Bundle di Policy Controller

Questa pagina descrive cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di policy disponibili.

Questa pagina è destinata agli amministratori IT e agli operatori che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e gestendo l'automazione per il controllo o l'applicazione. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli e attività comuni degli utenti GKE.

Informazioni sui bundle di Policy Controller

Puoi utilizzare Policy Controller per applicare singoli vincoli al tuo cluster o scrivere criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di controllare i cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutare ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse dei tuoi cluster.

Puoi applicare i bundle di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro sono conformi. Quando applichi un bundle di norme, il cluster viene sottoposto a un audit applicando vincoli con il tipo di applicazione dryrun. Il tipo di applicazione dryrun ti consente di visualizzare le violazioni senza bloccare i tuoi workload. È inoltre consigliabile utilizzare solo le azioni di applicazione warn o dryrun sui cluster con workload di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni come l'upgrade delle piattaforme. Per ulteriori informazioni sui provvedimenti, consulta Controllo con i vincoli.

Ad esempio, un tipo di pacchetto di policy è il pacchetto benchmark CIS Kubernetes, che può aiutarti a controllare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes per supportare una solida strategia di sicurezza.

Bundle di Policy Controller disponibili

La tabella seguente elenca i bundle di criteri disponibili. Seleziona il nome del pacchetto di policy per leggere la documentazione su come applicare il pacchetto, controllare le risorse e applicare le policy.

La colonna Alias bundle elenca il nome del bundle con un solo token. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.

La colonna Versione inclusa meno recente elenca la versione meno recente con cui il bundle è disponibile con Policy Controller. Se vuoi installare i pacchetti di criteri direttamente, segui le istruzioni per applicare più pacchetti di criteri. Se vuoi installare manualmente i bundle di criteri, ad esempio se devi modificarne uno, segui le istruzioni collegate per il bundle specifico nella tabella.

Nome e descrizione Alias bundle Prima versione inclusa Tipo Include vincoli referenziali
Benchmark CIS GKE: Verifica la conformità dei cluster al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). cis-gke-v1.5.0 1.18.0 Standard Kubernetes
Benchmark CIS Kubernetes: Verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. cis-k8s-v1.5.1 1.15.2 Standard Kubernetes
Benchmark CIS Kubernetes (anteprima): verifica la conformità dei tuoi cluster rispetto al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. cis-k8s-v1.7.1 non disponibile Standard Kubernetes
Costi e affidabilità: Il pacchetto Costi e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE economicamente vantaggiosi senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. cost-reliability-v2023 1.16.1 Best practice
MITRE (anteprima): Il pacchetto di norme MITRE consente di valutare la conformità delle risorse del cluster ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. mitre-v2024 non disponibile Standard di settore
Criteri di sicurezza dei pod: Applica protezioni basate sui criteri di sicurezza dei pod (PSP) di Kubernetes. psp-v2022 1.15.2 Standard Kubernetes No
Standard di sicurezza dei pod - Baseline: Applica protezioni basate sulla policy Baseline degli standard di sicurezza dei pod (PSS) di Kubernetes. pss-baseline-v2022 1.15.2 Standard Kubernetes No
Standard di sicurezza dei pod - Restricted: Applica protezioni basate sul criterio Restricted degli standard di sicurezza dei pod (PSS) di Kubernetes. pss-restricted-v2022 1.15.2 Standard Kubernetes No
Sicurezza di Cloud Service Mesh: Verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. asm-policy-v0.0.1 1.15.2 Best practice
Policy Essentials: Applica le best practice alle risorse del cluster. policy-essentials-v2022 1.14.1 Best practice No
NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53 del NIST, revisione 5. Il pacchetto può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando norme di sicurezza e privacy predefinite. nist-sp-800-53-r5 1.16.0 Standard di settore
NIST SP 800-190: Il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Application Container Security Guide. Il bundle è pensato per aiutare le organizzazioni con la sicurezza dei container delle applicazioni, inclusi sicurezza delle immagini, sicurezza di runtime dei container, sicurezza di rete e sicurezza del sistema host, per citarne alcuni.  nist-sp-800-190 1.16.0 Standard di settore
NSA CISA Kubernetes Hardening Guide v1.2: Applica le protezioni in base alla guida NSA CISA Kubernetes Hardening Guide v1.2. nsa-cisa-k8s-v1.2 1.16.0 Standard di settore
PCI-DSS v3.2.1 (ritirato): applica protezioni basate sullo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. pci-dss-v3.2.1 o pci-dss-v3.2.1-extended 1.15.2 Standard di settore
PCI-DSS v4.0: Applica protezioni basate su Payment Card Industry Data Security Standard (PCI-DSS) v4.0. pci-dss-v4.0 non disponibile Standard di settore

Passaggi successivi