Questa pagina descrive cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di policy disponibili.
Questa pagina è destinata agli amministratori IT e agli operatori che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e gestendo l'automazione per il controllo o l'applicazione. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli e attività comuni degli utenti GKE.
Informazioni sui bundle di Policy Controller
Puoi utilizzare Policy Controller per applicare singoli vincoli al tuo cluster o scrivere criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di controllare i cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutare ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse dei tuoi cluster.
Puoi applicare i bundle di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro sono conformi. Quando applichi un bundle di norme, il cluster viene sottoposto a un audit applicando
vincoli con il tipo di applicazione dryrun
. Il tipo di applicazione dryrun
ti consente di visualizzare le violazioni senza bloccare i tuoi workload. È inoltre consigliabile
utilizzare solo le azioni di applicazione warn
o dryrun
sui cluster con
workload di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sui provvedimenti, consulta
Controllo con i vincoli.
Ad esempio, un tipo di pacchetto di policy è il pacchetto benchmark CIS Kubernetes, che può aiutarti a controllare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes per supportare una solida strategia di sicurezza.
Bundle di Policy Controller disponibili
La tabella seguente elenca i bundle di criteri disponibili. Seleziona il nome del pacchetto di policy per leggere la documentazione su come applicare il pacchetto, controllare le risorse e applicare le policy.
La colonna Alias bundle elenca il nome del bundle con un solo token. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.
La colonna Versione inclusa meno recente elenca la versione meno recente con cui il bundle è disponibile con Policy Controller. Se vuoi installare i pacchetti di criteri direttamente, segui le istruzioni per applicare più pacchetti di criteri. Se vuoi installare manualmente i bundle di criteri, ad esempio se devi modificarne uno, segui le istruzioni collegate per il bundle specifico nella tabella.
Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
---|---|---|---|---|
Benchmark CIS GKE: Verifica la conformità dei cluster al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
Benchmark CIS Kubernetes: Verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
Benchmark CIS Kubernetes (anteprima): verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
Costi e affidabilità: Il pacchetto Costi e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE economicamente vantaggiosi senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
MITRE (anteprima): Il pacchetto di norme MITRE consente di valutare la conformità delle risorse del cluster ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
Criteri di sicurezza dei pod: Applica protezioni basate sui criteri di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
Standard di sicurezza dei pod - Baseline: Applica protezioni basate sulla policy Baseline degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
Standard di sicurezza dei pod - Restricted: Applica protezioni basate sul criterio Restricted degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
Sicurezza di Cloud Service Mesh: Verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
Policy Essentials: Applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53 del NIST, revisione 5. Il pacchetto può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando norme di sicurezza e privacy predefinite. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
NIST SP 800-190: Il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Application Container Security Guide. Il bundle è pensato per aiutare le organizzazioni con la sicurezza dei container delle applicazioni, inclusi sicurezza delle immagini, sicurezza di runtime dei container, sicurezza di rete e sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
NSA CISA Kubernetes Hardening Guide v1.2: Applica le protezioni in base alla guida NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
PCI-DSS v3.2.1 (ritirato): applica protezioni basate sullo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
PCI-DSS v4.0: Applica protezioni basate su Payment Card Industry Data Security Standard (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai tuoi cluster.
- Segui un tutorial sull'utilizzo dei bundle di policy nella pipeline CI/CD per eseguire lo shift left.