En esta página, se explica cómo usar los paneles del Controlador de políticas para ver la cobertura de tus políticas y los incumplimientos del clúster.
Esta página está destinada a los administradores de TI y operadores que desean asegurarse de que todos los recursos que se ejecutan dentro de la plataforma en la nube cumplan con los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar el cumplimiento, y configurar alertas y supervisar los sistemas de TI para detectar el rendimiento y las vulnerabilidades. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Tareas y roles comunes de los usuarios de GKE.
Usa la consola de Google Cloud para ver un panel que contiene información sobre la cobertura de tus políticas. En el panel, se muestra información como la siguiente:
- Es la cantidad de clústeres en una flota (incluidos los clústeres no registrados) que tienen instalado Policy Controller.
- Es la cantidad de clústeres con el Controlador de políticas instalado que contienen incumplimientos de políticas.
- Es la cantidad de restricciones que se aplican a tus clústeres por cada acción de aplicación.
Si usas paquetes de Policy Controller, puedes ver un resumen de tu cumplimiento en función de los estándares de uno o más paquetes. Este resumen se agrega a nivel de la flota y también incluye los clústeres no registrados (Vista previa).
Antes de comenzar
Asegúrate de que tus clústeres estén registrados en una flota y de que tengan instalado el Controlador de políticas.
Para obtener los permisos que necesitas para usar el panel de Policy Controller, pídele a tu administrador que te otorgue los siguientes roles de IAM:
- Visualizador de GKE Hub (
roles/gkehub.viewer) en el proyecto que contiene tu flota - Visualizador de Monitoring (
roles/monitoring.viewer) en cada proyecto con un clúster en tu flota
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
- Visualizador de GKE Hub (
Cómo ver el estado de Policy Controller
Puedes ver información sobre la cobertura de tus políticas en la consola de Google Cloud .
-
En la Google Cloud consola, ve a la página Política de GKE Enterprise en la sección Administración de postura.
En la pestaña Panel, consulta un resumen de la cobertura de tu Policy Controller con la siguiente información:
- En Cobertura de Policy Controller, se muestra la cantidad de clústeres con y sin Policy Controller instalado.
- En Clústeres con incumplimientos, se muestra la cantidad de clústeres sin incumplimientos y la cantidad de clústeres con incumplimientos. Los incumplimientos se basan en las restricciones que se aplican al clúster.
- La acción de aplicación de la política muestra el tipo de acción especificado en cada restricción. Para obtener más información sobre las acciones de aplicación, consulta Audita mediante restricciones.
- Cumplimiento por estándares: Es un resumen de tu cumplimiento según los estándares de uno o más paquetes de Policy Controller. Si no usas ningún paquete, el estado en esta sección se mostrará como "100% no aplicado".
Para ver información más detallada sobre los incumplimientos de políticas en tu clúster, ve a la pestaña Incumplimientos:
En la sección Ver por, selecciona una de las siguientes opciones:
- Constraint: Consulta una lista plana de todas las restricciones con incumplimientos en tu clúster.
- Espacio de nombres: Consulta las restricciones con incumplimientos, organizadas por el espacio de nombres que contiene el recurso con un incumplimiento.
- Tipo de recurso: Consulta las restricciones con incumplimientos, organizadas por el recurso con un incumplimiento.
En cualquier vista, selecciona el nombre de la restricción que deseas ver.
En la pestaña Detalles, se muestra información sobre el incumplimiento, incluida la acción recomendada para resolverlo.
En la pestaña Recursos afectados, se muestra información sobre los recursos que evalúa la restricción y que tienen incumplimientos de política.
Visualiza los resultados de las políticas en Security Command Center
Después de instalar Policy Controller, puedes ver los incumplimientos de políticas en Security Command Center. Esto te permite ver tu postura de seguridad para tus recursos de Google Cloud y tus recursos de Kubernetes en el mismo lugar. Debes tener activado Security Command Center en tu organización en el nivel Estándar o Premium.
En Security Command Center, los incumplimientos de políticas se muestran como hallazgos de Misconfiguration. La categoría y los próximos pasos para cada hallazgo son los mismos que la descripción de la restricción y los pasos de corrección.
Para obtener más información sobre el uso de Policy Controller en Security Command Center, consulta Resultados de vulnerabilidades de Policy Controller.