用、業界基準の遵守、規制問題の解決のために活用できる制約のグループです。
既存のクラスタに対してポリシー バンドルを適用して、ワークロードがポリシーに準拠しているかどうかを確認できます。ポリシー バンドルを適用する際に dryrun の適用タイプで制約を適用することによって、クラスタを監査できます。dryrun 適用タイプを使用すると、ワークロードをブロックせずに違反を確認できます。また、新しい制約をテストする場合や、プラットフォームのアップグレードなどの移行を行う場合は、本番環境ワークロードのあるクラスタで warn または dryrun の適用アクションのみを使用することもおすすめします。適用アクションの詳細については、制約を使用した監査をご覧ください。
たとえば、ポリシー バンドルの 1 つとして CIS Kubernetes Benchmark バンドルがあります。これは、CIS Kubernetes Benchmark に基づいてクラスタ リソースを監査するのに役立ちます。このベンチマークは、強固なセキュリティ体制を維持できるように Kubernetes リソースを構成するための一連の推奨事項です。
ポリシー バンドルは Google によって作成、管理されます。バンドルごとのカバレッジなど、ポリシーのカバレッジの詳細については、Policy Controller ダッシュボードをご覧ください。
ポリシー バンドルは、Google Kubernetes Engine(GKE)Enterprise エディションのライセンスに含まれています。
利用可能な Policy Controller のバンドル
次の表は利用可能なポリシー バンドルの一覧です。バンドルの適用方法、リソースの監査方法、ポリシーの適用方法に関するドキュメントを参照するには、ポリシー バンドルの名前を選択してください。
[bundle alias] 列には、バンドルの単一トークン名が一覧表示されます。この値は、Google Cloud CLI コマンドでバンドルを適用するために必要です。
[earliest included version] 列に、バンドルが Policy Controller で使用できる最も古いバージョンが一覧表示されます。つまり、これらのバンドルを直接インストールできます。Policy Controller のどのバージョンでも、表にリンクされている手順に従えば、利用可能なバンドルをインストールできます。
| 名前と説明 | バンドル エイリアス | 最も古い収録バージョン | 種類 | 参照制約を含む |
|---|---|---|---|---|
| CIS GKE Benchmark: Google Kubernetes Engine(GKE)の構成に推奨される一連のセキュリティ管理である CIS GKE Benchmark v1.5 に対してクラスタのコンプライアンスを監査します。 | cis-gke-v1.5.0 |
not available | Kubernetes 標準 | はい |
| CIS Kubernetes Benchmark: 強力なセキュリティ対策をサポートするように Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.5 に対してクラスタのコンプライアンスを監査します。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 標準 | はい |
| CIS Kubernetes Benchmark(プレビュー): 強固なセキュリティ体制がサポートされるよう Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.7 に対するクラスタのコンプライアンスを監査します。 | cis-k8s-v1.7.1 |
提供なし | Kubernetes 標準 | はい |
| コストと信頼性: コストと信頼性のバンドルを使用すると、ワークロードのパフォーマンスや信頼性を損なうことなく、コスト効率の高い GKE クラスタを実行するためのベスト プラクティスを採用できます。 | cost-reliability-v2023 |
1.16.1 | おすすめの方法 | はい |
| MITRE(プレビュー): MITRE ポリシー バンドルは、実際のモニタリングに基づく攻撃者の戦術と手法に関する MITRE のナレッジベースのいくつかの側面に対して、クラスタ リソースのコンプライアンスを評価するのに役立ちます。 | mitre-v2024 |
not available | 業界基準 | はい |
| Pod Security Policy: Kubernetes Pod Security Policy(PSP)に基づいて保護を適用します。 | psp-v2022 |
1.15.2 | Kubernetes 標準 | いいえ |
| Pod セキュリティ標準ベースライン: Kubernetes Pod Security Standards(PSS)Baseline ポリシーに基づいて保護を適用します。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 標準 | いいえ |
| Pod Security Standards Restricted: Kubernetes Pod Security Standards(PSS)Restricted ポリシーに基づいて保護を適用します。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 標準 | いいえ |
| Anthos Service Mesh セキュリティ: Anthos Service Mesh セキュリティの脆弱性とベスト プラクティスのコンプライアンスを監査します。 | asm-policy-v0.0.1 |
1.15.2 | おすすめの方法 | はい |
| Policy Essentials: クラスタ リソースにベスト プラクティスを適用します。 | policy-essentials-v2022 |
1.14.1 | おすすめの方法 | いいえ |
| NIST SP 800-53 Rev. 5: NIST SP 800-53 Rev. 5 バンドルには、NIST 特別刊行物(SP)800-53、Revision 5 に記載されている管理機能が実装されています。バンドルは、すぐに使用できるセキュリティとプライバシー ポリシーを実装することで、組織がさまざまな脅威からシステムとデータを保護するのに役立ちます。 | nist-sp-800-53-r5 |
1.16.0 | 業界基準 | はい |
| NIST SP 800-190: NIST SP 800-190 バンドルには、NIST 特別刊行物(SP)800-190、Application Container Security Guide に記載されている管理機能が実装されています。このバンドルは、イメージ セキュリティ、コンテナ ランタイム セキュリティ、ネットワーク セキュリティ、ホストシステム セキュリティなどのアプリケーション コンテナ セキュリティで組織を支援することを目的としています。 | nist-sp-800-190 |
1.16.0 | 業界基準 | はい |
| NSA CISA Kubernetes 強化ガイド v1.2: NSA CISA Kubernetes 強化ガイド v1.2 に基づいて保護を適用します。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 業界基準 | はい |
| PCI-DSS v3.2.1: Payment Card Industry データ セキュリティ基準(PCI-DSS)v3.2.1 に基づいて保護を適用します。 | pci-dss-v3.2.1 または pci-dss-v3.2.1-extended |
1.15.2 | 業界基準 | はい |
| PCI-DSS v4.0(プレビュー): Payment Card Industry データ セキュリティ基準(PCI-DSS)v4.0 に基づいて保護を適用します。 | pci-dss-v4.0 |
提供なし | 業界基準 | はい |
次のステップ
- Policy Controller の無料トライアルを試す。
- 個別の制約の適用について学ぶ。
- クラスタにベスト プラクティスを適用する。
- CI / CD パイプラインでポリシー バンドルを使用してシフトレフトするためのチュートリアルを利用する。