このページでは、Policy Controller のバンドルと、使用可能なポリシー バンドルの概要について説明します。
Policy Controller を使用して、クラスタに個別の制約を適用したり、独自のカスタム ポリシーを作成したりすることができます。また、ポリシー バンドルを使用して、制約を作成せずにクラスタを監査することもできます。ポリシー バンドルとは、クラスタ リソース全体でベスト プラクティスの適用、業界基準の遵守、規制問題の解決のために活用できる制約のグループです。
既存のクラスタに対してポリシー バンドルを適用して、ワークロードがポリシーに準拠しているかどうかを確認できます。ポリシー バンドルを適用する際に dryrun の適用タイプで制約を適用することによって、クラスタを監査できます。dryrun 適用タイプを使用すると、ワークロードをブロックせずに違反を確認できます。また、新しい制約をテストする場合や、プラットフォームのアップグレードなどの移行を行う場合は、本番環境ワークロードのあるクラスタで warn または dryrun の適用アクションのみを使用することもおすすめします。適用アクションの詳細については、制約を使用した監査をご覧ください。
たとえば、ポリシー バンドルの 1 つとして CIS Kubernetes Benchmark バンドルがあります。これは、CIS Kubernetes Benchmark に基づいてクラスタ リソースを監査するのに役立ちます。このベンチマークは、強固なセキュリティ ポスチャーを維持できるように Kubernetes リソースを構成するための一連の推奨事項です。
ポリシー バンドルは Google によって作成、管理されます。バンドルごとのカバレッジなど、ポリシーのカバレッジの詳細については、Policy Controller ダッシュボードをご覧ください。
ポリシー バンドルは、Google Kubernetes Engine(GKE)Enterprise エディション ライセンスに含まれています。
利用可能な Policy Controller のバンドル
次の表は利用可能なポリシー バンドルの一覧です。バンドルの適用方法、リソースの監査方法、ポリシーの適用方法に関するドキュメントを参照するには、ポリシー バンドルの名前を選択してください。
「バンドルのエイリアス」列には、バンドルの単一トークン名が示されています。この値は、Google Cloud CLI コマンドでバンドルを適用するために必要です。
「最も古い収録バージョン」列には、バンドルが Policy Controller で使用できる最も古いバージョンが示されています。つまり、これらのバンドルを直接インストールできます。Policy Controller のどのバージョンでも、表にリンクされている手順に沿って操作することで、利用可能なバンドルをインストールできます。
| 名前と説明 | バンドルのエイリアス | 最も古い収録バージョン | タイプ | 参照制約を含む |
|---|---|---|---|---|
| CIS GKE Benchmark: Google Kubernetes Engine(GKE)の構成に推奨される一連のセキュリティ管理である CIS GKE Benchmark v1.5 に対する、クラスタのコンプライアンスを監査します。 | cis-gke-v1.5.0 |
1.18.0 | Kubernetes 標準 | ○ |
| CIS Kubernetes Benchmark: 強力なセキュリティ ポスチャーをサポートするように Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.5 に対する、クラスタのコンプライアンスを監査します。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 標準 | ○ |
| CIS Kubernetes Benchmark(プレビュー): 強固なセキュリティ ポスチャーがサポートされるように Kubernetes を構成するための一連の推奨事項である CIS Kubernetes Benchmark v1.7 に対する、クラスタのコンプライアンスを監査します。 | cis-k8s-v1.7.1 |
該当なし | Kubernetes 標準 | ○ |
| コストと信頼性: コストと信頼性のバンドルを使用すると、ワークロードのパフォーマンスや信頼性を損なうことなく、コスト効率の高い GKE クラスタを実行するためのベスト プラクティスを採用できます。 | cost-reliability-v2023 |
1.16.1 | ベスト プラクティス | ○ |
| MITRE(プレビュー): MITRE ポリシー バンドルは、実際のモニタリングに基づいて攻撃者の戦術と手法を定義している MITRE のナレッジベースのいくつかの側面に対する、クラスタ リソースのコンプライアンスを評価するのに役立ちます。 | mitre-v2024 |
該当なし | 業界基準 | ○ |
| Pod Security Policy: Kubernetes Pod Security Policy(PSP)に基づいて保護を適用します。 | psp-v2022 |
1.15.2 | Kubernetes 標準 | × |
| Pod Security Standards Baseline: Kubernetes Pod Security Standards(PSS)Baseline ポリシーに基づいて保護を適用します。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 標準 | × |
| Pod Security Standards Restricted: Kubernetes Pod Security Standards(PSS)Restricted ポリシーに基づいて保護を適用します。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 標準 | × |
| Anthos Service Mesh セキュリティ: Anthos Service Mesh セキュリティの脆弱性とベスト プラクティスのコンプライアンスを監査します。 | asm-policy-v0.0.1 |
1.15.2 | ベスト プラクティス | ○ |
| Policy Essentials: クラスタ リソースにベスト プラクティスを適用します。 | policy-essentials-v2022 |
1.14.1 | ベスト プラクティス | × |
| NIST SP 800-53 Rev. 5: NIST SP 800-53 Rev. 5 バンドルには、NIST Special Publication(SP)800-53、Revision 5 に記載されている管理機能が実装されています。このバンドルは、すぐに使用できるセキュリティとプライバシー ポリシーを実装することで、組織がさまざまな脅威からシステムとデータを保護するのに役立ちます。 | nist-sp-800-53-r5 |
1.16.0 | 業界基準 | ○ |
| NIST SP 800-190: NIST SP 800-190 バンドルには、NIST Special Publication(SP)800-190、Application Container Security Guide に記載されている管理機能が実装されています。このバンドルは、イメージ セキュリティ、コンテナ ランタイム セキュリティ、ネットワーク セキュリティ、ホストシステム セキュリティなどのアプリケーション コンテナ セキュリティで組織を支援することを目的としています。 | nist-sp-800-190 |
1.16.0 | 業界基準 | ○ |
| NSA CISA Kubernetes Hardening Guide v1.2: NSA CISA Kubernetes Hardening Guide v1.2 に基づいて保護を適用します。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 業界基準 | ○ |
| PCI-DSS v3.2.1(非推奨): Payment Card Industry データ セキュリティ基準(PCI-DSS)v3.2.1 に基づく保護設定を適用します。 | pci-dss-v3.2.1 または pci-dss-v3.2.1-extended |
1.15.2 | 業界基準 | ○ |
| PCI-DSS v4.0: Payment Card Industry データ セキュリティ基準(PCI-DSS)v4.0 に基づいて保護を適用します。 | pci-dss-v4.0 |
該当なし | 業界基準 | ○ |
次のステップ
- Policy Controller の無料トライアルを試す。
- 個別の制約の適用について学ぶ。
- クラスタにベスト プラクティスを適用する。
- CI / CD パイプラインでポリシー バンドルを使用してシフトレフトするためのチュートリアルを利用する。