PCI-DSS v3.2.1 ポリシーの制約を使用する

Policy Controller には、Payment Card Industry データ セキュリティ基準(PCI-DSS)v3.2.1 の一部のアスペクトに対するクラスタ リソースのコンプライアンスを評価するために、PCI-DSS v3.2.1 バンドルで使用できる制約テンプレートのデフォルト ライブラリが付属しています。

このページは、監査または適用のために自動化を行い、維持することで、クラウド プラットフォーム内で実行されているすべてのリソースが組織のコンプライアンス要件を確実に満たすようにする IT 管理者と運用担当者を対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

PCI-DSS v3.2.1 ポリシー バンドルの制約

制約名 制約の説明 コントロール ID プロフィール
pci-dss-v3.2.1-resources-have-required-labels すべてのアプリに特定のラベルを含めることを必須にすることで、ファイアウォールの要件を保証します。 1.1.4 Standard
pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations すべてのアプリに特定のアノテーションを含めることを必須にすることで、ネットワーク制御の要件を保証します。 1.1.5、2.4 Standard
pci-dss-v3.2.1-require-default-deny-network-policies クラスタに定義されている Namespace で、下り(外向き)にデフォルトの拒否 NetworkPolicy を設定する必要があります。 1.2、1.3、2.2.2 Extended
pci-dss-v3.2.1-block-all-ingress Ingress オブジェクトの作成を制限します。 1.2、1.3 Extended
pci-dss-v3.2.1-require-valid-network-ranges 上り(内向き)と下り(外向き)で許可される CIDR 範囲を制限します。 1.2、1.3.2 Extended
pci-dss-v3.2.1-require-namespace-network-policies クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 1.2 Standard
pci-dss-v3.2.1-enforce-managed-by-configmanagement-label RoleBinding リソースに有効な app.kubernetes.io/managed-by= ラベルが必要です。 1.2.2、8.1.2 Standard
pci-dss-v3.2.1-block-creation-with-default-serviceaccount デフォルトのサービス アカウントを使用したリソースの作成を制限します。 2.1 Standard
pci-dss-v3.2.1-restrict-default-namespace Pod がデフォルトの Namespace を使用できないようにします。 2.1 Standard
pci-dss-v3.2.1-asm-peer-authn-strict-mtls すべての PeerAuthentication が厳格な mtls を上書きできないようにします。 4.1 Standard
pci-dss-v3.2.1-require-av-daemonset Anti-Virus DaemonSet が必要です。 5.1.1、5.3 Standard
pci-dss-v3.2.1-enforce-config-management Config Sync のプレゼンスと有効化を適用します。 5.3、6.1、6.4 Standard
pci-dss-v3.2.1-enforce-cloudarmor-backendconfig BackendConfig リソースに Cloud Armor 構成を適用します。 6.5、6.6 Standard
pci-dss-v3.2.1-restrict-rbac-subjects RBAC サブジェクト内の名前の使用を、許可された値に制限します。 8.1、8.1.5 Extended
pci-dss-v3.2.1-block-secrets-of-type-basic-auth basic-auth タイプのシークレットの使用を制限します。 8.1.5、8.2.3、8.5 Standard
pci-dss-v3.2.1-nodes-have-consistent-time COS を OS イメージとして使用することで、ノード上での一貫性のある正確な時間を確保します。 10.4.1、10.4.3 Standard

標準バンドルと拡張バンドルの制約

PCI-DSS v3.2.1 バンドルは、PCI-DSS v3.2.1 制御のいくつかの側面を実現するための一連の独自のポリシー要件を実装しています。標準バンドルの要件に合わせてワークロードを変更するだけでなく、環境のカスタマイズが必要な拡張制約のオプションも使用できます。

始める前に

  1. この手順で使用する gcloud コマンドと kubectl コマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。
  2. 制約テンプレートのデフォルト ライブラリを使用して、クラスタに Policy Controller v1.14.3 以降をインストールします。 このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。

参照制約用に Policy Controller を構成する

  1. 次の YAML マニフェストを policycontroller-config.yaml という名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。

    apiVersion: config.gatekeeper.sh/v1alpha1
    kind: Config
    metadata:
      name: config
      namespace: "gatekeeper-system"
    spec:
      sync:
        syncOnly:
          - group: "apps"
            version: "v1"
            kind: "DaemonSet"
          - group: "networking.k8s.io"
            version: "v1"
            kind: "NetworkPolicy"
    
  2. policycontroller-config.yaml マニフェストを適用します。

    kubectl apply -f policycontroller-config.yaml
    

PCI-DSS v3.2.1 用にクラスタのワークロードを構成する

標準バンドル

  1. すべてのアプリ(ReplicaSetDeploymentStatefulSetDaemonSet)に、pci-dss-[0-9]{4}q[1-4] のスキーマを持つ pci-dss-firewall-audit label を含める必要があります。
  2. すべてのアプリ(ReplicaSetDeploymentStatefulSetDaemonSet)に、YYYY-MM-DD のスキーマを持つ network-controls/date アノテーションを含める必要があります。
  3. クラスタで定義されているすべての namespaceNetworkPolicy が必要です。
  4. デフォルトでは configmanagement.gke.ioConfig Sync を使用する必要がありますが、許可される app.kubernetes.io/managed-by 値は pci-dss-v3.2.1-enforce-managed-by-configmanagement-label 制約でカスタマイズできます。
  5. デフォルトのサービス アカウントを使用してリソースは作成できません。
  6. デフォルトの namespace は Pod に使用できません。
  7. Cloud Service Mesh を使用する場合、ASM PeerAuthentication は厳格な mTLS spec.mtls.mode: STRICT を使用する必要があります。
  8. ウイルス対策ソリューションが必要です。デフォルトでは、pci-dss-av namespaceclamav という名前の daemonset が存在しますが、daemonset の名前と Namespace は、実装に合わせて pci-dss-v3.2.1-require-av-daemonset 制約内でカスタマイズできます。
  9. Config Sync のプレゼンスと有効化が必要です。
  10. BackendConfig はすべて CloudArmor 用に構成する必要があります。
  11. basic-auth タイプのシークレットの使用は許可されません。
  12. イメージの時間を一致させるには、すべてのノードで Google Container-Optimized OS を使用する必要があります。

拡張バンドル(場合によってはカスタマイズが必要)

  1. クラスタで定義されているすべての namespace には、下り(外向き)に対するデフォルトの拒否 NetworkPolicy があります。許可される例外は pci-dss-v3.2.1-require-namespace-network-policies で指定できます。
  2. 許可された Ingress オブジェクト(IngressGatewayService 型の NodePortLoadBalancer)のみ作成でき、これらは pci-dss-v3.2.1-block-all-ingress で指定できます。
  3. Ingress と Express には許可された IP 範囲のみを使用でき、これらは pci-dss-v3.2.1-require-valid-network-ranges で指定できます。
  4. RBAC バインディングでは許可されたサブジェクトのみを使用でき、ドメイン名は pci-dss-v3.2.1-restrict-rbac-subjects で指定できます。

PCI-DSS v3.2.1 ポリシー バンドルを監査する

Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある PCI-DSS v3.2.1 ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。

kubectl、kpt、または Config Sync を使用して spec.enforcementActiondryrun に設定し、これらのポリシーを適用できます。

kubectl

  1. (省略可)kubectl でポリシーの制約をプレビューします。

    kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1
    
  2. kubectl でポリシーの制約を適用します。

    kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1
    

    次のような出力が表示されます。

    asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v3.2.1-asm-peer-authn-strict-mtls created
    k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-creation-with-default-serviceaccount created
    k8sblockobjectsoftype.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-secrets-of-type-basic-auth created
    k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-cloudarmor-backendconfig created
    k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-config-management created
    k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v3.2.1-nodes-have-consistent-time created
    k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-av-daemonset created
    k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-namespace-network-policies created
    k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations created
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-managed-by-configmanagement-label created
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-resources-have-required-labels created
    k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v3.2.1-restrict-default-namespace created
    
  3. ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。

    kubectl get -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1
    

    出力は次のようになります。

    NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v3.2.1-asm-peer-authn-strict-mtls   dryrun               0
    
    NAME                                                                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-creation-with-default-serviceaccount   dryrun               0
    
    NAME                                                                                              ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sblockobjectsoftype.constraints.gatekeeper.sh/pci-dss-v3.2.1-block-secrets-of-type-basic-auth   dryrun               0
    
    NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-cloudarmor-backendconfig   dryrun               0
    
    NAME                                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-config-management   dryrun               0
    
    NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v3.2.1-nodes-have-consistent-time   dryrun               0
    
    NAME                                                                                 ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-av-daemonset   dryrun               0
    
    NAME                                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v3.2.1-require-namespace-network-policies   dryrun               0
    
    NAME                                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v3.2.1-apps-must-have-certain-set-of-annotations   dryrun               0
    
    NAME                                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-enforce-managed-by-configmanagement-label   dryrun               0
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v3.2.1-resources-have-required-labels              dryrun               0
    
    NAME                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v3.2.1-restrict-default-namespace   dryrun               0
    

kpt

  1. kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。

  2. kpt を使用して GitHub から PCI-DSS v3.2.1 ポリシー バンドルをダウンロードします。

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1
    
  3. set-enforcement-action kpt 関数を実行して、ポリシーの違反に対する措置を dryrun に設定します。

    kpt fn eval pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
      -- enforcementAction=dryrun
    
  4. kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。

    cd pci-dss-v3.2.1
    kpt live init
    
  5. kpt を使用してポリシーの制約を適用します。

    kpt live apply
    
  6. ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。

    kpt live status --output table --poll-until current
    

    ステータスが CURRENT の場合、制約が正常にインストールされています。

Config Sync

  1. kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. Config Sync の同期ディレクトリに移動します。

    cd SYNC_ROOT_DIR
    

    resourcegroup.yaml を使用して .gitignore を作成または追加するには:

    echo resourcegroup.yaml >> .gitignore
    

  2. 専用の policies ディレクトリを作成します。

    mkdir -p policies
    
  3. kpt を使用して GitHub から PCI-DSS v3.2.1 ポリシー バンドルをダウンロードします。

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v3.2.1 policies/pci-dss-v3.2.1
    
  4. set-enforcement-action kpt 関数を実行して、ポリシーの違反に対する措置を dryrun に設定します。

    kpt fn eval policies/pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
    
  5. (省略可)作成されるポリシー制約をプレビューします。

    kpt live init policies/pci-dss-v3.2.1
    kpt live apply --dry-run policies/pci-dss-v3.2.1
    
  6. Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート kustomization.yamlpolicies/pci-dss-v3.2.1 を追加します。それ以外の場合は、policies/pci-dss-v3.2.1/kustomization.yaml ファイルを削除します。

    rm SYNC_ROOT_DIR/policies/pci-dss-v3.2.1/kustomization.yaml
    
  7. 変更を Config Sync リポジトリに push します。

    git add SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
    git commit -m 'Adding PCI-DSS v3.2.1 policy audit enforcement'
    git push
    
  8. インストールのステータスを確認します。

    watch gcloud beta container fleet config-management status --project PROJECT_ID
    

    ステータスが SYNCED の場合、ポリシーがインストールされています。

ポリシー違反を確認する

ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。

また、次のコマンドを実行すると、kubectl を使用してクラスタに対する違反を表示できます。

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

PCI-DSS v3.2.1 ポリシー バンドルの適用アクションを変更する

クラスタのポリシー違反を確認したら、アドミッション コントローラが warn または deny のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。

kubectl

  1. kubectl を使用して、ポリシーの適用アクションを warn に設定します。

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'
    
  2. ポリシー制約の適用アクションが更新されていることを確認します。

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1
    

kpt

  1. set-enforcement-action kpt 関数を実行して、ポリシーの違反に対する措置を warn に設定します。

    kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
    
  2. ポリシー制約を適用します。

    kpt live apply
    

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. Config Sync の同期ディレクトリに移動します。

    cd SYNC_ROOT_DIR
    
  2. set-enforcement-action kpt 関数を実行して、ポリシーの違反に対する措置を warn に設定します。

    kpt fn eval policies/pci-dss-v3.2.1 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
    
  3. 変更を Config Sync リポジトリに push します。

    git add SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
    git commit -m 'Adding PCI-DSS v3.2.1 policy bundle warn enforcement'
    git push
    
  4. インストールのステータスを確認します。

    gcloud alpha anthos config sync repo list --project PROJECT_ID
    

    SYNCED 列に表示されたリポジトリには、ポリシーがインストールされています。

ポリシーの適用をテストする

次のコマンドを使用して、クラスタに非遵守リソースを作成します。

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        name: wordpress
EOF

次の例のように、アドミッション コントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。

Warning: [pci-dss-v3.2.1-restrict-default-namespace] <default> namespace is restricted
pod/wp-non-compliant created

PCI-DSS v3.2.1 ポリシー バンドルを削除する

必要に応じて、PCI-DSS v3.2.1 ポリシー バンドルをクラスタから削除できます。

kubectl

  • kubectl を使用してポリシーを削除します。

    kubectl delete constraint -l policycontroller.gke.io/bundleName=pci-dss-v3.2.1
    

kpt

  • ポリシーを削除します。

    kpt live destroy
    

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. 変更を Config Sync リポジトリに push します。

    git rm -r SYNC_ROOT_DIR/policies/pci-dss-v3.2.1
    git commit -m 'Removing PCI-DSS v3.2.1 policies'
    git push
    
  2. ステータスを確認します。

    gcloud alpha anthos config sync repo list --project PROJECT_ID
    

    SYNCED 列に表示されたリポジトリで、ポリシーが削除されていることを確認します。