PCI-DSS v4.0 ポリシーの制約を使用する
Policy Controller には、Payment Card Industry データ セキュリティ基準(PCI-DSS)v4.0 の一部のアスペクトに対するクラスタ リソースのコンプライアンスを評価するために、PCI-DSS v4.0 バンドルで使用できる制約テンプレートのデフォルト ライブラリが付属しています。
PCI-DSS v4.0 ポリシー バンドルの制約
| 制約名 | 制約の説明 | コントロール ID |
|---|---|---|
| pci-dss-v4.0-require-apps-annotations | クラスタ内のすべてのアプリに network-controls/date アノテーションが必要です。
|
2.2.5 |
| pci-dss-v4.0-require-av-daemonset | Anti-Virus DaemonSet が必要です。 |
5.2.1、5.2.2、5.2.3、5.3.1、5.3.2、5.3.5 |
| pci-dss-v4.0-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | 2.2.1、2.2.4、6.2.3、6.3.1、6.3.2 |
| pci-dss-v4.0-require-cloudarmor-backendconfig | Google Cloud Armor 構成を BackendConfig リソースに適用します。
|
6.4.1、6.4.2 |
| pci-dss-v4.0-require-config-management | Config Sync が、ドリフト防止を有効にして、クラスタで少なくとも 1 つの RootSync オブジェクトで実行されている必要があります。
|
1.2.8、2.2.6、5.3.5、6.3.2、6.5.1 |
| pci-dss-v4.0-require-default-deny-network-policies | クラスタに定義されている Namespace で、下り(外向き)にデフォルトの拒否 NetworkPolicy を設定する必要があります。
|
1.3.2、1.4.4 |
| pci-dss-v4.0-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
|
1.2.8、2.2.6、5.3.5、6.3.2、6.5.1 |
| pci-dss-v4.0-require-namespace-network-policies | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。
|
1.2.5、1.2.6、1.4.1、1.4.4 |
| pci-dss-v4.0-require-peer-authentication-strict-mtls | PeerAuthentication が厳格な mTLS を上書きできないようにします。 | 2.2.7、4.2.1、8.3.2 |
| pci-dss-v4.0-require-valid-network-ranges | 上り(内向き)と下り(外向き)で許可される CIDR 範囲を制限します。 | 1.3.1、1.3.2、1.4.2、1.4.4 |
| pci-dss-v4.0-resources-have-required-labels | ファイアウォールの要件を満たすため、指定したラベルが含まれるすべてのアプリが必要です。 | 1.2.7 |
| pci-dss-v4.0-restrict-cluster-admin-role | cluster-admin ロールの使用を制限します。
|
7.2.1、7.2.2、7.2.5、8.2.4 |
| pci-dss-v4.0-restrict-creation-with-default-serviceaccount | デフォルトのサービス アカウントを使用したリソースの作成を制限します。監査中は無効です。 | 2.2.2 |
| pci-dss-v4.0-restrict-default-namespace | Pod がデフォルトの Namespace を使用できないようにします。 | 2.2.3 |
| pci-dss-v4.0-restrict-ingress | Ingress オブジェクトの作成を制限します。
|
1.3.1、1.4.2、1.4.4 |
| pci-dss-v4.0-restrict-node-image | Container-Optimized OS または Ubuntu のみを OS イメージとして許可することで、ノード上での一貫性のある正確な時間を確保します。 | 10.6.1、10.6.2、10.6.3 |
| pci-dss-v4.0-restrict-pods-exec | Roles と ClusterRoles での pods/exec の使用を制限します。
|
8.6.1 |
| pci-dss-v4.0-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | 7.3.2、8.2.1、8.2.2、8.2.4 |
| pci-dss-v4.0-restrict-role-wildcards | Roles と ClusterRoles でのワイルドカードの使用を制限します。
|
7.3.3、8.2.4 |
| pci-dss-v4.0-restrict-storageclass | StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。
|
3.3.2、3.3.3 |
準備
- この手順で使用する
gcloudコマンドとkubectlコマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。 - 制約テンプレートのデフォルト ライブラリを使用して、クラスタに Policy Controller v1.16.0 以降をインストールします。このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。
参照制約用に Policy Controller を構成する
次の YAML マニフェストを
policycontroller-config.yamlという名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "networking.k8s.io" version: "v1" kind: "NetworkPolicy" - group: "admissionregistration.k8s.io" version: "v1" kind: "ValidatingWebhookConfiguration" - group: "storage.k8s.io" version: "v1" kind: "StorageClass"policycontroller-config.yamlマニフェストを適用します。kubectl apply -f policycontroller-config.yaml
PCI-DSS v4.0 用にクラスタのワークロードを構成する
- すべてのアプリ(
ReplicaSet、Deployment、StatefulSet、DaemonSet)に、YYYY-MM-DDのスキーマを持つnetwork-controls/dateアノテーションを含める必要があります。 - ウイルス対策ソリューションが必要です。デフォルトでは、
clamavNamespaceにclamavという名前のdaemonsetが存在しますが、daemonsetの名前と Namespace は、実装に合わせてpci-dss-v4.0-require-av-daemonset制約内でカスタマイズできます。 pci-dss-v4.0-require-binauthzでは、Binary Authorization の有効化と構成が必要です。BackendConfigはすべて CloudArmor 用に構成する必要があります。- Config Sync のプレゼンスと有効化が必要です。
- クラスタで定義されているすべての
Namespaceには、下り(外向き)に対するデフォルトの拒否NetworkPolicyがあります。許可される例外はpci-dss-v4.0-require-namespace-network-policiesで指定できます。 - デフォルトでは
configmanagement.gke.ioに Config Sync を使用する必要がありますが、許可されるapp.kubernetes.io/managed-by値はpci-dss-v4.0-enforce-managed-by-configmanagement-label制約でカスタマイズできます。 - クラスタで定義されているすべての
NamespaceにNetworkPolicyが必要です。 - Anthos Service Mesh を使用する場合、ASM PeerAuthentication は厳格な mTLS
spec.mtls.mode: STRICTを使用する必要があります。 - Ingress と Express には許可された IP 範囲のみを使用でき、これらは
pci-dss-v4.0-require-valid-network-rangesで指定できます。 - すべてのアプリ(
ReplicaSet、Deployment、StatefulSet、DaemonSet)に、pci-dss-[0-9]{4}q[1-4]のスキーマを持つpci-dss-firewall-audit labelを含める必要があります。 - cluster-admin
ClusterRoleの使用は許可されていません。 - デフォルトのサービス アカウントを使用してリソースは作成できません。
- デフォルトの
Namespaceは Pod に使用できません。 - 許可された Ingress オブジェクト(
Ingress、Gateway、Service型のNodePortとLoadBalancer)のみ作成でき、これらはpci-dss-v4.0-restrict-ingressで指定できます。 - イメージの時間を一致させるには、すべてのノードで Container-Optimized OS または Ubuntu を使用する必要があります。
RolesやClusterRolesでワイルドカード文字やpods/exec権限を使用することはできません。- RBAC バインディングでは許可されたサブジェクトのみを使用でき、ドメイン名は
pci-dss-v4.0-restrict-rbac-subjectsで指定できます。 - デフォルトの
StorageClassでは暗号化の使用がpci-dss-v4.0-restrict-storageclassで必要とされています。
PCI-DSS v4.0 ポリシー バンドルの監査
Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある PCI-DSS v4.0 ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。
kubectl、kpt、または Config Sync を使用して spec.enforcementAction を dryrun に設定し、これらのポリシーを適用できます。
kubectl
(省略可)kubectl でポリシーの制約をプレビューします。
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
kubectl でポリシーの制約を適用します。
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
次のような出力が表示されます。
asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v4.0-require-peer-authentication-strict-mtls created k8sblockallingress.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-ingress created k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-creation-with-default-serviceaccount created k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v4.0-require-cloudarmor-backendconfig created k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v4.0-require-config-management created k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-role-wildcards created k8srequirebinauthz.constraints.gatekeeper.sh/pci-dss-v4.0-require-binauthz created k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-node-image created k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v4.0-require-av-daemonset created k8srequiredefaultdenyegresspolicy.constraints.gatekeeper.sh/pci-dss-v4.0-require-default-deny-network-policies created k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v4.0-require-namespace-network-policies created k8srequirevalidrangesfornetworks.constraints.gatekeeper.sh/pci-dss-v4.0-require-valid-network-ranges created k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v4.0-require-apps-annotations created k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-require-managed-by-label created k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-resources-have-required-labels created k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-default-namespace created k8srestrictrbacsubjects.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-rbac-subjects created k8srestrictrolebindings.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-cluster-admin-role created k8srestrictrolerules.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-pods-exec created k8sstorageclass.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-storageclass created
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kubectl get constraints -l policycontroller.gke.io/bundleName=pci-dss-v4.0
出力は次のようになります。
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v4.0-require-peer-authentication-strict-mtls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockallingress.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-ingress dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-creation-with-default-serviceaccount dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v4.0-require-cloudarmor-backendconfig dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v4.0-require-config-management dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-role-wildcards dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirebinauthz.constraints.gatekeeper.sh/pci-dss-v4.0-require-binauthz dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-node-image dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v4.0-require-av-daemonset dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v4.0-require-apps-annotations dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredefaultdenyegresspolicy.constraints.gatekeeper.sh/pci-dss-v4.0-require-default-deny-network-policies dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-require-managed-by-label dryrun 0 k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-resources-have-required-labels dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v4.0-require-namespace-network-policies dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirevalidrangesfornetworks.constraints.gatekeeper.sh/pci-dss-v4.0-require-valid-network-ranges dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-default-namespace dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrbacsubjects.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-rbac-subjects dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolebindings.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-cluster-admin-role dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolerules.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-pods-exec dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sstorageclass.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-storageclass dryrun 0
kpt
kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
kpt を使用して GitHub から PCI-DSS v4.0 ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをdryrunに設定します。kpt fn eval pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。
cd pci-dss-v4.0 kpt live init
kpt を使用してポリシーの制約を適用します。
kpt live apply
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kpt live status --output table --poll-until current
ステータスが
CURRENTの場合、制約が正常にインストールされています。
Config Sync
- kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
resourcegroup.yamlを使用して.gitignoreを作成または追加するには:echo resourcegroup.yaml >> .gitignore
専用の
policiesディレクトリを作成します。mkdir -p policies
kpt を使用して GitHub から PCI-DSS v4.0 ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0 policies/pci-dss-v4.0
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをdryrunに設定します。kpt fn eval policies/pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(省略可)作成されるポリシー制約をプレビューします。
kpt live init policies/pci-dss-v4.0 kpt live apply --dry-run policies/pci-dss-v4.0
Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート
kustomization.yamlにpolicies/pci-dss-v4.0を追加します。 それ以外の場合は、policies/pci-dss-v4.0/kustomization.yamlファイルを削除します。rm SYNC_ROOT_DIR/policies/pci-dss-v4.0/kustomization.yaml
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/pci-dss-v4.0 git commit -m 'Adding PCI-DSS v4.0 policy audit enforcement' git push
インストールのステータスを確認します。
watch gcloud beta container fleet config-management status --project PROJECT_ID
ステータスが
SYNCEDの場合、ポリシーがインストールされています。
ポリシー違反を確認する
ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。
また、次のコマンドを実行すると、kubectl を使用してクラスタに対する違反を表示できます。
kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。
kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
PCI-DSS v4.0 ポリシー バンドルの違反措置を変更する
クラスタのポリシー違反を確認したら、アドミッション コントローラが warn または deny のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。
kubectl
kubectl を使用して、ポリシーの適用アクションを
warnに設定します。kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'ポリシー制約の適用アクションが更新されていることを確認します。
kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0
kpt
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをwarnに設定します。kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
ポリシー制約を適用します。
kpt live apply
Config Sync
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをwarnに設定します。kpt fn eval policies/pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/pci-dss-v4.0 git commit -m 'Adding PCI-DSS v4.0 policy bundle warn enforcement' git push
インストールのステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED列に表示されたリポジトリには、ポリシーがインストールされています。
ポリシーの適用をテストする
次のコマンドを使用して、クラスタに非遵守リソースを作成します。
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
namespace: default
name: wp-non-compliant
labels:
app: wordpress
spec:
containers:
- image: wordpress
name: wordpress
ports:
- containerPort: 80
name: wordpress
EOF
次の例のように、アドミッション コントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。
Warning: [pci-dss-v4.0-restrict-default-namespace] <default> namespace is restricted pod/wp-non-compliant created
PCI-DSS v4.0 ポリシー バンドルを削除する
必要に応じて、PCI-DSS v4.0 ポリシー バンドルをクラスタから削除できます。
kubectl
kubectl を使用してポリシーを削除します。
kubectl delete constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0
kpt
ポリシーを削除します。
kpt live destroy
Config Sync
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
変更を Config Sync リポジトリに push します。
git rm -r SYNC_ROOT_DIR/policies/pci-dss-v4.0 git commit -m 'Removing PCI-DSS v4.0 policies' git push
ステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED列に表示されたリポジトリで、ポリシーが削除されていることを確認します。