Usar os painéis do Policy Controller

Nesta página, explicamos como usar os painéis do Policy Controller para visualizar a cobertura de políticas e as violações de cluster.

Use o console do Google Cloud para ver um painel que contém informações sobre a cobertura da política. O painel mostra informações como as seguintes:

  • O número de clusters em uma frota (incluindo clusters não registrados) que têm o Policy Controller instalado.
  • o número de clusters com o Controlador de políticas instalado que contêm violações de política;
  • o número de restrições aplicadas aos clusters por ação de cumprimento;

captura de tela da página do painel de status do Anthos Config Management no console do Google Cloud.

Se você estiver usando pacotes do Policy Controller, terá uma visão geral da conformidade com base nos padrões de um ou mais pacotes. Essa visão geral é agregada no nível da frota e também inclui os clusters não registrados (Visualização).

Antes de começar

  1. Verifique se os clusters estão registrados em uma frota e se eles têm o Policy Controller instalado.

  2. Para receber as permissões necessárias para usar o painel do Policy Controller, peça ao administrador para conceder a você os seguintes papéis do IAM:

    • Leitor do GKE Hub (roles/gkehub.viewer) no projeto que contém sua frota
    • Leitor do Monitoring (roles/monitoring.viewer) em cada projeto com um cluster na frota

    Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Acessar o status do Controlador de políticas

Confira informações sobre a cobertura da política no console do Google Cloud.

  1. No console do Google Cloud:

    Na guia Painel, confira uma visão geral da cobertura do Policy Controller com as seguintes informações:

    • A cobertura do Controlador de políticas mostra o número de clusters com e sem o Controlador de políticas instalado.
    • O painel Clusters em violação mostra o número de clusters sem violações e o número de clusters com violações. As violações são baseadas em quais restrições são aplicadas ao cluster.
    • A ação Cumprimento mostra o tipo de ação especificado em cada restrição. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
    • Conformidade por padrões, uma visão geral da conformidade com base nos padrões em um ou mais pacotes do Controlador de políticas. Se você não estiver usando nenhum pacote, o status nesta seção será exibido como "100% não aplicado".
  2. Para informações mais detalhadas sobre violações de políticas no cluster, acesse a guia Violações:

    1. Na seção Visualizar por, selecione uma das seguintes opções:

      • Restrição: veja uma lista simples de todas as restrições com violações no cluster.
      • Namespace: ver as restrições com violações organizadas pelo namespace que contém o recurso com uma violação.
      • Tipo de recurso: veja as restrições com violações, organizadas pelo recurso com uma violação.
    2. Em qualquer visualização, selecione o nome da restrição que você quer visualizar.

      A guia Detalhes mostra informações sobre a violação, incluindo a ação recomendada para resolvê-la.

      A guia Recursos afetados mostra informações sobre quais recursos estão sendo avaliados pela restrição e têm violações da política.

Veja as descobertas da política no Security Command Center

Depois que o Policy Controller for instalado, você poderá conferir as violações da política no Security Command Center. Isso permite que você veja sua postura de segurança para os recursos do Google Cloud e do Kubernetes no mesmo lugar. O Security Command Center precisa estar ativado na sua organização ou projeto.

No Security Command Center, as violações da política são mostradas como descobertas de Misconfiguration. A categoria e as próximas etapas de cada descoberta são as mesmas que a descrição da restrição e as etapas de correção.

Para mais informações sobre o uso do Policy Controller no Security Command Center, consulte Descobertas de vulnerabilidade do Policy Controller.