Questa pagina descrive che cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di criteri disponibili.
Questa pagina è rivolta agli amministratori e agli operatori IT che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per eseguire controlli o applicare le norme. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente comuni di GKE Enterprise.
Puoi utilizzare Policy Controller per applicare singoli vincoli al tuo cluster o scrivere i tuoi criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di eseguire il controllo dei cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse del tuo cluster.
Puoi applicare bundle di criteri ai tuoi cluster esistenti per verificare se i tuoi workload sono conformi. Quando applichi un bundle di norme, il cluster viene sottoposto a controllo applicando vincoli con il dryrun tipo di applicazione. Il dryrun tipo di applicazione
ti consente di vedere le violazioni senza bloccare i carichi di lavoro. Inoltre, è consigliabile
utilizzare solo le azioni di applicazione warn o dryrun sui cluster con
workload di produzione, quando si testano nuovi vincoli o si eseguono migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta
Controllo mediante vincoli.
Ad esempio, un tipo di bundle di criteri è il bundle CIS Kubernetes Benchmark, che può aiutarti a verificare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes al fine di supportare una solida strategia di sicurezza.
I pacchetti di criteri vengono creati e gestiti da Google. Puoi visualizzare ulteriori dettagli sulla copertura dei criteri, inclusa la copertura per bundle, nella dashboard di Policy Controller.
I bundle di criteri sono inclusi in una licenza della versione Enterprise di Google Kubernetes Engine (GKE).
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di norme per leggere la documentazione su come applicare il bundle, eseguire la revisione delle risorse e applicare le norme.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.
La colonna Versione inclusa precedente elenca la versione precedente del bundle disponibile con Policy Controller. Ciò significa che puoi installare direttamente questi pacchetti. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi bundle disponibile seguendo le istruzioni riportate nel link nella tabella.
| Nome e descrizione | Alias del set | Versione inclusa più antica | Tipo | Sono inclusi i vincoli referenziali |
|---|---|---|---|---|
| Benchmark CIS GKE: verifica la conformità dei tuoi cluster al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark: verifica la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark (anteprima): controlla la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: il bundle Costo e affidabilità consente di adottare le best practice per eseguire cluster GKE economicamente convenienti senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): il bundle di norme MITRE consente di valutare la conformità delle risorse del cluster rispetto ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: applica le protezioni in base al criterio di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Baseline: applica le protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Restricted: applica le protezioni in base al criterio Restricted degli standard di sicurezza dei pod di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53 del NIST, revisione 5. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy pronti all'uso. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Application Container Security Guide. Il bundle è progettato per aiutare le organizzazioni con la sicurezza dei contenitori delle applicazioni, tra cui la sicurezza delle immagini, la sicurezza di runtime dei contenitori, la sicurezza di rete e la sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni in base alla NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (non più supportato): applica le protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0: applica le protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai tuoi cluster.
- Guarda un tutorial sull'utilizzo dei bundle di criteri nella pipeline CI/CD per eseguire lo shift left.