Usar os painéis do Policy Controller

Nesta página, explicamos como usar os painéis do Policy Controller para visualizar a cobertura de políticas e as violações de cluster.

Esta página é destinada a administradores e operadores de TI que querem garantir que todos os recursos executados na plataforma de nuvem atendam a requisitos de conformidade organizacional, fornecendo e mantendo automação para auditar ou aplicar. Eles também configuram alertas e monitoram sistemas de TI para desempenho e vulnerabilidades. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e funções de usuário comuns do GKE Enterprise.

Use o console do Google Cloud para ver um painel que contém informações sobre a cobertura da política. O painel mostra informações como as seguintes:

  • O número de clusters em uma frota (incluindo clusters não registrados) que têm o Policy Controller instalado.
  • o número de clusters com o Controlador de políticas instalado que contêm violações de política;
  • o número de restrições aplicadas aos clusters por ação de cumprimento;

Se você estiver usando pacotes do Policy Controller, terá uma visão geral da conformidade com base nos padrões de um ou mais pacotes. Essa visão geral é agregada no nível da frota e também inclui os clusters não registrados (Visualização).

Antes de começar

  1. Verifique se os clusters estão registrados em uma frota e se eles têm o Policy Controller instalado.

  2. Para receber as permissões necessárias para usar o painel do Policy Controller, peça ao administrador para conceder a você os seguintes papéis do IAM:

    • Leitor do GKE Hub (roles/gkehub.viewer) no projeto que contém sua frota
    • Leitor do Monitoring (roles/monitoring.viewer) em cada projeto com um cluster na frota

    Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Acessar o status do Controlador de políticas

Confira informações sobre a cobertura da política no console do Google Cloud.

  1. No console do Google Cloud, acesse a página Política do GKE Enterprise na seção Gerenciamento de postura.

    Acessar a política

    Na guia Painel, confira uma visão geral da cobertura do Policy Controller com as seguintes informações:

    • A cobertura do Controlador de políticas mostra o número de clusters com e sem o Controlador de políticas instalado.
    • O painel Clusters em violação mostra o número de clusters sem violações e o número de clusters com violações. As violações são baseadas em quais restrições são aplicadas ao cluster.
    • A ação Cumprimento mostra o tipo de ação especificado em cada restrição. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
    • Conformidade por padrões, uma visão geral da conformidade com base nos padrões em um ou mais pacotes do Controlador de políticas. Se você não estiver usando nenhum pacote, o status nesta seção será exibido como "100% não aplicado".

  2. Para informações mais detalhadas sobre violações de políticas no cluster, acesse a guia Violações:

    1. Na seção Visualizar por, selecione uma das seguintes opções:

      • Restrição: veja uma lista simples de todas as restrições com violações no cluster.
      • Namespace: ver as restrições com violações organizadas pelo namespace que contém o recurso com uma violação.
      • Tipo de recurso: veja as restrições com violações, organizadas pelo recurso com uma violação.

    2. Em qualquer visualização, selecione o nome da restrição que você quer visualizar.

      A guia Detalhes mostra informações sobre a violação, incluindo a ação recomendada para resolvê-la.

      A guia Recursos afetados mostra informações sobre quais recursos estão sendo avaliados pela restrição e têm violações da política.

Veja as descobertas da política no Security Command Center

Depois que o Policy Controller for instalado, você poderá conferir as violações da política no Security Command Center. Isso permite que você veja sua postura de segurança para os recursos do Google Cloud e do Kubernetes no mesmo lugar. O Security Command Center precisa estar ativado na sua organização no nível Standard ou Premium.

No Security Command Center, as violações da política são mostradas como descobertas de Misconfiguration. A categoria e as próximas etapas de cada descoberta são as mesmas que a descrição da restrição e as etapas de correção.

Para mais informações sobre o uso do Policy Controller no Security Command Center, consulte Descobertas de vulnerabilidade do Policy Controller.