En esta página se describe qué son los paquetes de Policy Controller y se ofrece una descripción general de los paquetes de políticas disponibles.
Esta página está dirigida a administradores y operadores de TI que quieran asegurarse de que todos los recursos que se ejecutan en la plataforma en la nube cumplen los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar los requisitos. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas de usuario habituales de GKE.
Acerca de los paquetes de Policy Controller
Puedes usar Policy Controller para aplicar restricciones individuales a tu clúster o escribir tus propias políticas personalizadas. También puedes usar paquetes de políticas, que te permiten auditar tus clústeres sin escribir ninguna restricción. Los paquetes de políticas son un grupo de restricciones que pueden ayudarte a aplicar prácticas recomendadas, cumplir los estándares del sector o resolver problemas normativos en los recursos de tu clúster.
Puedes aplicar paquetes de políticas a tus clústeres para comprobar si tus cargas de trabajo cumplen los requisitos. Cuando aplicas un paquete de políticas, se audita tu clúster aplicando restricciones con el tipo de cumplimiento dryrun. El dryruntipo de medida de cumplimiento
te permite ver las infracciones sin bloquear tus cargas de trabajo. También se recomienda que solo se usen las acciones de aplicación warn o dryrun en clústeres con cargas de trabajo de producción, al probar nuevas restricciones o al realizar migraciones, como la actualización de plataformas. Para obtener más información sobre las medidas de cumplimiento, consulta Auditoría mediante restricciones.
Por ejemplo, un tipo de paquete de políticas es el paquete de comparativas de CIS Kubernetes, que puede ayudarte a auditar los recursos de tu clúster en comparación con la comparativa de CIS Kubernetes. Esta comparativa es un conjunto de recomendaciones para configurar recursos de Kubernetes de forma que se mantenga una postura de seguridad sólida.
Paquetes de Policy Controller disponibles
En la siguiente tabla se enumeran los paquetes de políticas disponibles. Selecciona el nombre del paquete de políticas para leer la documentación sobre cómo aplicar el paquete, auditar recursos y aplicar políticas.
En la columna Alias del paquete se muestra el nombre de token único del paquete. Este valor es necesario para aplicar un paquete con comandos de Google Cloud CLI.
En la columna Versión incluida más antigua se indica la versión más antigua en la que el paquete está disponible con Policy Controller. Si quieres instalar paquetes de políticas directamente, sigue las instrucciones para aplicar varios paquetes de políticas. Si quieres instalar paquetes de políticas manualmente (por ejemplo, si necesitas modificar uno), sigue las instrucciones que se indican en el enlace correspondiente de la tabla.
| Nombre y descripción | Alias del paquete | Versión incluida más antigua | Tipo | Incluye restricciones referenciales |
|---|---|---|---|---|
| Benchmark de CIS para GKE: audita el cumplimiento de tus clústeres con el benchmark de CIS para GKE v1.5, un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Estándar de Kubernetes | Sí |
| Comparativa de CIS Kubernetes: audita el cumplimiento de tus clústeres con la comparativa de CIS Kubernetes v1.5, un conjunto de recomendaciones para configurar Kubernetes de forma que se mantenga una postura de seguridad sólida. | cis-k8s-v1.5.1 |
1.15.2 | Estándar de Kubernetes | Sí |
| Comparativa de CIS Kubernetes (vista previa): audita el cumplimiento de tus clústeres con la comparativa de CIS Kubernetes v1.7, un conjunto de recomendaciones para configurar Kubernetes y mantener una postura de seguridad sólida. | cis-k8s-v1.7.1 |
no disponible | Estándar de Kubernetes | Sí |
| Costes y fiabilidad: el paquete Costes y fiabilidad ayuda a adoptar las prácticas recomendadas para ejecutar clústeres de GKE rentables sin poner en riesgo el rendimiento ni la fiabilidad de las cargas de trabajo. | cost-reliability-v2023 |
1.16.1 | Prácticas recomendadas | Sí |
| MITRE (vista previa): el paquete de políticas de MITRE ayuda a evaluar el cumplimiento de los recursos de tu clúster con respecto a algunos aspectos de la base de conocimientos de MITRE sobre tácticas y técnicas de atacantes basadas en observaciones reales. | mitre-v2024 |
no disponible | Estándar del sector | Sí |
| Política de seguridad de pods: aplica protecciones basadas en la política de seguridad de pods (PSP) de Kubernetes. | psp-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Estándar de seguridad de pods básico: aplica protecciones basadas en la política básica de los estándares de seguridad de pods (PSS) de Kubernetes. | pss-baseline-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Restringido de estándares de seguridad de pods: aplica protecciones basadas en la política Restringido de estándares de seguridad de pods (PSS) de Kubernetes. | pss-restricted-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Seguridad de Cloud Service Mesh: audita el cumplimiento de las vulnerabilidades y las prácticas recomendadas de seguridad de Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Prácticas recomendadas | Sí |
| Pasos esenciales para aplicar políticas: Aplica las prácticas recomendadas a los recursos de tu clúster. | policy-essentials-v2022 |
1.14.1 | Prácticas recomendadas | No |
| NIST SP 800-53 Rev. 5: El paquete NIST SP 800-53 Rev. 5 implementa los controles que se indican en la publicación especial (SP) 800-53, revisión 5, del NIST. El paquete puede ayudar a las organizaciones a proteger sus sistemas y datos frente a diversas amenazas implementando políticas de seguridad y privacidad listas para usar. | nist-sp-800-53-r5 |
1.16.0 | Estándar del sector | Sí |
| NIST SP 800-190: El paquete NIST SP 800-190 implementa los controles que se indican en la publicación especial (SP) 800-190 del NIST, Application Container Security Guide (Guía de seguridad de contenedores de aplicaciones). El paquete tiene como objetivo ayudar a las organizaciones con la seguridad de los contenedores de aplicaciones, incluida la seguridad de las imágenes, la seguridad del tiempo de ejecución de los contenedores, la seguridad de la red y la seguridad del sistema host, entre otros. | nist-sp-800-190 |
1.16.0 | Estándar del sector | Sí |
| Guía de endurecimiento de Kubernetes de la NSA y la CISA, versión 1.2: aplica protecciones basadas en la guía de endurecimiento de Kubernetes de la NSA y la CISA, versión 1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Estándar del sector | Sí |
| PCI-DSS v3.2.1 (obsoleto): aplica protecciones basadas en la versión 3.2.1 de la normativa de seguridad de datos del sector de las tarjetas de pago (PCI-DSS). | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Estándar del sector | Sí |
| PCI-DSS v4.0: aplica protecciones basadas en la versión 4.0 del estándar de seguridad de datos del sector de las tarjetas de pago (PCI-DSS). | pci-dss-v4.0 |
no disponible | Estándar del sector | Sí |
Siguientes pasos
- Más información sobre cómo aplicar restricciones individuales
- Aplica las prácticas recomendadas a tus clústeres.
- Consulta un tutorial sobre cómo usar paquetes de políticas en tu flujo de procesamiento de CI/CD para aplicar la estrategia de "shift left".