Questa pagina descrive cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di policy disponibili.
Questa pagina è destinata agli amministratori IT e agli operatori che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per l'audit o l'applicazione. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli e attività comuni degli utenti GKE.
Informazioni sui bundle di Policy Controller
Puoi utilizzare Policy Controller per applicare singoli vincoli al tuo cluster o scrivere criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di controllare i cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutare ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse dei tuoi cluster.
Puoi applicare i bundle di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro sono conformi. Quando applichi un bundle di norme, il cluster viene sottoposto a un controllo applicando
vincoli con il tipo di applicazione dryrun. Il tipo di applicazione dryrun
ti consente di visualizzare le violazioni senza bloccare i tuoi carichi di lavoro. È inoltre consigliabile
utilizzare solo le azioni di applicazione warn o dryrun sui cluster con
workload di produzione, quando si testano nuovi vincoli o si eseguono migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sui provvedimenti, consulta
Controllo con i vincoli.
Ad esempio, un tipo di pacchetto di policy è il pacchetto benchmark CIS Kubernetes, che può aiutarti a controllare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes per supportare una solida strategia di sicurezza.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di norme disponibili. Seleziona il nome del pacchetto di policy per leggere la documentazione su come applicare il pacchetto, controllare le risorse e applicare le policy.
La colonna Alias bundle elenca il nome del bundle con un solo token. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.
La colonna Versione inclusa meno recente elenca la versione meno recente con cui il bundle è disponibile con Policy Controller. Se vuoi installare i pacchetti di criteri direttamente, segui le istruzioni per applicare più pacchetti di criteri. Se vuoi installare manualmente i bundle di criteri, ad esempio se devi modificare un bundle di criteri, segui le istruzioni collegate per quel bundle specifico nella tabella.
| Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
|---|---|---|---|---|
| Benchmark CIS GKE: Verifica la conformità dei cluster al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| Benchmark CIS Kubernetes: Verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| Benchmark CIS Kubernetes (anteprima): verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costi e affidabilità: Il pacchetto Costi e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE economicamente vantaggiosi senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): Il bundle di norme MITRE consente di valutare la conformità delle risorse del cluster ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criteri di sicurezza dei pod: Applica protezioni basate sui criteri di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Baseline: Applica protezioni basate sulla policy Baseline degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Restricted: Applica protezioni basate sul criterio Restricted degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: Verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: Applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53 del NIST, revisione 5. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy predefiniti. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: Il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Application Container Security Guide. Il bundle ha lo scopo di aiutare le organizzazioni con la sicurezza dei container delle applicazioni, inclusi sicurezza delle immagini, sicurezza di runtime dei container, sicurezza di rete e sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: Applica le protezioni in base alla NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (ritirato): applica protezioni basate sullo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0: Applica protezioni basate su Payment Card Industry Data Security Standard (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai tuoi cluster.
- Segui un tutorial sull'utilizzo dei bundle di criteri nella pipeline CI/CD per eseguire lo shift left.