Questa pagina descrive cosa sono i pacchetti di Policy Controller e fornisce una panoramica dei pacchetti di criteri disponibili.
Puoi utilizzare Policy Controller per applicare vincoli individuali nel cluster o scrivere criteri personalizzati. Puoi anche usare pacchetti di criteri, che ti consentono di controllare i cluster senza scrivere vincoli. Pacchetti di criteri sono un gruppo di vincoli che possono aiutare ad applicare le best practice, o risolvere problemi normativi nelle risorse del tuo cluster.
Puoi applicare pacchetti di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro
sono conformi. Quando applichi un bundle di criteri, questo controlla il cluster applicando
vincoli con il tipo di applicazione forzata dryrun. Il tipo di applicazione forzata di dryrun
consente di visualizzare le violazioni senza bloccare i carichi di lavoro. È inoltre consigliato
che solo le azioni di applicazione warn o dryrun vengano utilizzate sui cluster con
carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sui provvedimenti, consulta
Controllo con vincoli.
Ad esempio, un tipo di pacchetto di criteri è il bundle CIS Kubernetes Benchmark, il che può aiutarti a verificare le risorse del cluster Benchmark CIS per Kubernetes. Questo benchmark è un insieme di suggerimenti per la configurazione delle risorse Kubernetes per supportare una solida postura di sicurezza.
I pacchetti di criteri vengono creati e gestiti da Google. Puoi visualizzare ulteriori dettagli sulla copertura delle polizze, inclusa la copertura per bundle, nel Dashboard di Policy Controller.
I pacchetti di criteri sono inclusi nella licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di criteri per leggere la documentazione su come applicarlo, controllare le risorse e applicare i criteri.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore necessario per applicare un bundle Comandi Google Cloud CLI.
La colonna Versione inclusa precedente elenca la prima versione è disponibile con Policy Controller. Ciò significa che puoi installare direttamente i bundle. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi versione seguendo le istruzioni riportate nella tabella.
| Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
|---|---|---|---|---|
| Benchmark GKE CIS: Controlla la conformità dei tuoi cluster alla CIS Benchmark GKE v1.5, un insieme di sicurezza consigliata per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes: Controlla la conformità dei tuoi cluster alla CIS Kubernetes Benchmark v1.5, un insieme di suggerimenti per la configurazione per supportare una solida postura di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes (anteprima): Controlla la conformità dei tuoi cluster alla CIS Kubernetes Benchmark v1.7, un insieme di suggerimenti per la configurazione per supportare una solida postura di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: Il bundle Costo e affidabilità aiuta ad adottare le best practice per ed eseguire cluster GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): Il pacchetto di criteri MITRE aiuta a valutare la conformità dei raggruppare le risorse in base ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche dell’avversario basate sulla realtà osservazioni. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: Applica protezioni basate sul criterio di sicurezza dei pod di Kubernetes (PSP). | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod (base di riferimento): Applica protezioni basate sugli standard di sicurezza dei pod di Kubernetes (PSS) Norme di riferimento. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod limitati: Applica protezioni basate sugli standard di sicurezza dei pod di Kubernetes (PSS) Norme con restrizioni. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: Verifica la conformità della sicurezza di Cloud Service Mesh vulnerabilità e best practice. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Nozioni di base sulle norme: Applica le best practice al cluster Google Cloud. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nel NIST Pubblicazione speciale (SP) 800-53, revisione 5. Il bundle potrebbe esserti utile le organizzazioni proteggono i propri sistemi e dati da una grazie all'implementazione immediata di sicurezza e privacy criteri. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: Il bundle NIST SP 800-190 implementa i controlli elencati nel NIST Pubblicazione speciale (SP) 800-190, container per applicazioni Guida alla sicurezza. Il bundle ha lo scopo di aiutare le organizzazioni a per la sicurezza dei container delle applicazioni, tra cui sicurezza di runtime, sicurezza di rete e sicurezza del sistema host alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA - Guida alla protezione avanzata di Kubernetes v1.2: Applica protezioni basate sulla Guida alla protezione avanzata di Kubernetes CISA per NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (deprecata): Applicare protezioni basate sullo standard di sicurezza dei dati dell’industria delle carte di pagamento (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI DSS 4.0 Applicare protezioni basate sullo standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai cluster.
- Segui un tutorial sull'utilizzo dei pacchetti di criteri nella pipeline CI/CD per spostare verso sinistra.