Présentation de Policy Controller
Cette page explique en quoi consiste Policy Controller, et comment l'utiliser pour vous assurer que vos clusters et charges de travail Kubernetes s'exécutent de manière sécurisée et conforme.
Policy Controller permet d'appliquer des règles programmables pour vos clusters Kubernetes. Ces règles servent de garde-fous et peuvent vous aider à appliquer les bonnes pratiques, à assurer la sécurité et à gérer la conformité de vos clusters et de votre parc. Basé sur le projet Open Source Open Policy Agent Gatekeeper, Policy Controller est entièrement intégré à Google Cloud. Il comprend un tableau de bord intégré pour améliorer l'observabilité, ainsi qu'une bibliothèque complète de règles prédéfinies pour les contrôles de sécurité et de conformité courants.
Policy Controller est disponible avec une licence Google Kubernetes Engine (GKE) Enterprise.
Avantages de Policy Controller
- Intégration à Google Cloud: les administrateurs de la plate-forme peuvent installer Policy Controller à l'aide de la console Google Cloud, de Terraform ou de Google Cloud CLI sur n'importe quel cluster connecté à votre parc. Policy Controller fonctionne avec d'autres services Google Cloud tels que Config Sync, metrics et Cloud Monitoring.
- Compatibilité avec plusieurs points d'application: en plus d'assurer le contrôle d'audit et d'admission de votre cluster, Policy Controller peut éventuellement activer une approche par décalage à gauche pour analyser et détecter les modifications non conformes avant l'application.
- Groupes de règles prédéfinis: Policy Controller est fourni avec une bibliothèque complète de règles prédéfinies pour les contrôles de sécurité et de conformité courants. Ceux-ci incluent à la fois des groupes de règles, qui sont créés et gérés par Google, et la bibliothèque de modèles de contraintes.
- Compatibilité avec les règles personnalisées: si la personnalisation des règles est requise au-delà de ce qui est disponible avec la bibliothèque de modèles de contraintes, Policy Controller est également compatible avec le développement de modèles de contraintes personnalisés.
- Observabilité intégrée: Policy Controller inclut un tableau de bord dans la console Google Cloud, qui offre un aperçu de l'état de toutes les règles appliquées à votre parc (y compris les clusters non enregistrés). Consultez le tableau de bord pour connaître l'état de conformité et d'application afin de dépanner plus facilement votre solution, et obtenez des recommandations avisées pour résoudre les cas de non-respect des règles.
Groupes de règles
Vous pouvez utiliser des groupes de règles pour appliquer un certain nombre de contraintes regroupées sous un thème spécifique de norme, de sécurité ou de conformité Kubernetes. Ces groupes de règles sont créés et gérés par Google, et sont donc prêts à être utilisés sans avoir à écrire de code. Par exemple, vous pouvez utiliser les groupes de règles suivants:
- Appliquez une grande partie des exigences des règles PodSecurityPolicy, mais avec la possibilité d'auditer votre configuration avant de l'appliquer, vous vous assurez que les modifications apportées aux règles n'interrompent pas l'exécution des charges de travail.
- Utilisez des contraintes compatibles avec Anthos Service Mesh pour auditer la conformité des failles et des bonnes pratiques de sécurité de votre maillage.
- Appliquez les bonnes pratiques générales à vos ressources de cluster pour renforcer votre stratégie de sécurité. Ce lot est également utilisé dans la fonctionnalité Essayer avant d'acheter de Policy Controller. Vous pouvez donc essayer cet ensemble de règles de référence à la demande sans frais supplémentaires.
La présentation des groupes Policy Controller fournit plus de détails et une liste des groupes de règles actuellement disponibles.
Contraintes
Policy Controller assure la conformité de votre cluster à l'aide d'objets appelés contraintes. Considérez les contraintes comme les "éléments constitutifs" d'une règle. Chaque contrainte définit une modification spécifique de l'API Kubernetes qui est autorisée ou non sur le cluster auquel elle s'applique. Vous pouvez définir des règles pour bloquer activement les requêtes API non conformes ou pour auditer la configuration de vos clusters et signaler les cas de non-respect. Dans les deux cas, vous pouvez afficher des messages d'avertissement avec des détails sur le cas de non-conformité constaté sur un cluster. Grâce à ces informations, vous pouvez résoudre les problèmes. Par exemple, vous pouvez utiliser les contraintes individuelles suivantes:
- Exigez que chaque espace de noms comporte au moins un libellé. Cette contrainte permet par exemple de garantir un suivi précis de la consommation des ressources avec la mesure de l'utilisation de GKE.
- Restreindre les dépôts à partir desquels une image de conteneur donnée peut être extraite. Cette contrainte garantit le refus de toute tentative d'extraction de conteneurs de sources inconnues, protégeant ainsi vos clusters de l'exécution de logiciels potentiellement malveillants.
- Contrôler si un conteneur peut s'exécuter en mode privilégié ou non Cette contrainte contrôle la capacité de n'importe quel conteneur à activer le mode privilégié, ce qui vous permet de contrôler quels conteneurs (le cas échéant) peuvent s'exécuter avec une règle sans restriction.
Ce ne sont là que quelques-unes des contraintes fournies dans la bibliothèque de modèles de contraintes incluse dans Policy Controller. Cette bibliothèque contient de nombreuses règles que vous pouvez utiliser pour appliquer les bonnes pratiques et limiter les risques. Si vous avez besoin d'une personnalisation plus poussée que celle disponible dans la bibliothèque de modèles de contraintes, vous pouvez également créer des modèles de contraintes personnalisés.
Les contraintes peuvent être appliquées directement à vos clusters à l'aide de l'API Kubernetes ou distribuées à un ensemble de clusters à partir d'une source de référence à l'aide de Config Sync.
Étapes suivantes
- Essayez Policy Controller sans frais.
- Installer Policy Controller
- En savoir plus sur les groupes de règles
- Appliquer des groupes de règles