Utiliser les contraintes du règlement NIST SP 800-190
Policy Controller est fourni avec une bibliothèque par défaut de modèles de contraintes qui peuvent être utilisés avec le bundle NIST SP 800-190 qui implémente les contrôles listés dans la publication spéciale (SP) 800-190 du NIST (National Institute of Standards and Technology), Application Container Security Guide. Il vise à aider les organisations à gérer la sécurité des conteneurs d'applications, y compris la sécurité des images, la sécurité de l'environnement d'exécution des conteneurs, la sécurité du réseau et la sécurité du système hôte, pour n'en citer que quelques-uns.
Contraintes des groupes de règles NIST SP 800-190
Nom de la contrainte | Description de la contrainte | ID de commande |
---|---|---|
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | AC-2 Account Management |
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | Application des accès AC-3 |
nist-sp-800-190-block-secrets-of-type-basic-auth | Limite l'utilisation des secrets de type "basic-auth". | Application du contrôle des flux d'informations AC-4 |
nist-sp-800-190-require-binauthz | Nécessite le Binary Authorization Validating Admission Webhook. | |
nist-sp-800-190-require-namespace-network-policies | Nécessite que chaque espace de noms défini dans le cluster ait un objet NetworkPolicy. | |
nist-sp-800-190-restrict-hostpath-volumes | Limite l'utilisation des volumes HostPath. | |
nist-sp-800-190-require-binauthz | Nécessite le Binary Authorization Validating Admission Webhook. | Premier privilège AC-6 |
nist-sp-800-190-restrict-clusteradmin-rolebindings | Limite l'utilisation du rôle "cluster-admin". | |
nist-sp-800-190-restrict-repos | Limite les images de conteneurs à une liste de dépôts autorisée. | |
nist-sp-800-190-restrict-role-wildcards | Limite l'utilisation des caractères génériques dans les "Roles" (rôles) et les "ClusterRoles" (rôles de cluster). | |
nist-sp-800-190-nodes-have-consistent-time | Assure la cohérence et l'exactitude des heures sur les nœuds en n'autorisant que Container-Optimized OS(COS) ou Ubuntu comme image de l'OS. | Horodatage AU-8 |
nist-sp-800-190-require-namespace-network-policies | Nécessite que chaque espace de noms défini dans le cluster ait un objet NetworkPolicy. | Connexions système internes CA-9 |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | Configuration de la version de référence CM-2 |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-apparmor | Limite les profils AppArmor autorisés pour les pods. | Contrôle des modifications de configuration CM-3 |
nist-sp-800-190-block-secrets-of-type-basic-auth | Limite l'utilisation des secrets de type "basic-auth". | |
nist-sp-800-190-capabilities | Limite les autres capacités autorisées pour les pods. | |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | |
nist-sp-800-190-host-namespaces | Limite les conteneurs dont "hostPID" ou "hostIPC" est défini sur "true". | |
nist-sp-800-190-host-network | Empêche l'exécution des conteneurs lorsque l'indicateur "hostNetwork" est défini sur "true". | |
nist-sp-800-190-privileged-containers | Limite les conteneurs pour lesquels "securityContext.privileged" est défini sur "true". | |
nist-sp-800-190-proc-mount-type | Nécessite les masques "/proc" par défaut pour les pods | |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-hostpath-volumes | Limite l'utilisation des volumes HostPath. | |
nist-sp-800-190-restrict-volume-types | Limite les types de volumes installables à la liste des volumes autorisés. | |
nist-sp-800-190-seccomp | Le profil Seccomp ne doit pas être défini explicitement sur "Unconfined". | |
nist-sp-800-190-selinux | Limite la configuration SELinux des pods. | |
nist-sp-800-190-sysctls | Limite les Sysctls autorisés pour les pods. | |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | Analyse d'impact sur la sécurité CM-4 |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-clusteradmin-rolebindings | Limite l'utilisation du rôle "cluster-admin". | |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | Restrictions d'accès CM-5 liées au changement |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-clusteradmin-rolebindings | Limite l'utilisation du rôle "cluster-admin". | |
nist-sp-800-190-block-secrets-of-type-basic-auth | Limite l'utilisation des secrets de type "basic-auth". | Paramètres de configuration CM-6 |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | |
nist-sp-800-190-require-binauthz | Nécessite le Binary Authorization Validating Admission Webhook. | |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-hostpath-volumes | Limite l'utilisation des volumes HostPath. | |
nist-sp-800-190-restrict-volume-types | Limite les types de volumes installables à la liste des volumes autorisés. | |
nist-sp-800-190-apparmor | Limite les profils AppArmor autorisés pour les pods. | Moins de fonctionnalités pour CM-7 |
nist-sp-800-190-capabilities | Limite les autres capacités autorisées pour les pods. | |
nist-sp-800-190-host-namespaces | Limite les conteneurs dont "hostPID" ou "hostIPC" est défini sur "true". | |
nist-sp-800-190-host-network | Empêche l'exécution des conteneurs lorsque l'indicateur "hostNetwork" est défini sur "true". | |
nist-sp-800-190-privileged-containers | Limite les conteneurs pour lesquels "securityContext.privileged" est défini sur "true". | |
nist-sp-800-190-proc-mount-type | Nécessite les masques "/proc" par défaut pour les pods | |
nist-sp-800-190-restrict-clusteradmin-rolebindings | Limite l'utilisation du rôle "cluster-admin". | |
nist-sp-800-190-restrict-hostpath-volumes | Limite l'utilisation des volumes HostPath. | |
nist-sp-800-190-restrict-volume-types | Limite les types de volumes installables à la liste des volumes autorisés. | |
nist-sp-800-190-seccomp | Le profil Seccomp ne doit pas être défini explicitement sur "Unconfined". | |
nist-sp-800-190-selinux | Limite la configuration SELinux des pods. | |
nist-sp-800-190-sysctls | Limite les Sysctls autorisés pour les pods. | |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | Sauvegarde du système CP-9 |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | CP-10 Récupération et reconstitution du système d’information |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | Identification et authentification IA-2 (Utilisateurs organisationnels) |
nist-sp-800-190-block-creation-with-default-serviceaccount | Limitez la création de ressources à l'aide d'un compte de service par défaut. | Gestion des identifiants IA-4 |
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | |
nist-sp-800-190-require-binauthz | Nécessite le Binary Authorization Validating Admission Webhook. | Gestion de l'authentificateur IA-5 |
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | |
nist-sp-800-190-restrict-rbac-subjects | Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. | MA-4 Maintenance non locale |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | Gestion de la configuration des développeurs SA-10 |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-require-namespace-network-policies | Nécessite que chaque espace de noms défini dans le cluster ait un objet NetworkPolicy. | Informations SC-4 dans les ressources partagées |
nist-sp-800-190-cpu-and-memory-limits-required | Les pods doivent spécifier les limites de processeur et de mémoire. | Disponibilité des ressources SC-6 |
nist-sp-800-190-asm-peer-authn-strict-mtls | Permet de s'assurer que PeerAuthentications ne peut pas écraser mTLS strict. | Confidentialité et intégrité de la transmission SC-8 |
nist-sp-800-190-block-secrets-of-type-basic-auth | Limite l'utilisation des secrets de type "basic-auth". | Logiciel, micrologiciel et intégrité des informations SI-7 |
nist-sp-800-190-enforce-config-management | Nécessite l'exécution de Config Sync et l'activation de la protection contre la dérive avec au moins un objet "RootSync" sur le cluster. | |
nist-sp-800-190-require-binauthz | Nécessite le Binary Authorization Validating Admission Webhook. | |
nist-sp-800-190-require-managed-by-label | Nécessite que toutes les applications disposent d'un libellé "app.kubernetes.io/managed-by" valide. | |
nist-sp-800-190-restrict-hostpath-volumes | Limite l'utilisation des volumes HostPath. |
Avant de commencer
- Installez et initialisez la Google Cloud CLI, qui fournit les commandes
gcloud
etkubectl
utilisées dans ces instructions. Si vous utilisez Cloud Shell, Google Cloud CLI est préinstallé. - Installez Policy Controller sur votre cluster avec la bibliothèque de modèles de contraintes par défaut. Vous devez également activer la prise en charge des contraintes référentielles, car ce groupe contient des contraintes référentielles.
Configurer Policy Controller pour les contraintes référentielles
Enregistrez le fichier manifeste YAML suivant dans un fichier sous le nom
policycontroller-config.yaml
. Le fichier manifeste configure Policy Controller pour surveiller des types d'objets spécifiques.apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "networking.k8s.io" version: "v1" kind: "NetworkPolicy" - group: "configsync.gke.io" version: "v1beta1" kind: "RootSync" - group: "admissionregistration.k8s.io" version: "v1" kind: "ValidatingWebhookConfiguration"
Appliquez le fichier manifeste
policycontroller-config.yaml
:kubectl apply -f policycontroller-config.yaml
Configurer votre cluster et votre charge de travail
- L'activation et la configuration de Config Sync
, y compris du webhook d'admission de prévention des dérives, sont requises dans
nist-sp-800-190-enforce-config-management
. - Les images de conteneurs sont limitées à une liste de dépôts autorisés, qui peut être personnalisée si nécessaire dans
nist-sp-800-190-restrict-repos
. - Les nœuds doivent utiliser Container-Optimized OS ou Ubuntu pour leur image dans
nist-sp-800-190-nodes-have-consistent-time
. L'activation et la configuration de l'autorisation binaire sont requises dans
nist-sp-800-190-require-binauthz
.
Auditer le groupe de règles NIST SP 800-190
Policy Controller vous permet d'appliquer des règles à votre cluster Kubernetes. Pour tester vos charges de travail et leur conformité vis-à-vis des règles NIST décrites dans le tableau précédent, vous pouvez déployer ces contraintes en mode "audit" afin de détecter les cas de non-respect et, surtout, de pouvoir les corriger avant de les appliquer sur votre cluster Kubernetes.
Vous pouvez appliquer ces règles avec un paramètre spec.enforcementAction
défini sur dryrun
à l'aide de kubectl, kpt ou Config Sync.
kubectl
(Facultatif) Prévisualisez les contraintes de la règle avec kubectl:
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-190
Appliquez les contraintes de la règle avec kubectl:
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-190
Le résultat est le suivant :
asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-190-asm-peer-authn-strict-mtls created k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-190-restrict-repos created k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-190-block-creation-with-default-serviceaccount created k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-190-block-secrets-of-type-basic-auth created k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-190-enforce-config-management created k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-190-apparmor created k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-190-capabilities created k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-190-sysctls created k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-190-restrict-hostpath-volumes created k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-190-host-namespaces created k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-190-host-network created k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-190-privileged-containers created k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-190-proc-mount-type created k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-190-selinux created k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-190-seccomp created k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-190-restrict-volume-types created k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-190-restrict-role-wildcards created k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-190-require-binauthz created k8srequirecosnodeimage.constraints.gatekeeper.sh/nist-sp-800-190-nodes-have-consistent-time created k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-190-require-namespace-network-policies created k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-190-require-managed-by-label created k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-190-cpu-and-memory-limits-required created k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-190-restrict-rbac-subjects created k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-190-restrict-clusteradmin-rolebindings created
Vérifiez que les contraintes de règles ont été installées et si des cas de non-respect existent dans le cluster :
kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-190
Le résultat ressemble à ce qui suit :
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-190-apparmor dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-190-require-binauthz dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-190-restrict-rbac-subjects dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-190-sysctls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-190-restrict-volume-types dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-190-host-network dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-190-host-namespaces dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-190-restrict-role-wildcards dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-190-block-creation-with-default-serviceaccount dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-190-restrict-hostpath-volumes dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-190-seccomp dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-190-asm-peer-authn-strict-mtls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-190-cpu-and-memory-limits-required dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-190-proc-mount-type dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-190-block-secrets-of-type-basic-auth dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-190-require-namespace-network-policies dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-190-capabilities dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-190-require-managed-by-label dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-190-privileged-containers dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-190-restrict-repos dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-190-selinux dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-190-enforce-config-management dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-190-restrict-clusteradmin-rolebindings dryrun 0
kpt
Installez et configurez kpt.
kpt est utilisé dans ces instructions pour personnaliser et déployer des ressources Kubernetes.
Téléchargez le bundle de règles NIST SP 800-190 depuis GitHub à l'aide de kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-190
Exécutez la fonction kpt
set-enforcement-action
pour définir l'action coercitive des règles surdryrun
:kpt fn eval nist-sp-800-190 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
Initialisez le répertoire de travail avec kpt, qui crée une ressource pour suivre les modifications :
cd nist-sp-800-190 kpt live init
Appliquez les contraintes de règles avec kpt :
kpt live apply
Vérifiez que les contraintes de règles ont été installées et si des cas de non-respect existent dans le cluster :
kpt live status --output table --poll-until current
L'état
CURRENT
confirme l'installation des contraintes.
Config Sync
Installez et configurez kpt.
kpt est utilisé dans ces instructions pour personnaliser et déployer des ressources Kubernetes.
Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :
Accédez au répertoire de synchronisation pour Config Sync :
cd SYNC_ROOT_DIR
Pour créer ou ajouter
.gitignore
avecresourcegroup.yaml
:echo resourcegroup.yaml >> .gitignore
Créez un répertoire
policies
dédié:mkdir -p policies
Téléchargez le bundle de règles NIST SP 800-190 depuis GitHub à l'aide de kpt:
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-190 policies/nist-sp-800-190
Exécutez la fonction kpt
set-enforcement-action
pour définir l'action coercitive des règles surdryrun
:kpt fn eval policies/nist-sp-800-190 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(Facultatif) Prévisualisez les contraintes de règle à créer:
kpt live init policies/nist-sp-800-190 kpt live apply --dry-run policies/nist-sp-800-190
Si votre répertoire de synchronisation pour Config Sync utilise Kustomize, ajoutez
policies/nist-sp-800-190
à votrekustomization.yaml
racine. Sinon, supprimez le fichierpolicies/nist-sp-800-190/kustomization.yaml
:rm SYNC_ROOT_DIR/policies/nist-sp-800-190/kustomization.yaml
Transférez les modifications au dépôt Config Sync :
git add SYNC_ROOT_DIR/policies/nist-sp-800-190 git commit -m 'Adding NIST SP 800-190 policy audit enforcement' git push
Vérifiez l'état de l'installation :
watch gcloud beta container fleet config-management status --project PROJECT_ID
L'état
SYNCED
confirme l'installation des règles .
Consulter les notifications de non-respect des règles
Une fois les contraintes de règle installées en mode audit, vous pouvez afficher les cas de non-respect des règles du cluster dans l'interface utilisateur à l'aide du tableau de bord Policy Controller.
Vous pouvez également utiliser
kubectl
pour afficher les cas de non-respect des règles sur le cluster à l'aide de la commande suivante:kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-190 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
En cas de non-respect des règles, vous pouvez consulter la liste des messages de non-conformité par contrainte à l'aide de la commande suivante:
kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-190 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
Modification de l'action d'application du groupe de règles NIST SP 800-190
Une fois que vous avez examiné les cas de non-respect des règles sur votre cluster, vous pouvez modifier le mode d'application afin que le contrôleur d'admission warn
(ou même deny
) bloque l'application des ressources non conformes au cluster.
kubectl
Utilisez kubectl pour définir l'action coercitive des règles sur
deny
:kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-190 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'
Vérifiez que l'action coercitive des contraintes de la règle a été mise à jour:
kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-190
kpt
Exécutez la fonction kpt
set-enforcement-action
pour définir l'action coercitive des règles surdeny
:kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=deny
Appliquez les contraintes de règles :
kpt live apply
Config Sync
Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :
Accédez au répertoire de synchronisation pour Config Sync :
cd SYNC_ROOT_DIR
Exécutez la fonction kpt
set-enforcement-action
pour définir l'action coercitive des règles surdeny
:kpt fn eval policies/nist-sp-800-190 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=deny
Transférez les modifications au dépôt Config Sync :
git add SYNC_ROOT_DIR/policies/nist-sp-800-190 git commit -m 'Adding NIST SP 800-190 policy warn enforcement' git push
Vérifiez l'état de l'installation :
gcloud alpha anthos config sync repo list --project PROJECT_ID
L'affichage de votre dépôt dans la colonne
SYNCED
confirme l'installation des règles.
Tester l'application des règles
Créez une ressource non conforme sur le cluster à l'aide de la commande suivante :
cat <<EOF | kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: wp-non-compliant spec: containers: ‐ image: wordpress name: wordpress EOF
Le contrôleur d'admission doit générer un avertissement indiquant les cas de non-respect des règles que cette ressource ne respecte pas, comme illustré dans l'exemple suivant:
Warning: [nist-sp-800-190-cpu-and-memory-limits-required] container <wordpress> does not have <{"cpu", "memory"}> limits defined Warning: [nist-sp-800-190-restrict-repos] container <wordpress> has an invalid image repo <wordpress>, allowed repos are ["gcr.io/gke-release/", "gcr.io/anthos-baremetal-release/", "gcr.io/config-management-release/", "gcr.io/kubebuilder/", "gcr.io/gkeconnect/", "gke.gcr.io/"] pod/wp-non-compliant created
Supprimer le groupe de règles NIST SP 800-190
Si nécessaire, le groupe de règles NIST SP 800-190 peut être supprimé du cluster.
kubectl
Utilisez kubectl pour supprimer les règles:
kubectl delete constraint -l policycontroller.gke.io/bundleName=nist-sp-800-190
kpt
Supprimez les règles:
kpt live destroy
Config Sync
Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :
Transférez les modifications au dépôt Config Sync :
git rm -r SYNC_ROOT_DIR/policies/nist-sp-800-190 git commit -m 'Removing NIST SP 800-190 policies' git push
Vérifiez l'état:
gcloud alpha anthos config sync repo list --project PROJECT_ID
L'affichage de votre dépôt dans la colonne
SYNCED
confirme la suppression des règles.