정책 컨트롤러 번들

이 페이지에서는 정책 컨트롤러 번들에 대해 설명하고 사용 가능한 정책 번들에 대한 개요를 제공합니다.

이 페이지는 감사 또는 시행 자동화를 제공하고 유지하여 클라우드 플랫폼 내에서 실행되는 모든 리소스가 조직의 규정 준수 요구사항을 충족하도록 보장하려는 IT 관리자와 운영자를 위해 작성되었습니다. Google Cloud 콘텐츠에서 참조하는 일반적인 역할과 예시 태스크에 대한 자세한 내용은 일반 GKE Enterprise 사용자 역할 및 태스크를 참조하세요.

정책 컨트롤러를 사용하여 클러스터에 개별 제약조건을 적용하거나 고유한 커스텀 정책을 작성할 수 있습니다. 또한 제약조건을 작성하지 않고 클러스터를 감사할 수 있게 해주는 정책 번들을 사용할 수 있습니다. 정책 번들은 권장사항을 적용하거나, 업계 표준을 충족하거나, 클러스터 리소스 전반의 규제 문제를 해결하는 데 도움이 되는 제약조건 그룹입니다.

기존 클러스터에 정책 번들을 적용하여 워크로드가 규정을 준수하는지 확인할 수 있습니다. 정책 번들을 적용하면 dryrun 시행 유형으로 제약조건을 적용하여 클러스터를 감사합니다. dryrun 시행 유형을 사용하면 워크로드를 차단하지 않고 위반을 확인할 수 있습니다. 또한 새 제약조건을 테스트하거나 플랫폼 업그레이드와 같은 마이그레이션을 수행할 때는 warn 또는 dryrun 시정 조치만 프로덕션 워크로드가 있는 클러스터에 사용되도록 하는 것이 좋습니다. 시정 조치에 대한 자세한 내용은 제약조건을 사용하여 감사를 참조하세요.

예를 들어 정책 번들의 한 가지 유형은 CIS Kubernetes 벤치마크 번들이며, 이를 통해 CIS Kubernetes 벤치마크를 기준으로 클러스터 리소스를 감사할 수 있습니다. 이 벤치마크는 강력한 보안 수준 지원을 위한 Kubernetes 리소스 구성 권장 수준 집합입니다.

정책 번들은 Google에서 만들고 유지관리합니다. 정책 컨트롤러 대시보드에서 번들별 범위 등 정책 적용 범위에 대한 자세한 내용을 확인할 수 있습니다.

정책 번들은 Google Kubernetes Engine(GKE) Enterprise 버전 라이선스에 포함되어 있습니다.

사용 가능한 정책 컨트롤러 번들

다음 표에는 사용 가능한 정책 번들이 나와 있습니다. 정책 번들의 이름을 선택하여 번들을 적용하고, 리소스를 감사하고, 정책을 시행하는 방법에 대한 문서를 읽어보세요.

번들 별칭 열에는 번들의 단일 토큰 이름이 나열됩니다. 이 값은 Google Cloud CLI 명령어와 함께 번들을 적용하는 데 필요합니다.

가장 먼저 포함된 버전 열에 번들이 정책 컨트롤러와 함께 사용할 수 있는 가장 오래된 버전이 나열됩니다. 즉, 이러한 번들을 직접 설치할 수 있습니다. 정책 컨트롤러 모든 버전에서 표에 연결된 안내에 따라 사용 가능한 번들을 계속 설치할 수 있습니다.

이름 및 설명 번들 별칭 가장 먼저 포함된 버전 유형 참조 제약조건 포함
CIS GKE 벤치마크: Google Kubernetes Engine(GKE) 구성에 권장되는 보안 제어 집합인 CIS GKE 벤치마크 v1.5에 대한 클러스터 규정 준수를 감사합니다. cis-gke-v1.5.0 1.18.0 Kubernetes 표준
CIS Kubernetes 벤치마크: 강력한 보안 상황을 지원하도록 Kubernetes를 구성하기 위한 권장사항 집합인 CIS Kubernetes 벤치마크 v1.5에 대해 클러스터 규정 준수를 감사합니다. cis-k8s-v1.5.1 1.15.2 Kubernetes 표준
CIS Kubernetes 벤치마크(미리보기): 강력한 보안 상황을 지원하도록 Kubernetes를 구성하기 위한 권장 집합인 CIS Kubernetes 벤치마크 v1.7에 대한 클러스터 규정 준수를 감사합니다. cis-k8s-v1.7.1 사용할 수 없음 Kubernetes 표준
비용 및 안정성: 비용 및 안정성 번들은 워크로드의 성능 또는 안정성을 저하시키지 않으면서 비용 효율적인 GKE 클러스터를 실행하기 위한 권장사항을 채택하는 데 도움이 됩니다. cost-reliability-v2023 1.16.1 권장사항
MITRE(미리보기): MITRE 정책 번들은 실제 관찰에 기반한 공격자 전략 및 기법에 대한 MITRE 기술 자료의 일부 측면을 기준으로 클러스터 리소스의 규정 준수를 평가하는 데 도움이 됩니다. mitre-v2024 사용할 수 없음 업계 표준
포드 보안 정책: Kubernetes 포드 보안 정책(PSP)에 따라 보호 조치를 적용합니다. psp-v2022 1.15.2 Kubernetes 표준 아니요
포드 보안 표준 기준: Kubernetes 포드 보안 표준(PSS) 기준 정책에 따라 보호 조치를 적용합니다. pss-baseline-v2022 1.15.2 Kubernetes 표준 아니요
제한된 포드 보안 표준: Kubernetes 포드 보안 표준(PSS) 제한 정책에 따라 보호 조치를 적용합니다. pss-restricted-v2022 1.15.2 Kubernetes 표준 No
Cloud Service Mesh 보안: Cloud Service Mesh 보안 취약점 및 권장사항의 규정 준수를 감사합니다. asm-policy-v0.0.1 1.15.2 권장사항
Policy Essentials: 클러스터 리소스에 권장사항을 적용합니다. policy-essentials-v2022 1.14.1 권장사항 아니요
NIST SP 800-53 개정판 5: NIST SP 800-53 개정판 5 번들은 NIST 특별 간행물(SP) 800-53, 버전 5에 나열된 제어를 구현합니다. 번들은 즉시 사용 가능한 보안 및 개인정보처리방침을 구현하여 조직이 다양한 위협으로부터 시스템과 데이터를 보호하는 데 도움을 줄 수 있습니다. nist-sp-800-53-r5 1.16.0 업계 표준
NIST SP 800-190: NIST SP 800-190 번들은 NIST 특수 간행물(SP) 800-190, 애플리케이션 컨테이너 보안 가이드에 나온 제어를 구현합니다. 이 번들은 이미지 보안, 컨테이너 런타임 보안, 네트워크 보안, 호스트 시스템 보안을 비롯한 애플리케이션 컨테이너 보안을 사용하는 조직을 지원하기 위한 것입니다.  nist-sp-800-190 1.16.0 업계 표준
NSA CISA Kubernetes 강화 가이드 v1.2: NSA CISA Kubernetes 강화 가이드 v1.2를 기반으로 보호 조치를 적용합니다. nsa-cisa-k8s-v1.2 1.16.0 업계 표준
PCI-DSS v3.2.1(지원 중단됨): 결제 카드 산업 데이터 보안 표준(PCI DSS) v3.2.1을 기반으로 보호 조치를 적용합니다. pci-dss-v3.2.1 또는 pci-dss-v3.2.1-extended 1.15.2 업계 표준
PCI-DSS v4.0: 결제 카드 산업 데이터 보안 표준(PCI DSS) v4.0을 기반으로 보호 조치를 적용합니다. pci-dss-v4.0 사용할 수 없음 업계 표준

다음 단계