Pacotes do Controlador de Políticas

Nesta página, descrevemos o que são os pacotes do Controlador de Políticas e apresentamos uma visão geral dos pacotes de políticas disponíveis.

Esta página é destinada a administradores e operadores de TI que querem garantir que todos os recursos executados na plataforma de nuvem atendam a requisitos de conformidade fornecendo e mantendo automação para auditar ou aplicar. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e papéis de usuário comuns do GKE Enterprise.

Use o Controlador de Políticas para aplicar restrições individuais ao cluster ou gravar políticas personalizadas. Também é possível usar pacotes de políticas, que permitem auditar seus clusters sem gravar restrições. Pacotes de políticas são um grupo de restrições que podem ajudar a aplicar as práticas recomendadas, atender aos padrões do setor ou resolver problemas regulamentares em todos os recursos do cluster.

É possível aplicar pacotes de políticas nos clusters para verificar se as cargas de trabalho estão em conformidade. Quando você aplica um pacote de políticas, ele audita o cluster aplicando restrições com o tipo de aplicação dryrun. O tipo de aplicação dryrun permite acessar violações sem bloquear as cargas de trabalho. Também é recomendável que apenas as ações da política warn ou dryrun sejam usadas em clusters com cargas de trabalho de produção, ao testar novas restrições ou realizar migrações, como plataformas de upgrade. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.

Por exemplo, um tipo de pacote de política é o CIS Benchmark do Kubernetes, que pode ajudar a auditar seus recursos de cluster em relação ao CIS Benchmark do Kubernetes. Essa comparação é um conjunto de recomendações para configurar os recursos do Kubernetes a fim de oferecer suporte a uma postura de segurança forte.

Os pacotes de políticas são criados e mantidos pelo Google. Confira mais detalhes sobre a cobertura de políticas, incluindo a cobertura por pacote, no painel do Controlador de políticas.

Os pacotes de políticas estão incluídos em uma licença do Google Kubernetes Engine (GKE) Enterprise.

Pacotes do Controlador de políticas disponíveis

A tabela a seguir lista os pacotes de políticas disponíveis. Selecione o nome do pacote de políticas para ler a documentação sobre como aplicar o pacote, auditar recursos e aplicar políticas.

A coluna Alias do pacote lista o nome do token único do pacote. Esse valor é necessário para aplicar um pacote com comandos da CLI do Google Cloud.

A coluna versão incluída mais antiga lista a versão mais antiga em que o pacote está disponível com o Controlador de Políticas. Isso significa que é possível instalar esses pacotes diretamente. Em qualquer versão do Controlador de Políticas, ainda é possível instalar qualquer pacote disponível seguindo as instruções vinculadas na tabela.

Nome e descrição Alias do pacote Versão incluída mais antiga Tipo Inclui restrições referenciais
Comparativo de mercado CIS do GKE: faça uma auditoria da conformidade dos clusters em relação ao comparativo de mercado CIS do GKE v1.5, um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE). cis-gke-v1.5.0 1.18.0 Padrão do Kubernetes Sim
Comparativo de mercado do Kubernetes do CIS: faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.5, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. cis-k8s-v1.5.1 1.15.2 Padrão do Kubernetes Sim
Comparativo de mercado CIS do Kubernetes (pré-lançamento): faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.7, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. cis-k8s-v1.7.1 não disponível Padrão do Kubernetes Sim
Custo e confiabilidade: o pacote de custo e confiabilidade ajuda a adotar as práticas recomendadas para executar clusters econômicos do GKE sem comprometer o desempenho ou a confiabilidade das cargas de trabalho. cost-reliability-v2023 1.16.1 Práticas recomendadas Sim
MITRE (pré-lançamento): o pacote de políticas MITRE ajuda a avaliar a conformidade dos seus recursos de cluster com alguns aspectos da base de conhecimento de táticas e técnicas de invasão do MITRE baseadas em observações do mundo real. mitre-v2024 não disponível Padrão do setor Sim
Política de segurança do pod: aplique proteções com base na política de segurança do pod (PSP, na sigla em inglês) do Kubernetes. psp-v2022 1.15.2 Padrão do Kubernetes Não
Padrão de referência dos padrões de segurança de pods: aplique proteções com base na política de valor de referência dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. pss-baseline-v2022 1.15.2 Padrão do Kubernetes Não
Padrões de segurança do pod restritos: aplique proteções com base na política restrita dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. pss-restricted-v2022 1.15.2 Padrão do Kubernetes Não
Segurança do Cloud Service Mesh: faça uma auditoria da conformidade das suas vulnerabilidades e práticas recomendadas de segurança do Cloud Service Mesh. asm-policy-v0.0.1 1.15.2 Práticas recomendadas Sim
Políticas essenciais: aplique as práticas recomendadas aos recursos do cluster. policy-essentials-v2022 1.14.1 Práticas recomendadas Não
NIST SP 800-53 Rev. 5: o pacote NIST SP 800-53 Rev. 5 implementa controles listados na Publicação Especial (SP, na sigla em inglês) 800-53 do NIST, Revisão 5. O pacote pode ajudar as organizações a proteger os sistemas e dados contra diversas ameaças implementando políticas de privacidade e segurança prontas para uso. nist-sp-800-53-r5 1.16.0 Padrão do setor Sim
NIST SP 800-190: o pacote NIST SP 800-190 implementa controles listados na Publicação Especial do NIST (SP, na sigla em inglês) 800-190, guia de segurança de contêineres de aplicativos. O pacote serve para a ajudar organizações com segurança de contêineres de aplicativos, incluindo segurança de imagens, segurança do ambiente de execução do contêiner, segurança de rede e segurança do sistema host, entre outras.  nist-sp-800-190 1.16.0 Padrão do setor Sim
Guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2: aplique proteções com base no guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2. nsa-cisa-k8s-v1.2 1.16.0 Padrão do setor Sim
PCI-DSS v3.2.1 (descontinuado): aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v3.2.1. pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended 1.15.2 Padrão do setor Sim
PCI-DSS v4.0: aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0. pci-dss-v4.0 não disponível Padrão do setor Sim

A seguir