Halaman ini menjelaskan apa yang dimaksud dengan paket Pengontrol Kebijakan dan memberikan ringkasan dari paket kebijakan yang tersedia.
Halaman ini ditujukan untuk admin IT dan Operator yang ingin memastikan bahwa semua resource yang berjalan dalam platform {i>cloud<i} memenuhi persyaratan persyaratan kepatuhan dengan menyediakan dan mempertahankan otomatisasi untuk terapkan. Untuk mempelajari lebih lanjut tentang peran umum dan contoh tugas yang kami rujuk di konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise yang umum.
Anda dapat menggunakan Pengontrol Kebijakan untuk menerapkan batasan individual ke cluster Anda atau tulis kebijakan kustom Anda sendiri. Anda juga dapat menggunakan paket kebijakan, yang memungkinkan Anda mengaudit cluster tanpa perlu menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar, atau memecahkan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa apakah workload Anda
mematuhi kebijakan. Saat diterapkan, paket kebijakan akan mengaudit cluster Anda dengan menerapkan
batasan dengan jenis penerapan dryrun. Jenis penerapan dryrun
Anda dapat melihat pelanggaran tanpa memblokir workload Anda. Ini juga direkomendasikan
bahwa hanya tindakan penerapan warn atau dryrun yang digunakan pada cluster dengan
produksi, saat menguji batasan baru, atau melakukan migrasi
seperti mengupgrade platform. Untuk informasi selengkapnya tentang tindakan penegakan kebijakan, lihat
Mengaudit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket Benchmark Kubernetes CIS, yang dapat membantu mengaudit resource cluster Anda Tolok Ukur Kubernetes CIS. Tolok ukur ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes untuk mendukung postur keamanan yang kuat.
Paket kebijakan dibuat dan dikelola oleh Google. Anda dapat melihat detail selengkapnya tentang cakupan polis Anda, termasuk cakupan per paket, di Dasbor Pengontrol Kebijakan.
Paket kebijakan disertakan dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, sumber daya audit, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama token tunggal paket. Nilai ini diperlukan untuk menerapkan paket dengan Perintah Google Cloud CLI.
Kolom versi yang disertakan paling awal mencantumkan versi paling awal yang paket ini tersedia dengan Pengontrol Kebijakan. Ini berarti Anda dapat menginstal paket tersebut secara langsung. Di versi Pengontrol Kebijakan apa pun, Anda tetap dapat menginstal semua kontrol paket dengan mengikuti petunjuk yang ditautkan dalam tabel.
| Nama dan deskripsi | Alias paket | Versi yang disertakan paling awal | Jenis | Mencakup batasan referensial |
|---|---|---|---|---|
| Tolok Ukur GKE CIS: Mengaudit kepatuhan cluster Anda terhadap CIS GKE Benchmark v1.5, serangkaian keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standar Kubernetes | Ya |
| Tolok Ukur Kubernetes CIS: Mengaudit kepatuhan cluster Anda terhadap CIS Benchmark Kubernetes v1.5, kumpulan rekomendasi untuk mengonfigurasi Kubernetes untuk mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark (Pratinjau): Mengaudit kepatuhan cluster Anda terhadap CIS Benchmark Kubernetes v1.7, serangkaian rekomendasi untuk mengonfigurasi Kubernetes untuk mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu mengadopsi praktik terbaik untuk menjalankan cluster GKE hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan mengelompokkan sumber daya berdasarkan beberapa aspek pusat informasi MITRE taktik dan teknik penyerang berdasarkan dunia nyata pengamatan. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Menerapkan perlindungan berdasarkan Kebijakan Keamanan Pod Kubernetes (PSP). | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar Standar Keamanan Pod: Menerapkan perlindungan berdasarkan Standar Keamanan Pod Kubernetes (PSS) Kebijakan dasar. | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Standar Keamanan Pod Dibatasi: Menerapkan perlindungan berdasarkan Standar Keamanan Pod Kubernetes (PSS) Kebijakan terbatas. | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Cloud Service Mesh: Mengaudit kepatuhan keamanan Cloud Service Mesh Anda kerentanan dan praktik terbaik. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Menerapkan praktik terbaik ke cluster Anda Google Cloud Platform. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 menerapkan kontrol yang tercantum dalam NIST Publikasi Khusus (SP) 800-53, Revisi 5. Paket dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan keamanan dan privasi yang siap pakai kebijakan izin yang relevan. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 mengimplementasikan kontrol yang tercantum dalam NIST Publikasi Khusus (SP) 800-190, Penampung Aplikasi Panduan Keamanan. Paket ini dimaksudkan untuk membantu organisasi terkait keamanan container aplikasi termasuk keamanan image, container keamanan runtime, keamanan jaringan, dan keamanan sistem host untuk dinamai beberapa. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| NSA CISA Kubernetes Hardening Guide v1.2: Menerapkan perlindungan berdasarkan NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1 (Tidak digunakan lagi): Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0: Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah selanjutnya
- Pelajari lebih lanjut cara menerapkan batasan individual.
- Terapkan praktik terbaik ke cluster Anda.
- Ikuti tutorial tentang cara menggunakan paket kebijakan di pipeline CI/CD untuk beralih ke kiri.