Ringkasan Pengontrol Kebijakan
Halaman ini menjelaskan apa yang dimaksud dengan Pengontrol Kebijakan dan cara menggunakannya untuk membantu memastikan cluster dan workload Kubernetes berjalan dengan cara yang aman dan sesuai peraturan.
Pengontrol Kebijakan memungkinkan aplikasi dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu praktik terbaik, keamanan, dan pengelolaan kepatuhan cluster dan armada Anda. Berdasarkan project Open Policy Agent Gatekeeper open source, Pengontrol Kebijakan terintegrasi sepenuhnya dengan Google Cloud, menyertakan dasbor bawaan, untuk kemampuan observasi, dan dilengkapi dengan library lengkap kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum.
Pengontrol Kebijakan tersedia dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Manfaat Pengontrol Kebijakan
- Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Pengontrol Kebijakan dengan menggunakan konsol Google Cloud, Terraform, atau Google Cloud CLI pada cluster mana pun yang terhubung ke fleet Anda. Pengontrol Kebijakan bekerja dengan layanan Google Cloud lainnya, seperti Config Sync, metrics, dan Cloud Monitoring.
- Mendukung beberapa titik penerapan: Selain kontrol audit dan penerimaan untuk cluster Anda, Pengontrol Kebijakan dapat secara opsional mengaktifkan pendekatan geser kiri untuk menganalisis dan mendeteksi perubahan yang tidak mematuhi kebijakan sebelum diterapkan.
- Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Paket tersebut mencakup Paket kebijakan, yang dibuat dan dikelola oleh Google, dan library template batasan.
- Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan selain yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
- Kemampuan observasi bawaan: Pengontrol Kebijakan menyertakan dasbor Konsol Google Cloud, yang memberikan ringkasan status semua kebijakan yang diterapkan pada fleet Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat status kepatuhan dan penegakan untuk membantu Anda memecahkan masalah, dan dapatkan rekomendasi opini untuk menyelesaikan pelanggaran kebijakan.
Paket kebijakan
Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan berdasarkan tema kepatuhan, keamanan, atau standar Kubernetes tertentu. Paket kebijakan ini dibuat dan dikelola oleh Google, sehingga siap Anda gunakan tanpa harus menulis kode apa pun. Misalnya, Anda dapat menggunakan paket kebijakan berikut:
- Terapkan persyaratan yang sama seperti PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, pastikan perubahan kebijakan apa pun tidak akan mengganggu beban kerja yang sedang berjalan.
- Gunakan batasan yang kompatibel dengan Anthos Service Mesh untuk mengaudit kepatuhan kerentanan keamanan dan praktik terbaik mesh Anda.
- Terapkan praktik terbaik umum ke resource cluster Anda untuk membantu memperkuat postur keamanan Anda. Paket ini juga digunakan dalam fitur Coba Sebelum Membeli Pengontrol Kebijakan, sehingga Anda dapat mencoba serangkaian kebijakan dasar pengukuran ini secara on-demand tanpa biaya tambahan.
Ringkasan paket Pengontrol Kebijakan memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.
Batasan
Pengontrol Kebijakan menerapkan kepatuhan cluster Anda menggunakan objek yang disebut batasan. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan spesifik pada Kubernetes API yang diizinkan atau tidak diizinkan pada cluster yang menerapkannya. Anda dapat menetapkan kebijakan untuk secara aktif memblokir permintaan API yang tidak mematuhi kebijakan atau mengaudit konfigurasi cluster Anda dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan yang berisi detail tentang pelanggaran yang terjadi pada cluster. Dengan informasi itu, Anda dapat memperbaiki masalah. Misalnya, Anda dapat menggunakan batasan individual berikut:
- Wajibkan setiap namespace memiliki setidaknya satu label. Misalnya, batasan ini dapat digunakan untuk memastikan pelacakan konsumsi resource yang akurat saat menggunakan GKE Usage Pengukuran.
- Membatasi repositori tempat image container tertentu dapat diambil. Batasan ini memastikan setiap upaya untuk menarik container dari sumber tidak dikenal ditolak, yang melindungi cluster Anda dari menjalankan software yang berpotensi berbahaya.
- Mengontrol apakah container dapat berjalan dalam mode hak istimewa atau tidak. Batasan ini mengontrol kemampuan penampung apa pun untuk mengaktifkan mode hak istimewa, yang memberi Anda kontrol atas penampung mana (jika ada) yang dapat berjalan dengan kebijakan yang tidak dibatasi.
Ini hanyalah beberapa batasan yang disediakan dalam library template batasan yang disertakan dengan Pengontrol Kebijakan. Library ini berisi berbagai kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika memerlukan lebih banyak penyesuaian di luar yang tersedia di library template batasan, Anda juga dapat membuat template batasan kustom.
Batasan dapat diterapkan langsung ke cluster Anda menggunakan Kubernetes API, atau didistribusikan ke kumpulan cluster dari sumber tepercaya menggunakan Sinkronisasi Konfigurasi.
Langkah selanjutnya
- Coba Pengontrol Kebijakan tanpa biaya.
- Menginstal Pengontrol Kebijakan.
- Pelajari paket kebijakan.
- Menerapkan paket kebijakan