Questa pagina descrive cosa sono i pacchetti di Policy Controller e fornisce una panoramica dei pacchetti di criteri disponibili.
Puoi utilizzare Policy Controller per applicare vincoli individuali al cluster o scrivere criteri personalizzati. Puoi anche usare pacchetti di criteri, che consentono di controllare i cluster senza scrivere vincoli. I pacchetti di criteri sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere problemi normativi nelle risorse del tuo cluster.
Puoi applicare pacchetti di criteri ai cluster esistenti per verificare se i carichi di lavoro
sono conformi. Quando applichi un bundle di criteri, questo controlla il cluster applicando vincoli con il tipo di applicazione dryrun
. Il tipo di applicazione forzata dryrun
ti consente di visualizzare le violazioni senza bloccare i carichi di lavoro. Inoltre, si consiglia di utilizzare solo le azioni di applicazione warn
o dryrun
sui cluster con carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta Controllo con vincoli.
Ad esempio, un tipo di bundle di criteri è il bundle CIS Kubernetes Benchmark, che può aiutarti a verificare le risorse del tuo cluster rispetto al Benchmark CIS Kubernetes. Questo benchmark è un insieme di suggerimenti per configurare le risorse Kubernetes al fine di supportare una solida postura di sicurezza.
I pacchetti di criteri vengono creati e gestiti da Google. Puoi visualizzare maggiori dettagli sulla copertura dei criteri, inclusa la copertura per bundle, nella dashboard di Policy Controller.
I pacchetti di criteri sono inclusi nella licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di criteri per leggere la documentazione su come applicarlo, controllare le risorse e applicare i criteri.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore è necessario per applicare un bundle con i comandi di Google Cloud CLI.
La colonna Versione inclusa precedente elenca la prima versione in cui il bundle è disponibile con Policy Controller. Ciò significa che puoi installare direttamente i bundle. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi bundle disponibile seguendo le istruzioni collegate nella tabella.
Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
---|---|---|---|---|
Benchmark GKE CIS: verifica la conformità dei tuoi cluster rispetto al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
Benchmark CIS per Kubernetes: verifica la conformità dei tuoi cluster rispetto alla versione 1.5 di CIS Kubernetes Benchmark, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
Benchmark CIS per Kubernetes (anteprima): controlla la conformità dei tuoi cluster rispetto alla versione 1.7 di CIS Kubernetes Benchmark, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida postura di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
Costo e affidabilità: il bundle Costo e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
MITRE (anteprima): il pacchetto di criteri MITRE aiuta a valutare la conformità delle risorse del cluster con alcuni aspetti della knowledge base MITRE delle tattiche e delle tecniche degli utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
Criterio di sicurezza dei pod: applica protezioni in base al criterio di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
Standard di sicurezza dei pod - Standard: applica protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes (PSS). | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
Standard di sicurezza dei pod con restrizioni: applica protezioni in base al criterio con restrizioni degli standard di sicurezza dei pod di Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
Sicurezza di Cloud Service Mesh: controlla la conformità delle vulnerabilità e le best practice di sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
NIST SP 800-53 Rev. 5: il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale NIST 800-53, revisione 5 del NIST. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy predefiniti. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale NIST (SP) 800-190, Application Container Security Guide. Il bundle è concepito per aiutare le organizzazioni con la sicurezza dei container delle applicazioni, tra cui la sicurezza delle immagini, la sicurezza del runtime dei container, la sicurezza della rete e la sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni basate sulla guida alla protezione avanzata di Kubernetes CISA per NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
PCI-DSS v3.2.1 (deprecata): applica protezioni basate sullo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
PCI-DSS v4.0: applica protezioni basate sullo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai cluster.
- Segui un tutorial sull'utilizzo dei pacchetti di criteri nella pipeline CI/CD per spostare verso sinistra.