Descripción general de Policy Controller
En esta página, se explica qué es el controlador de políticas y cómo puedes usarlo para garantizar que tus clústeres y cargas de trabajo de Kubernetes se ejecuten de manera segura y que cumpla con las normas.
El controlador de políticas permite la aplicación de políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como recursos de seguridad y pueden ayudar con las prácticas recomendadas, la seguridad y la administración del cumplimiento de los clústeres y la flota. Según el proyecto de código abierto Open Policy Agent Gatekeeper, Policy Controller está completamente integrado en Google Cloud, incluye un panel integrado para la observabilidad y, además, viene con una biblioteca completa de políticas compiladas con anterioridad para controles comunes de seguridad y cumplimiento.
Policy Controller está disponible con una licencia de Google Kubernetes Engine (GKE) Enterprise.
Beneficios de Policy Controller
- Integrado en Google Cloud: Los administradores de la plataforma pueden instalar el controlador de políticas mediante la consola de Google Cloud, Terraform o Google Cloud CLI en cualquier clúster conectado a tu flota. El controlador de políticas funciona con otros servicios de Google Cloud, como el Sincronizador de configuración, las metrics y Cloud Monitoring.
- Admite varios puntos de aplicación: además de la auditoría y el control de admisión para tu clúster, Policy Controller puede habilitar de manera opcional un enfoque de cambio de izquierda a la izquierda para analizar y detectar los cambios que no cumplen con las políticas antes de la aplicación.
- Paquetes de políticas compilados previamente: El Controlador de políticas viene con una biblioteca completa de políticas compiladas con anterioridad para controles comunes de seguridad y cumplimiento. Estos incluyen los paquetes de políticas, que Google compila y mantiene, y la biblioteca de plantillas de restricciones.
- Admite políticas personalizadas: Si se requiere la personalización de políticas más allá de lo que está disponible mediante la biblioteca de plantillas de restricciones, el controlador de políticas también admite el desarrollo de plantillas de restricciones personalizadas.
- Observabilidad integrada: Policy Controller incluye un panel de la consola de Google Cloud, que proporciona una descripción general del estado de todas las políticas que se aplican a tu flota (incluidos los clústeres no registrados). En el panel, consulta el estado de cumplimiento y aplicación de políticas para solucionar problemas y obtén recomendaciones bien definidas que te permitan resolver incumplimientos de políticas.
Paquetes de políticas
Puedes usar paquetes de políticas para aplicar una serie de restricciones que se agrupan según un tema específico de estándar, seguridad o cumplimiento de Kubernetes. Google compila y mantiene estos paquetes de políticas y, por lo tanto, están listos para que los uses sin tener que escribir ningún código. Por ejemplo, puedes usar los siguientes paquetes de políticas:
- Aplica muchos de los mismos requisitos que las PodSecurityPolicies, pero con la capacidad adicional de auditar tu configuración antes de aplicarla, lo que garantiza que los cambios en las políticas no interrumpan las cargas de trabajo en ejecución.
- Usa restricciones compatibles con Anthos Service Mesh para auditar el cumplimiento de las vulnerabilidades de seguridad de la malla y las prácticas recomendadas.
- Aplica las prácticas recomendadas generales a los recursos del clúster para fortalecer tu postura de seguridad. Este paquete también se usa en la función Prueba antes de comprar del Controlador de políticas para que puedas probar este conjunto de políticas de referencia a pedido sin costo adicional.
La descripción general de los paquetes de Policy Controller proporciona más detalles y una lista de los paquetes de políticas disponibles actualmente.
Restricciones
Policy Controller aplica el cumplimiento de los clústeres con objetos llamados restricciones. Puedes considerar a las restricciones como los "componentes básicos" de la política. Cada restricción define un cambio específico en la API de Kubernetes que se permite o no en el clúster al que se aplica. Puedes establecer políticas para bloquear de forma activa las solicitudes a la API que no cumplan con las políticas o auditar la configuración de tus clústeres y, luego, informar sobre infracciones. En cualquier caso, puedes ver mensajes de advertencia con detalles sobre el incumplimiento que ocurrió en un clúster. Con esa información, puedes resolver problemas. Por ejemplo, puedes usar las siguientes restricciones individuales:
- Exige que cada espacio de nombres tenga al menos una etiqueta. Esta restricción se puede usar para garantizar un seguimiento preciso del consumo de recursos cuando se usa la medición de uso de GKE, por ejemplo.
- Restringir los repositorios desde los que se puede extraer una imagen de contenedor determinada. Esta restricción garantiza que se rechace cualquier intento de extraer contenedores de fuentes desconocidas, lo que protege tus clústeres de ejecutar software potencialmente malicioso.
- Controla si un contenedor puede ejecutarse en modo privilegiado. Esta restricción controla la capacidad de cualquier contenedor para habilitar el modo privilegiado, lo que te da control sobre qué contenedores (si los hay) se pueden ejecutar con una política sin restricciones.
Estas son solo algunas de las restricciones que se proporcionan en la biblioteca de plantillas de restricciones incluida con el controlador de políticas. Esta biblioteca contiene varias políticas que puedes usar para aplicar las prácticas recomendadas y limitar el riesgo. Si necesitas más personalización más allá de lo que está disponible en la biblioteca de plantillas de restricciones, también puedes crear plantillas de restricciones personalizadas.
Las restricciones se pueden aplicar directamente a tus clústeres mediante la API de Kubernetes o se pueden distribuir a un conjunto de clústeres desde una fuente de información mediante el Sincronizador de configuración.
¿Qué sigue?
- Prueba Policy Controller sin cargo.
- Instala Policy Controller.
- Obtén más información sobre los paquetes de políticas.
- Cómo aplicar paquetes de políticas