Cette page décrit les bundles Policy Controller et présente les bundles de règles disponibles.
Vous pouvez utiliser Policy Controller pour appliquer des contraintes individuelles à votre cluster ou pour écrire vos propres règles personnalisées. Vous pouvez également utiliser des bundles de règles, qui vous permettent d'auditer vos clusters sans écrire de contraintes. Les bundles de règles sont un groupe de contraintes qui peuvent vous aider à appliquer les bonnes pratiques, à respecter les normes du secteur ou à résoudre les problèmes réglementaires sur l'ensemble de vos ressources de cluster.
Vous pouvez appliquer des bundles de règles à vos clusters existants pour vérifier si vos charges de travail sont conformes. Lorsque vous appliquez un bundle de règles, il audite votre cluster en appliquant des contraintes avec le type d'application dryrun
. Le type d'application dryrun
vous permet de voir les violations sans bloquer vos charges de travail. Il est également recommandé de n'utiliser que les actions d'application warn
ou dryrun
sur les clusters comportant des charges de travail de production, lorsque vous testez de nouvelles contraintes ou effectuez des migrations telles que la mise à niveau de plates-formes. Pour en savoir plus sur les mesures coercitives, consultez la page Auditer en utilisant des contraintes.
Par exemple, le groupe de benchmarks CIS de Kubernetes est l'un des types de bundles de règles. Il peut vous aider à vérifier que les ressources de votre cluster respectent le benchmark CIS de Kubernetes. Ce benchmark est un ensemble de recommandations permettant de configurer les ressources Kubernetes pour garantir un niveau de sécurité élevé.
Les bundles de règles sont créés et gérés par Google. Vous pouvez afficher plus de détails sur la couverture de votre règle, y compris la couverture par lot, dans le tableau de bord Policy Controller.
Les bundles de règles sont inclus dans une licence Google Kubernetes Engine (GKE) Enterprise.
Bundles Policy Controller disponibles
Le tableau suivant présente les bundles de règles disponibles. Sélectionnez le nom du bundle de règles pour lire la documentation sur l'application du groupe, l'audit des ressources et l'application des règles.
La colonne alias du bundle indique le nom du jeton unique du bundle. Cette valeur est nécessaire pour appliquer un bundle avec les commandes de Google Cloud CLI.
La colonne Version la plus ancienne incluse répertorie la version la plus ancienne du bundle disponible avec Policy Controller. Cela signifie que vous pouvez installer ces bundles directement. Dans n'importe quelle version de Policy Controller, vous pouvez toujours installer n'importe quel bundle disponible en suivant les instructions liées dans le tableau.
Nom et description | Alias de bundle | Plus ancienne version incluse | Type | Inclut des contraintes référentielles |
---|---|---|---|---|
Benchmark CIS GKE : auditez la conformité de vos clusters par rapport au benchmark CIS de GKE v1.5, un ensemble de contrôles de sécurité recommandés pour la configuration de Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Kubernetes standard | Oui |
Benchmark CIS de Kubernetes : auditez la conformité de vos clusters par rapport au benchmark CIS de Kubernetes v1.5, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes standard | Oui |
Benchmark CIS de Kubernetes (bêta) : auditez la conformité de vos clusters par rapport au benchmark CIS de Kubernetes v1.7, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. | cis-k8s-v1.7.1 |
non disponible | Kubernetes standard | Oui |
Coût et fiabilité : le bundle "Coût et fiabilité" permet d'adopter les bonnes pratiques pour exécuter des clusters GKE économiques sans compromettre les performances ou la fiabilité des charges de travail. | cost-reliability-v2023 |
1.16.1 | Bonnes pratiques | Oui |
MITRE (bêta) : le lot de règles MITRE permet d'évaluer la conformité de vos ressources de cluster par rapport à certains aspects de la base de connaissances MITRE des tactiques et techniques d'attaque adverses en conditions réelles. | mitre-v2024 |
non disponible | Norme du secteur | Oui |
Règles de sécurité des pods : appliquez des protections en fonction de la règle de sécurité des pods de Kubernetes. | psp-v2022 |
1.15.2 | Kubernetes standard | Non |
Référence des normes de sécurité des pods : appliquez des protections en fonction de la règle de référence des normes de sécurité des pods (PSS) de Kubernetes. | pss-baseline-v2022 |
1.15.2 | Kubernetes standard | Non |
Normes de sécurité des pods limitées : appliquez des protections basées sur la règle de restriction des normes de sécurité des pods (PSS) de Kubernetes. | pss-restricted-v2022 |
1.15.2 | Kubernetes standard | Non |
Sécurité d'Anthos Service Mesh : auditez la conformité de vos failles de sécurité et bonnes pratiques Anthos Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Bonnes pratiques | Oui |
Essentiels des règles : appliquez les bonnes pratiques à vos ressources de cluster. | policy-essentials-v2022 |
1.14.1 | Bonnes pratiques | Non |
NIST SP 800-53 version 5 : le bundle NIST SP 800-53 version 5 implémente les contrôles répertoriés dans la publication spéciale 800-53 NIST (version 5). Ce bundle peut aider les entreprises à protéger leurs systèmes et leurs données contre diverses menaces en mettant en œuvre des règles de sécurité et de confidentialité prêtes à l'emploi. | nist-sp-800-53-r5 |
1.16.0 | Norme du secteur | Oui |
NIST SP 800-190 : le groupe NIST SP 800-190 met en œuvre les contrôles répertoriés dans la publication spéciale SP 800-190 du NIST, guide sur la sécurité des conteneurs d'application. Ce bundle vise à aider les organisations à assurer la sécurité des conteneurs d'applications, y compris la sécurité des images, la sécurité de l'environnement d'exécution des conteneurs, la sécurité réseau et la sécurité du système hôte, pour n'en nommer que quelques-unes. | nist-sp-800-190 |
1.16.0 | Norme du secteur | Oui |
Guide de renforcement de la sécurité Kubernetes v1.2 CISA de la NSA : appliquez des protections basées sur le guide de renforcement de la sécurité Kubernetes v1.2 CISA de la NSA. | nsa-cisa-k8s-v1.2 |
1.16.0 | Norme du secteur | Oui |
PCI-DSS v3.2.1 (obsolète) : appliquez des protections conformément à la version 3.2.1 de la norme PCI-DSS (Payment Card Industry Data Security Standard). | pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended |
1.15.2 | Norme du secteur | Oui |
PCI-DSS v4.0 : appliquez des protections basées sur la norme PCI-DSS (Payment Card Industry Data Security Standard) v4.0. | pci-dss-v4.0 |
non disponible | Norme du secteur | Oui |
Étapes suivantes
- Essayez Policy Controller gratuitement.
- Apprenez-en plus sur l'application de contraintes individuelles.
- Appliquez les bonnes pratiques à vos clusters.
- Suivez un tutoriel sur l'utilisation de bundles de règles dans votre pipeline CI/CD pour des tests en amont.