Questa pagina descrive cosa sono i pacchetti di Policy Controller e fornisce una panoramica dei pacchetti di criteri disponibili.
Puoi utilizzare Policy Controller per applicare vincoli individuali al cluster o scrivere criteri personalizzati. Puoi anche usare pacchetti di criteri, che consentono di controllare i cluster senza scrivere vincoli. I pacchetti di criteri sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere problemi normativi nelle risorse del tuo cluster.
Puoi applicare pacchetti di criteri ai cluster esistenti per verificare se i carichi di lavoro
sono conformi. Quando applichi un bundle di criteri, questo controlla il cluster applicando vincoli con il tipo di applicazione dryrun. Il tipo di applicazione forzata dryrun ti consente di visualizzare le violazioni senza bloccare i carichi di lavoro. Inoltre, si consiglia di utilizzare solo le azioni di applicazione warn o dryrun sui cluster con carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta Controllo con vincoli.
Ad esempio, un tipo di bundle di criteri è il bundle CIS Kubernetes Benchmark, che può aiutarti a verificare le risorse del tuo cluster rispetto al Benchmark CIS Kubernetes. Questo benchmark è un insieme di suggerimenti per configurare le risorse Kubernetes al fine di supportare una solida postura di sicurezza.
I pacchetti di criteri vengono creati e gestiti da Google. Puoi visualizzare maggiori dettagli sulla copertura dei criteri, inclusa la copertura per bundle, nella dashboard di Policy Controller.
I pacchetti di criteri sono inclusi nella licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di criteri per leggere la documentazione su come applicarlo, controllare le risorse e applicare i criteri.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore è necessario per applicare un bundle con i comandi di Google Cloud CLI.
La colonna Versione inclusa precedente elenca la prima versione in cui il bundle è disponibile con Policy Controller. Ciò significa che puoi installare direttamente i bundle. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi bundle disponibile seguendo le istruzioni collegate nella tabella.
| Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
|---|---|---|---|---|
| Benchmark GKE CIS: verifica la conformità dei tuoi cluster rispetto al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes: verifica la conformità dei tuoi cluster rispetto alla versione 1.5 di CIS Kubernetes Benchmark, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes (anteprima): controlla la conformità dei tuoi cluster rispetto alla versione 1.7 di CIS Kubernetes Benchmark, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: il bundle Costo e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): il pacchetto di criteri MITRE aiuta a valutare la conformità delle risorse del cluster con alcuni aspetti della knowledge base MITRE delle tattiche e delle tecniche degli utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: applica protezioni in base al criterio di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Standard: applica protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes (PSS). | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod con restrizioni: applica protezioni in base al criterio con restrizioni degli standard di sicurezza dei pod di Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: controlla la conformità delle vulnerabilità e le best practice di sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale NIST 800-53, revisione 5 del NIST. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy predefiniti. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale NIST (SP) 800-190, Application Container Security Guide. Il bundle è concepito per aiutare le organizzazioni con la sicurezza dei container delle applicazioni, tra cui la sicurezza delle immagini, la sicurezza del runtime dei container, la sicurezza della rete e la sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni basate sulla guida alla protezione avanzata di Kubernetes CISA per NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (deprecata): applica protezioni basate sullo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0: applica protezioni basate sullo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai cluster.
- Segui un tutorial sull'utilizzo dei pacchetti di criteri nella pipeline CI/CD per spostare verso sinistra.