Halaman ini menjelaskan apa itu paket Pengontrol Kebijakan dan memberikan ringkasan paket kebijakan yang tersedia.
Halaman ini ditujukan bagi administrator dan Operator IT yang ingin memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan mempertahankan otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten, lihat Peran dan tugas pengguna GKE umum. Google Cloud
Tentang paket Pengontrol Kebijakan
Anda dapat menggunakan Policy Controller untuk menerapkan batasan individual ke cluster atau menulis kebijakan kustom Anda sendiri. Anda juga dapat menggunakan paket kebijakan, yang memungkinkan Anda mengaudit cluster tanpa menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar industri, atau memecahkan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa apakah beban kerja Anda mematuhi kebijakan. Saat Anda menerapkan paket kebijakan, paket tersebut akan mengaudit cluster Anda dengan menerapkan batasan dengan jenis penegakan dryrun. Jenis penerapan dryrun
memungkinkan Anda melihat pelanggaran tanpa memblokir workload. Sebaiknya hanya tindakan penegakan warn atau dryrun yang digunakan pada cluster dengan beban kerja produksi, saat menguji batasan baru, atau melakukan migrasi seperti mengupgrade platform. Untuk mengetahui informasi selengkapnya tentang tindakan penegakan, lihat
Mengaudit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket CIS Kubernetes Benchmark, yang dapat membantu mengaudit resource cluster Anda berdasarkan CIS Kubernetes Benchmark. Tolok ukur ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes guna mendukung postur keamanan yang kuat.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, mengaudit resource, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama token tunggal paket. Nilai ini diperlukan untuk menerapkan paket dengan perintah Google Cloud CLI.
Kolom versi paling awal yang disertakan mencantumkan versi paling awal yang tersedia dengan Policy Controller. Jika Anda ingin menginstal paket kebijakan secara langsung, ikuti petunjuk untuk menerapkan beberapa paket kebijakan. Jika Anda ingin menginstal paket kebijakan secara manual, misalnya jika Anda perlu mengubah paket kebijakan, ikuti petunjuk tertaut untuk paket tertentu tersebut dalam tabel.
| Nama dan deskripsi | Alias paket | Versi paling awal yang disertakan | Jenis | Mencakup batasan referensial |
|---|---|---|---|---|
| Tolok Ukur GKE CIS: Audit kepatuhan cluster Anda terhadap CIS GKE Benchmark v1.5, serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standar Kubernetes | Ya |
| Tolok Ukur Kubernetes CIS: Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.5, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| Tolok Ukur Kubernetes CIS (Pratinjau): Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.7, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu menerapkan praktik terbaik untuk menjalankan cluster GKE yang hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek pusat informasi MITRE tentang taktik dan teknik penyerang berdasarkan observasi dunia nyata. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Menerapkan perlindungan berdasarkan Kebijakan Keamanan Pod (PSP) Kubernetes. | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar Pengukuran Standar Keamanan Pod: Menerapkan perlindungan berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod (PSS) Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Standar Keamanan Pod Terbatas: Menerapkan perlindungan berdasarkan kebijakan Terbatas Standar Keamanan Pod (PSS) Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Cloud Service Mesh: Mengaudit kepatuhan kerentanan dan praktik terbaik keamanan Cloud Service Mesh Anda. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Terapkan praktik terbaik ke resource cluster Anda. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-53, Revision 5. Paket ini dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan kebijakan keamanan dan privasi siap pakai. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-190, Application Container Security Guide. Paket ini ditujukan untuk membantu organisasi dalam keamanan penampung aplikasi, termasuk keamanan image, keamanan runtime penampung, keamanan jaringan, dan keamanan sistem host. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| Panduan Pengamanan Kubernetes NSA CISA v1.2: Terapkan perlindungan berdasarkan Panduan Pengamanan Kubernetes NSA CISA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1 (Tidak digunakan lagi): Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0: Terapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah berikutnya
- Pelajari lebih lanjut cara menerapkan batasan individual.
- Terapkan praktik terbaik ke cluster Anda.
- Ikuti tutorial tentang menggunakan paket kebijakan di pipeline CI/CD untuk menggeser ke kiri.