Usar os painéis do Policy Controller

Nesta página, explicamos como usar os painéis do Controlador de Políticas para visualizar a cobertura de políticas e as violações de cluster.

Esta página é destinada a administradores e operadores de TI que querem garantir que todos os recursos executados na plataforma de nuvem atendam a requisitos de conformidade organizacional, fornecendo e mantendo automação para auditar ou aplicar. Eles também configuram alertas e monitoram sistemas de TI para desempenho e vulnerabilidades. Para saber mais sobre papéis comuns e tarefas de exemplo referenciados no conteúdo do Google Cloud, consulte Tarefas e papéis de usuário comuns do GKE Enterprise.

Use o console do Google Cloud para ver um painel que contém informações sobre a cobertura da política. O painel mostra informações como as seguintes:

  • O número de clusters em uma frota (incluindo clusters não registrados) que têm o Policy Controller instalado.
  • O número de clusters com o Controlador de políticas instalado que contêm violações de política.
  • O número de restrições aplicadas aos clusters por ação de fiscalização.

Se você estiver usando pacotes do Controlador de Políticas, terá uma visão geral da conformidade com base nos padrões de um ou mais pacotes. Essa visão geral é agregada no nível da frota e também inclui os clusters não registrados (Visualização).

Antes de começar

  1. Verifique se os clusters estão registrados em uma frota e se eles têm o Policy Controller instalado.

  2. Para receber as permissões necessárias para usar o painel do Policy Controller, peça ao administrador para conceder a você os seguintes papéis do IAM:

    • Leitor do GKE Hub (roles/gkehub.viewer) no projeto que contém sua frota
    • Leitor do Monitoring (roles/monitoring.viewer) em cada projeto com um cluster na frota

    Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Acessar o status do Controlador de políticas

Confira informações sobre a cobertura da política no console do Google Cloud.

  1. No console do Google Cloud, acesse a página Política do GKE Enterprise na seção Gerenciamento de postura.

    Acessar a política

    Na guia Painel, confira uma visão geral da cobertura do Policy Controller com as seguintes informações:

    • A cobertura do Controlador de políticas mostra o número de clusters com e sem o Controlador de políticas instalado.
    • O painel Clusters em violação mostra o número de clusters sem violações e o número de clusters com violações. As violações são baseadas em quais restrições são aplicadas ao cluster.
    • A ação Cumprimento mostra o tipo de ação especificado em cada restrição. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
    • Conformidade por padrões, uma visão geral da conformidade com base nos padrões em um ou mais pacotes do Controlador de políticas. Se você não estiver usando nenhum pacote, o status nesta seção será exibido como "100% não aplicado".

  2. Para informações mais detalhadas sobre violações de políticas no cluster, acesse a guia Violações:

    1. Na seção Visualizar por, selecione uma das seguintes opções:

      • Restrição: veja uma lista simples de todas as restrições com violações no cluster.
      • Namespace: ver as restrições com violações organizadas pelo namespace que contém o recurso com uma violação.
      • Tipo de recurso: veja as restrições com violações, organizadas pelo recurso com uma violação.

    2. Em qualquer visualização, selecione o nome da restrição que você quer visualizar.

      A guia Detalhes mostra informações sobre a violação, incluindo a ação recomendada para resolvê-la.

      A guia Recursos afetados mostra informações sobre quais recursos estão sendo avaliados pela restrição e têm violações da política.

Veja as descobertas da política no Security Command Center

Depois que o Policy Controller for instalado, você poderá conferir as violações da política no Security Command Center. Isso permite que você veja sua postura de segurança para os recursos do Google Cloud e do Kubernetes no mesmo lugar. O Security Command Center precisa estar ativado na sua organização no nível Standard ou Premium.

No Security Command Center, as violações da política são mostradas como descobertas de Misconfiguration. A categoria e as próximas etapas de cada descoberta são as mesmas que a descrição da restrição e as etapas de correção.

Para mais informações sobre o uso do Policy Controller no Security Command Center, consulte Descobertas de vulnerabilidade do Policy Controller.