Questa pagina descrive che cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di criteri disponibili.
Questa pagina è rivolta agli amministratori e agli operatori IT che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per eseguire controlli o applicare le norme. Per saperne di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud, Ruoli e attività utente comuni di GKE Enterprise.
Puoi utilizzare Policy Controller per applicare vincoli individuali nel cluster o scrivere criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di eseguire il controllo dei cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse dei tuoi cluster.
Puoi applicare pacchetti di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro
sono conformi. Quando applichi un bundle di criteri, questo controlla il cluster applicando
vincoli con il tipo di applicazione forzata dryrun. Il dryrun tipo di applicazione
ti consente di vedere le violazioni senza bloccare i carichi di lavoro. È inoltre consigliato
che solo le azioni di applicazione warn o dryrun vengano utilizzate sui cluster con
carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta
Controllo mediante vincoli.
Ad esempio, un tipo di pacchetto di criteri è il bundle CIS Kubernetes Benchmark, il che può aiutarti a verificare le risorse del cluster Benchmark CIS per Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes al fine di supportare una solida strategia di sicurezza.
I pacchetti di criteri vengono creati e gestiti da Google. Puoi visualizzare ulteriori dettagli sulla copertura delle polizze, inclusa la copertura per bundle, nel Dashboard di Policy Controller.
I pacchetti di criteri sono inclusi nella licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di norme per leggere la documentazione su come applicare il bundle, eseguire la revisione delle risorse e applicare le norme.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore necessario per applicare un bundle Comandi Google Cloud CLI.
La colonna Versione inclusa precedente elenca la versione precedente del bundle disponibile con Policy Controller. Ciò significa che puoi installare direttamente i bundle. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi bundle disponibile seguendo le istruzioni riportate nel link nella tabella.
| Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli di riferimento |
|---|---|---|---|---|
| Benchmark GKE CIS: verifica la conformità dei tuoi cluster al benchmark GKE CIS v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark: verifica la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark (anteprima): controlla la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: Il bundle Costo e affidabilità aiuta ad adottare le best practice per ed eseguire cluster GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): Il pacchetto di criteri MITRE aiuta a valutare la conformità dei raggruppare le risorse in base ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche dell’avversario basate sulla realtà osservazioni. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: applica le protezioni in base al criterio di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Baseline degli standard di sicurezza dei pod: applica le protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Restricted: applica le protezioni in base al criterio Restricted degli standard di sicurezza dei pod di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nel NIST Pubblicazione speciale (SP) 800-53, revisione 5. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy pronti all'uso. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: Il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Guida alla sicurezza dei contenitori delle applicazioni. Il bundle intende aiutare le organizzazioni a la sicurezza dei container delle applicazioni, inclusa la sicurezza delle immagini, sicurezza del runtime, sicurezza di rete e sicurezza del sistema host alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA - Guida alla protezione avanzata di Kubernetes v1.2: Applica protezioni basate sulla Guida alla protezione avanzata di Kubernetes CISA per NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (non più supportato): applica le protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI DSS 4.0 Applicare protezioni basate sullo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai tuoi cluster.
- Segui un tutorial sull'utilizzo dei pacchetti di criteri nella pipeline CI/CD per spostare verso sinistra.