Utiliser les contraintes liées aux règles du benchmark CIS de Google Kubernetes Engine v1.5.0

Policy Controller est fourni avec une bibliothèque par défaut de modèles de contraintes pouvant être utilisés avec le Bundle de règles GKE v1.5.0 du CIS (Center for Internet Security) pour vous aider à auditer la conformité de votre cluster GKE sur Google Cloud par rapport aux Benchmarks CIS de Google Kubernetes Engine (GKE) v1.5.0. Ce benchmark est un ensemble de contrôles de sécurité recommandés pour configurer GKE.

Cette page s'adresse aux administrateurs et opérateurs informatiques qui souhaitent s'assurer que toutes les ressources exécutées sur la plate-forme cloud répondent aux exigences de conformité organisationnelle en fournissant et en maintenant l'automatisation des audits ou des applications. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud, consultez la section Rôles utilisateur et tâches courantes de GKE Enterprise.

Ce bundle de contraintes inclut des contrôles dans les domaines suivants :

  • RBAC et comptes de service
  • Règles de sécurité relatives aux pods
  • Règles de réseau et CNI
  • Gestion des secrets
  • Contrôle d'admission extensible
  • Règles générales
  • Services gérés

Contraintes du bundle de règles CIS GKE v1.5.0

Nom de la contrainte Description de la contrainte ID de contrôle
cis-gke-v1.5.0-apparmor Limite le profil AppArmor pour les pods. 4.2.1
cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount Limitez la création de ressources à l'aide d'un ServiceAccount par défaut. 4.1.5
cis-gke-v1.5.0-restrict-loadbalancer Interdit tous les services de type LoadBalancer. 5.6.8
cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth Limite l'utilisation des secrets de type "basic-auth". 4.4.2
cis-gke-v1.5.0-require-binauthz Nécessite le webhook d'admission de validation d'autorisation binaire. 4.5.1, 5.10.4
cis-gke-v1.5.0-require-cos-node-image Nécessite Container-Optimized OS comme image de l'OS du nœud. 5.5.1
cis-gke-v1.5.0-require-gke-metadata-server-enabled Nécessite que le service de métadonnées GKE soit activé sur chaque nœud du cluster. 5.4.2
cis-gke-v1.5.0-require-ingress.class-gce Nécessite que tous les objets Ingress comportent une annotation kubernetes.io/ingress.class: gce. 5.6.8
cis-gke-v1.5.0-require-managed-certificates Nécessite que tous les objets Ingress comportent une annotation networking.gke.io/managed-certificates. 5.6.8
cis-gke-v1.5.0-require-namespace-networkpolicy Nécessite que chaque Namespace défini dans le cluster ait un NetworkPolicy. 4.3.2
cis-gke-v1.5.0-require-seccomp-default Les conteneurs ne peuvent pas être exécutés avec un profil seccomp autre que runtime/default. 4.6.2
cis-gke-v1.5.0-require-securitycontext Nécessite que les pods définissent securityContext. 4.6.3
cis-gke-v1.5.0-capabilities L'ajout de fonctionnalités autres que celles répertoriées n'est pas autorisé. 4.2.1
cis-gke-v1.5.0-restrict-cluster-admin-role Limite l'utilisation du rôle cluster-admin. 4.1.1
cis-gke-v1.5.0-restrict-default-namespace Empêche les pods d'utiliser la valeur Namespace par défaut. 4.6.1, 4.6.4
cis-gke-v1.5.0-restrict-env-var-secrets Limite l'utilisation des secrets en tant que variables d'environnement dans les définitions de conteneur. 4.4.1
cis-gke-v1.5.0-host-namespace Limite les conteneurs avec hostPID ou hostIPC défini sur "true". 4.2.1
cis-gke-v1.5.0-restrict-pods-create Limite la création de pods dans Roles et ClusterRoles. 4.1.4
cis-gke-v1.5.0-restrict-privileged-containers Limite les conteneurs dont le paramètre securityContext.privileged est défini sur "true". 4.2.1
cis-gke-v1.5.0-restrict-rbac-subjects Limite l'utilisation des noms dans les sujets RBAC aux valeurs autorisées. 5.8.2
cis-gke-v1.5.0-restrict-role-wildcards Limite l'utilisation des caractères génériques dans Roles et ClusterRoles. 4.1.3
cis-gke-v1.5.0-restrict-role-secrets Limite l'utilisation des secrets dans Roles et ClusterRoles. 4.1.2
cis-gke-v1.5.0-restrict-automountserviceaccounttoken Limite l'utilisation des jetons de compte de service pour les pods. 4.1.5, 4.1.6
cis-gke-v1.5.0-selinux Impossible de définir le type SELinux, ou de définir une option d'utilisateur ou de rôle personnalisée SELinux. 4.2.1
cis-gke-v1.5.0-host-port HostPorts ne doit pas être désactivé. 4.2.1
cis-gke-v1.5.0-hostpath-volumes Les volumes HostPath doivent être interdits. 4.2.1
cis-gke-v1.5.0-hostprocess Les conteneurs et les pods ne peuvent pas être exécutés avec le paramètre securityContext.windowsOptions.hostProcess défini sur true. 4.2.1
cis-gke-v1.5.0-proc-mount-type Les conteneurs ne peuvent pas être exécutés avec un paramètre procMount défini sur une valeur autre que Default. 4.2.1
cis-gke-v1.5.0-restrict-bind-escalate-impersonate Limite l'accès à la liaison, à l'élévation et à l'identité des rôles/rôles de cluster dans Roles et ClusterRoles. 4.1.8
cis-gke-v1.5.0-restrict-certificatesigningrequests-approval L'approbation des certificats client est limitée. 4.1.11
cis-gke-v1.5.0-restrict-nodes-proxy Limite l'accès à la sous-ressource de proxy des nœuds dans Roles et ClusterRoles. 4.1.10
cis-gke-v1.5.0-restrict-persistent-volume Limite la création de persistentvolumes dans Roles et ClusterRoles. 4.1.9
cis-gke-v1.5.0-restrict-serviceaccounts-token Restriction de la création de jetons de compte de service dans Roles et ClusterRoles. 4.1.13
cis-gke-v1.5.0-restrict-system-masters-group Interdit l'utilisation du groupe system:masters. 5.1.7
cis-gke-v1.5.0-restrict-system-masters-group Limite l'accès aux objets de configuration du webhook dans Roles et ClusterRoles. 4.1.12
cis-gke-v1.5.0-seccomp Le profil Seccomp ne doit pas être défini sur Unconfined. 4.2.1
cis-gke-v1.5.0-sysctls Les conteneurs ne peuvent définir que les paramètres sysctls répertoriés dans le champ allowedSysctls. 4.2.1
cis-gke-v1.5.0-host-namespaces-hostnetwork Les espaces de noms d'hôte hostNetwork ne peuvent être que false. 4.2.1

Avant de commencer

  1. Installez et initialisez Google Cloud CLI, qui fournit les commandes gcloud et kubectl utilisées dans ces instructions. Si vous utilisez Cloud Shell, Google Cloud CLI est préinstallé.
  2. Installez Policy Controller v1.16.2 ou version ultérieure sur votre cluster avec la bibliothèque par défaut de modèles de contraintes. Vous devez également activer la compatibilité avec les contraintes référentielles, car ce bundle contient des contraintes référentielles.

Configurer des contraintes référentielles

  1. Enregistrez le fichier manifeste YAML suivant dans un fichier sous le nom policycontroller-config.yaml. Le fichier manifeste configure Policy Controller pour surveiller des types d'objets spécifiques.

    apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: "admissionregistration.k8s.io"
        version: "v1"
        kind: "ValidatingWebhookConfiguration"
      - group: "networking.k8s.io"
        version: "v1"
        kind: "NetworkPolicy"

  2. Appliquez le fichier manifeste policycontroller-config.yaml :

    kubectl apply -f policycontroller-config.yaml

Configurer le cluster et la charge de travail

  1. L'activation et la configuration de Google Groupes pour RBAC sont requises dans cis-gke-v1.5.0-restrict-rbac-subjects.
  2. L'activation et la configuration de l'autorisation binaire sont requises dans cis-gke-v1.5.0-require-binauthz.

Règles d'audit

Policy Controller vous permet d'appliquer des règles à votre cluster Kubernetes. Pour tester vos charges de travail et leur conformité avec les règles du CIS GKE v1.5.0 décrites dans le tableau précédent, vous pouvez déployer ces contraintes en mode "audit" pour révéler et résoudre les cas de non-respect.

Vous pouvez appliquer ces règles en définissant le paramètre spec.enforcementAction sur dryrun à l'aide de kubectl, de kpt ou de Config Sync.

kubectl

  1. (Facultatif) Prévisualisez les contraintes de règle avec kubectl :

    kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

  2. Appliquez les contraintes de règle avec kubectl :

    kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

    Le résultat est le suivant :

    k8savoiduseofsystemmastersgroup.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-system-masters-group created
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount created
k8sblockloadbalancer.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-loadbalancer created
k8sblockobjectsoftype.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth created
k8snoenvvarsecrets.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-env-var-secrets created
k8spspapparmor.constraints.gatekeeper.sh/cis-gke-v1.5.0-apparmor created
k8spspcapabilities.constraints.gatekeeper.sh/cis-gke-v1.5.0-capabilities created
k8spspforbiddensysctls.constraints.gatekeeper.sh/cis-gke-v1.5.0-sysctls created
k8spsphostfilesystem.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostpath-volumes created
k8spsphostnamespace.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-namespace created
k8spsphostnetworkingports.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-port created
k8spspprivilegedcontainer.constraints.gatekeeper.sh/cis-gke-v1.5.0-privileged-containers created
k8spspprocmount.constraints.gatekeeper.sh/cis-gke-v1.5.0-proc-mount-type created
k8spspselinuxv2.constraints.gatekeeper.sh/cis-gke-v1.5.0-selinux created
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-seccomp-default created
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-seccomp created
k8spspwindowshostprocess.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostprocess created
k8spodsrequiresecuritycontext.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-securitycontext created
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-wildcards created
k8srequirebinauthz.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-binauthz created
k8srequirecosnodeimage.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-cos-node-image created
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-namespace-networkpolicy created
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-ingress.class-gce created
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-managed-certificates created
k8srequiredlabels.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-gke-metadata-server-enabled created
k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-automountserviceaccounttoken created
k8srestrictnamespaces.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-default-namespace created
k8srestrictrbacsubjects.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-rbac-subjects created
k8srestrictrolebindings.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-cluster-admin-role created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-bind-escalate-impersonate created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-certificatesigningrequests-approval created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-nodes-proxy created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-persistent-volume created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-pods-create created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-secrets created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-serviceaccounts-token created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-webhook-config created

  3. Vérifiez que les contraintes de règles ont été installées et si des cas de non-respect existent dans le cluster :

    kubectl get constraints -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

    Le résultat ressemble à ce qui suit :

    NAME                                                                                                     ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8savoiduseofsystemmastersgroup.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-system-masters-group   dryrun               0

NAME                                                                                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount   dryrun               0

NAME                                                                                  ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockloadbalancer.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-loadbalancer   dryrun               0

NAME                                                                                                 ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockobjectsoftype.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth   dryrun               0

NAME                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8snoenvvarsecrets.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-env-var-secrets   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spodsrequiresecuritycontext.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-securitycontext   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-wildcards   dryrun               0

NAME                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspapparmor.constraints.gatekeeper.sh/cis-gke-v1.5.0-apparmor   dryrun               0

NAME                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspcapabilities.constraints.gatekeeper.sh/cis-gke-v1.5.0-capabilities   dryrun               0

NAME                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspforbiddensysctls.constraints.gatekeeper.sh/cis-gke-v1.5.0-sysctls   dryrun               0

NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostfilesystem.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostpath-volumes   dryrun               0

NAME                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnamespace.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-namespace   dryrun               0

NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnetworkingports.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-port   dryrun               0

NAME                                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprivilegedcontainer.constraints.gatekeeper.sh/cis-gke-v1.5.0-privileged-containers   dryrun               0

NAME                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprocmount.constraints.gatekeeper.sh/cis-gke-v1.5.0-proc-mount-type   dryrun               0

NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-seccomp-default   dryrun               0
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-seccomp                   dryrun               0

NAME                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspselinuxv2.constraints.gatekeeper.sh/cis-gke-v1.5.0-selinux   dryrun               0

NAME                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspwindowshostprocess.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostprocess   dryrun               0

NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirebinauthz.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-binauthz   dryrun               0

NAME                                                                                     ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirecosnodeimage.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-cos-node-image   dryrun               0

NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-ingress.class-gce      dryrun               0
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-managed-certificates   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredlabels.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-gke-metadata-server-enabled   dryrun               0

NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-namespace-networkpolicy   dryrun               0

NAME                                                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-automountserviceaccounttoken   dryrun               0

NAME                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictnamespaces.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-default-namespace   dryrun               0

NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrbacsubjects.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-rbac-subjects   dryrun               0

NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrolebindings.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-cluster-admin-role   dryrun               0

NAME                                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-bind-escalate-impersonate             dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-certificatesigningrequests-approval   dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-nodes-proxy                           dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-persistent-volume                     dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-pods-create                           dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-secrets                          dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-serviceaccounts-token                 dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-webhook-config                        dryrun               0

kpt

  1. Installez et configurez kpt. kpt est utilisé dans ces instructions pour personnaliser et déployer les ressources Kubernetes.

  2. Téléchargez le groupe de règles CIS à partir de GitHub à l'aide de Kpt :

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

  3. Exécutez la fonction kpt set-enforcement-action pour définir l'action d'application des règles sur dryrun :

    kpt fn eval cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
  -- enforcementAction=dryrun

  4. Initialisez le répertoire de travail avec kpt, qui crée une ressource pour suivre les modifications :

    cd cis-gke-v1.5.0
kpt live init

  5. Appliquez les contraintes de règles avec kpt :

    kpt live apply

  6. Vérifiez que les contraintes de règles ont été installées et si des cas de non-respect existent dans le cluster :

    kpt live status --output table --poll-until current

    L'état CURRENT confirme l'installation correcte des contraintes.

Config Sync

  1. Installez et configurez kpt. kpt est utilisé dans ces instructions pour personnaliser et déployer les ressources Kubernetes.

Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :

  1. Accédez au répertoire de synchronisation pour Config Sync :

    cd SYNC_ROOT_DIR

    Pour créer ou ajouter .gitignore avec resourcegroup.yaml, procédez comme suit : 

    echo resourcegroup.yaml >> .gitignore

  2. Créez un répertoire policies dédié :

    mkdir -p policies

  3. Téléchargez le bundle de règles CIS GKE v1.5.0 à partir de GitHub à l'aide de Kpt :

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0 policies/cis-gke-v1.5.0

  4. Exécutez la fonction kpt set-enforcement-action pour définir l'action d'application des règles sur dryrun :

    kpt fn eval policies/cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun

  5. (Facultatif) Prévisualisez les contraintes de règles à créer :

    kpt live init policies/cis-gke-v1.5.0
kpt live apply --dry-run policies/cis-gke-v1.5.0

  6. Si votre répertoire de synchronisation pour Config Sync utilise Kustomize, ajoutez policies/cis-gke-v1.5.0 à votre fichier kustomization.yaml racine. Sinon, supprimez le fichier policies/cis-gke-v1.5.0/kustomization.yaml :

    rm SYNC_ROOT_DIR/policies/cis-gke-v1.5.0/kustomization.yaml

  7. Transférez les modifications au dépôt Config Sync :

    git add SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Adding CIS GKE v1.5.0 policy bundle'
git push

  8. Vérifiez l'état de l'installation :

    watch gcloud beta container fleet config-management status --project PROJECT_ID

    L'état SYNCED confirme l'installation des règles .

Consulter les notifications de non-respect des règles

Une fois les contraintes de règle installées en mode audit, les cas de non-respect du cluster peuvent être visualisés dans l'interface utilisateur à l'aide du tableau de bord Policy Controller.

Vous pouvez également utiliser kubectl pour afficher les cas de non-respect sur le cluster à l'aide de la commande suivante :

kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

En cas de non-respect des règles, vous pouvez consulter la liste des messages de non-respect par contrainte avec :

kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

Modifier l'action d'application du bundle de règles CIS GKE v1.5.0

Une fois que vous avez examiné les cas de non-respect des règles sur votre cluster, vous pouvez envisager de modifier le mode d'application afin que le contrôleur d'admission warn active ou deny bloque l'application des ressources non conformes sur le cluster.

kubectl

  1. Utilisez kubectl pour définir la mesure coercitive des règles sur warn :

    kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'

  2. Vérifiez que la mesure coercitive des contraintes de règle a été mise à jour :

    kubectl get constraints -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

kpt

  1. Exécutez la fonction kpt set-enforcement-action pour définir l'action d'application des règles sur warn :

    kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  2. Appliquez les contraintes de règles :

    kpt live apply

Config Sync

Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :

  1. Accédez au répertoire de synchronisation pour Config Sync :

    cd SYNC_ROOT_DIR

  2. Exécutez la fonction kpt set-enforcement-action pour définir l'action d'application des règles sur warn :

    kpt fn eval policies/cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  3. Transférez les modifications au dépôt Config Sync :

    git add SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Adding CIS GKE v1.5.0 policy bundle warn enforcement'
git push

  4. Vérifiez l'état de l'installation :

    gcloud alpha anthos config sync repo list --project PROJECT_ID

    Le dépôt qui s'affiche dans la colonne SYNCED confirme l'installation des règles.

Tester l'application des règles

Créez une ressource non conforme sur le cluster à l'aide de la commande suivante :

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        name: wordpress
EOF

Le contrôleur d'admission doit générer une erreur répertoriant les cas de violation des règles que cette ressource ne respecte pas, comme indiqué dans l'exemple suivant :

Warning: [cis-gke-v1.5.0-restrict-default-namespace] <default> namespace is restricted
Warning: [cis-gke-v1.5.0-require-seccomp-default] Seccomp profile 'not configured' is not allowed for container 'wordpress'. Found at: no explicit profile found. Allowed profiles: {"RuntimeDefault", "runtime/default"}
Warning: [cis-gke-v1.5.0-require-securitycontext] securityContext must be defined for all Pod containers
pod/wp-non-compliant configured

Supprimer le bundle de règles GKE v1.5.0 CIS

Si nécessaire, le bundle de règles CIS GKE v1.5.0 peut être supprimé du cluster.

kubectl

Utilisez kubectl pour supprimer les règles :

  kubectl delete constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

kpt

Supprimez les règles :

  kpt live destroy

Config Sync

Les opérateurs qui utilisent Config Sync pour déployer des règles sur leurs clusters peuvent suivre ces instructions :

  1. Transférez les modifications au dépôt Config Sync :

    git rm -r SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Removing CIS GKE v1.5.0 policy bundle'
git push

  2. Vérifiez l'état :

    gcloud alpha anthos config sync repo list --project PROJECT_ID

    Le dépôt qui s'affiche dans la colonne SYNCED confirme la suppression des règles.