Questa pagina spiega cos'è Policy Controller e come puoi utilizzarlo per contribuire a garantire l'esecuzione sicura e conforme dei tuoi cluster e carichi di lavoro Kubernetes.
Questa pagina è rivolta agli amministratori IT, agli operatori e Specialisti della sicurezza che definiscono soluzioni IT e architettura di sistema in linea con la strategia aziendale e garantire che tutte le risorse all'interno della piattaforma cloud per soddisfare i requisiti di conformità dell'organizzazione la fornitura e la gestione dell'automazione per le attività di controllo o applicazione. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud, consulta Ruoli e attività comuni degli utenti di GKE Enterprise.
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse. Basata sull'open source Apri Policy Agent Gatekeeper Policy Controller è completamente integrato con Google Cloud, include una dashboard integrata, per l'osservabilità e include una libreria completa di criteri predefiniti controlli di sicurezza e conformità più comuni.
Policy Controller è disponibile con una licenza per la versione Google Kubernetes Engine (GKE) Enterprise.
Vantaggi di Policy Controller
- Integrato con Google Cloud: gli amministratori della piattaforma possono installare Policy Controller utilizzando la console Google Cloud, Terraform o Google Cloud CLI su qualsiasi cluster collegato al tuo parco risorse. Policy Controller funziona con altri servizi Google Cloud come Config Sync, metriche e Cloud Monitoring.
- Supporta più punti di applicazione: oltre al controllo di audit e di ammissione per il cluster, Policy Controller può attivare facoltativamente un approccio di scorrimento verso sinistra per analizzare e rilevare le modifiche non conformi prima dell'applicazione.
- Bundle di criteri predefiniti: Policy Controller include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni. Sono inclusi sia i bundle di norme, creati e gestiti da Google, sia la libreria di modelli di vincoli.
- Supporta norme personalizzate: se è necessaria la personalizzazione dei criteri oltre a cosa è disponibile utilizzando la libreria dei modelli di vincolo, Policy Controller supporta inoltre lo sviluppo di modelli di vincoli personalizzati.
- Osservabilità integrata: Policy Controller include una dashboard della console Google Cloud che fornisce una panoramica dello stato di tutti i criteri applicati al tuo parco risorse (inclusi i cluster non registrati). Nella dashboard puoi visualizzare conformità e applicazione delle norme per aiutarti a risolvere i problemi e ricevere opinioni consigli per risolvere le violazioni delle norme.
Pacchetti di criteri
Puoi utilizzare i pacchetti di criteri per applicare una serie di vincoli raggruppati in base a uno standard, a un criterio di sicurezza o a un tema di conformità Kubernetes specifico. Questi i pacchetti di criteri vengono creati e gestiti da Google, pertanto sono pronti per da utilizzare senza dover scrivere codice. Ad esempio, puoi utilizzare i seguenti set di norme:
- Applica molti degli stessi requisiti PodSecurityPolicy, ma con la possibilità di controllare la configurazione prima di applicarla, assicurandosi che le modifiche ai criteri non compromettano l'esecuzione dei carichi di lavoro.
- Utilizza vincoli compatibili con Cloud Service Mesh per per controllare la conformità delle vulnerabilità di sicurezza mesh pratiche.
- Applicare le best practice generali alle risorse del cluster per rafforzare la tua postura di sicurezza.
Panoramica dei pacchetti di Policy Controller fornisce ulteriori dettagli e un elenco dei pacchetti di criteri attualmente disponibili.
Vincoli
Policy Controller applica in modo forzato i cluster la conformità utilizzando gli oggetti chiamati vincoli. Puoi considerare i vincoli come dei "componenti di base" delle norme. Ogni vincolo definisce una modifica specifica consentita all'API Kubernetes per il cluster a cui viene applicata. Puoi impostare criteri per bloccare attivamente le richieste API non conformi o controllare la configurazione dei tuoi cluster e segnalare le violazioni. In entrambi i casi, puoi visualizzare i messaggi di avviso con i dettagli della violazione che si è verificata in un cluster. Con queste informazioni, puoi risolvere i problemi. Ad esempio, puoi utilizzare i seguenti singoli vincoli:
- Richiedi che ogni spazio dei nomi abbia almeno un'etichetta. Questo vincolo può essere utilizzato per garantire il monitoraggio accurato delle risorse quando si utilizza la misurazione dell'utilizzo di GKE, ad esempio.
- Limita i repository da cui è possibile estrarre una determinata immagine container. Questo vincolo garantisce che qualsiasi tentativo di estrarre i container da origini sconosciute venga negato, proteggendo i cluster dall'esecuzione di software potenzialmente dannoso.
- Specifica se un container può essere eseguito in modalità con privilegi. Questo vincolo controlla la possibilità di qualsiasi contenitore di attivare la modalità privilegiata, che ti consente di controllare quali contenitori (se presenti) possono essere eseguiti con criteri non limitati.
Questi sono solo alcuni dei vincoli forniti nella libreria di modelli di vincoli inclusa in Policy Controller. Questa libreria contiene numerosi criteri che puoi utilizzare per applicare le best practice e limitare i rischi. Se hai bisogno di una maggiore personalizzazione oltre a quanto disponibile nella libreria dei modelli di vincolo, puoi anche creare vincolo personalizzato modelli.
I vincoli possono essere applicati direttamente ai cluster utilizzando l'API Kubernetes o distribuiti a un insieme di cluster da un'origine centralizzata, come un repository Git, utilizzando Config Sync.