En esta página, se describen los paquetes de Policy Controller y se proporciona una descripción general de los paquetes de políticas disponibles.
Esta página está destinada a los administradores de TI y operadores que desean asegurarse de que todos los recursos que se ejecutan dentro de la plataforma en la nube cumplan con los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar el cumplimiento. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud, consulta Tareas y roles comunes de los usuarios de GKE Enterprise.
Puedes usar Policy Controller para aplicar restricciones individuales a tu clúster o escribir tus propias políticas personalizadas. También puedes usar paquetes de políticas, que te permiten auditar tus clústeres sin escribir ninguna restricción. Los paquetes de políticas son un grupo de restricciones que pueden ayudar a aplicar prácticas recomendadas, cumplir con los estándares de la industria o resolver problemas regulatorios en los recursos de tu clúster.
Puedes aplicar paquetes de políticas a tus clústeres existentes para verificar si tus cargas de trabajo cumplen con los requisitos. Cuando aplicas un paquete de políticas, se audita tu clúster aplicando restricciones con el tipo de aplicación dryrun. El tipo de aplicación forzosa dryrun te permite ver los incumplimientos sin bloquear tus cargas de trabajo. También se recomienda que solo las acciones de aplicación warn o dryrun se usen en clústeres con cargas de trabajo de producción, cuando se prueben restricciones nuevas o se realicen migraciones, como plataformas de actualización. Para obtener más información sobre las acciones de aplicación, consulta Audita mediante restricciones.
Por ejemplo, un tipo de paquete de políticas es el paquete de comparativas de CIS para Kubernetes, que puede ayudarte a auditar los recursos de tu clúster en función de las comparativas de CIS para Kubernetes. Esta comparativa es un conjunto de recomendaciones para configurar recursos de Kubernetes de modo que posibilite una postura de seguridad sólida.
Google crea y mantiene los paquetes de políticas. Puedes ver más detalles sobre la cobertura de tus políticas, incluida la cobertura por paquete, en el panel de Policy Controller.
Los paquetes de políticas se incluyen con una licencia de la edición Enterprise de Google Kubernetes Engine (GKE).
Paquetes de Policy Controller disponibles
En la siguiente tabla, se enumeran los paquetes de políticas disponibles. Selecciona el nombre del paquete de políticas para leer la documentación sobre cómo aplicarlo, auditar recursos y aplicar políticas.
En la columna alias de paquete, se muestra el nombre de token único del paquete. Este valor es necesario para aplicar un paquete con comandos de Google Cloud CLI.
En la columna Versión incluida más antigua, se muestra la versión más antigua en la que el paquete está disponible con Policy Controller. Esto significa que puedes instalar esos paquetes directamente. En cualquier versión de Policy Controller, puedes instalar cualquier paquete disponible si sigues las instrucciones vinculadas en la tabla.
| Nombre y descripción | Alias del paquete | Versión incluida más antigua | Tipo | Incluye restricciones referenciales |
|---|---|---|---|---|
| CIS GKE Benchmark: Audita el cumplimiento de tus clústeres en función de la versión 1.5 de la comparativa de CIS para GKE, un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Estándar de Kubernetes | Sí |
| Comparativas de CIS para Kubernetes: Audita el cumplimiento de tus clústeres en función de las comparativas de CIS para Kubernetes v1.5, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida. | cis-k8s-v1.5.1 |
1.15.2 | Estándar de Kubernetes | Sí |
| CIS Kubernetes Benchmark (versión preliminar): Audita el cumplimiento de tus clústeres en función de la versión 1.7 de las comparativas de CIS para Kubernetes, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida. | cis-k8s-v1.7.1 |
no disponible | Estándar de Kubernetes | Sí |
| Costo y confiabilidad: El paquete de costo y confiabilidad ayuda a adoptar prácticas recomendadas para ejecutar clústeres de GKE rentables sin comprometer el rendimiento ni la confiabilidad de las cargas de trabajo. | cost-reliability-v2023 |
1.16.1 | Prácticas recomendadas | Sí |
| MITRE (versión preliminar): El paquete de políticas de MITRE ayuda a evaluar el cumplimiento de los recursos de tu clúster con algunos aspectos de la base de conocimiento de MITRE de tácticas y técnicas de ataque basadas en observaciones del mundo real. | mitre-v2024 |
no disponible | Estándar de la industria | Sí |
| Política de seguridad de los Pods: Aplica protecciones según la política de seguridad de los Pods (PSP) de Kubernetes. | psp-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Modelo de referencia de los estándares de seguridad de los Pods: Aplica protecciones según la política de modelo de referencia de los estándares de seguridad de los Pods (PSS) de Kubernetes. | pss-baseline-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Estándares de seguridad de Pods restringidos: Aplica protecciones según la política restringida de estándares de seguridad de los Pods (PSS) de Kubernetes. | pss-restricted-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Seguridad de Cloud Service Mesh: Audita el cumplimiento de las vulnerabilidades de seguridad y las prácticas recomendadas de Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Prácticas recomendadas | Sí |
| Policy Essentials: Aplica las prácticas recomendadas a los recursos de tu clúster. | policy-essentials-v2022 |
1.14.1 | Prácticas recomendadas | No |
| NIST SP 800-53 Rev. 5: El paquete de NIST SP 800-53 Rev. 5 implementa los controles que se enumeran en la Publicación Especial (SP) 800-53, revisión 5 del NIST. El paquete puede ayudar a las organizaciones a proteger sus sistemas y datos de una variedad de amenazas mediante la implementación de políticas de seguridad y privacidad listas para usar. | nist-sp-800-53-r5 |
1.16.0 | Estándar de la industria | Sí |
| NIST SP 800-190: El paquete NIST SP 800-190 implementa los controles que se enumeran en la publicación especial (SP) 800-190 del NIST, Guía de seguridad de contenedores de aplicaciones. El paquete está diseñado para ayudar a las organizaciones con la seguridad de los contenedores de aplicaciones, incluida la seguridad de las imágenes, la seguridad del entorno de ejecución del contenedor, la seguridad de la red y la seguridad del sistema host, entre otras. | nist-sp-800-190 |
1.16.0 | Estándar de la industria | Sí |
| Guía de endurecimiento de Kubernetes NSA CISA v1.2: Aplica protecciones según la guía de endurecimiento de Kubernetes NSA CISA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Estándar de la industria | Sí |
| PCI-DSS v3.2.1 (obsoleto): Aplica protecciones basadas en las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Estándar de la industria | Sí |
| PCI-DSS v4.0: Aplica protecciones basadas en el Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v4.0. | pci-dss-v4.0 |
no disponible | Estándar de la industria | Sí |
¿Qué sigue?
- Obtén más información para aplicar restricciones individuales.
- Aplica las prácticas recomendadas a tus clústeres.
- Consulta un instructivo sobre cómo usar paquetes de políticas en tu canalización de CI/CD para desplazarte hacia la izquierda.