Policy Controller には、アメリカ国立標準技術研究所(NIST)特別刊行物(SP)800-53 Rev. 5 に記載されているコントロールを実装する NIST SP 800-53 Rev. 5 バンドルで使用できる制約テンプレートのデフォルト ライブラリが付属しています。このバンドルは、すぐに使用できるセキュリティとプライバシー ポリシーを実装することで、組織がさまざまな脅威からシステムとデータを保護するために役立ちます。
このページでは、ポリシー バンドルを手動で適用する手順について説明します。また、ポリシー バンドルを直接適用することもできます。
このページは、監査または適用のために自動化を行い、維持することで、クラウド プラットフォーム内で実行されているすべてのリソースが組織のコンプライアンス要件を確実に満たすようにする IT 管理者と運用担当者を対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。
NIST SP 800-53 Rev. 5 ポリシー バンドルの制約
制約名 | 制約の説明 | コントロール ID |
---|---|---|
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | AC-16 セキュリティとプライバシーの属性 |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | AC-2 アカウント管理 |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | AC-3 アクセスの適用 |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | AC-4 情報フローの適用 |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | |
nist-sp-800-53-r5-require-namespace-network-policies | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | AC-6 最小権限 |
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings | cluster-admin ロールの使用を制限します。 | |
nist-sp-800-53-r5-restrict-repos | コンテナ イメージを許可された repos のリストに制限します。 | |
nist-sp-800-53-r5-restrict-role-wildcards | Roles と ClusterRoles でのワイルドカードの使用を制限します。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | AU-10 否認防止 |
nist-sp-800-53-r5-nodes-have-consistent-time | Container-Optimized OS(COS)または Ubuntu のみを OS イメージとして許可することで、ノード上での一貫性のある正確な時間を確保します。 | AU-8 タイムスタンプ |
nist-sp-800-53-r5-require-namespace-network-policies | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 | CA-9 内部システム接続 |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | CM-14 署名付きコンポーネント |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | CM-2 ベースライン構成 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-apparmor | Pod で使用できる AppArmor プロファイルを制限します。 | CM-3 構成変更管理 |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | |
nist-sp-800-53-r5-capabilities | Pod で使用できる追加機能を制限します。 | |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | |
nist-sp-800-53-r5-host-namespaces | hostPID または hostIPC が true に設定されているコンテナを制限します。 | |
nist-sp-800-53-r5-host-network | hostNetwork フラグを true に設定してコンテナの実行を制限します。 | |
nist-sp-800-53-r5-privileged-containers | securityContext.privilege が true に設定されているコンテナを制限します。 | |
nist-sp-800-53-r5-proc-mount-type | Pod 用のデフォルトの /proc マスクが必要です。 | |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-volume-types | マウント可能なボリューム タイプを許可リストに制限します。 | |
nist-sp-800-53-r5-seccomp | Seccomp プロファイルは、明示的に Unconfined に設定する必要はありません。 | |
nist-sp-800-53-r5-selinux | Pod の SELinux 構成を制限します。 | |
nist-sp-800-53-r5-sysctls | Pod に許可される Sysctls を制限します。 | |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | CM-4 セキュリティ インパクト分析 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings | cluster-admin ロールの使用を制限します。 | |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | 変更に関する CM-5 アクセスの制限 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings | cluster-admin ロールの使用を制限します。 | |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | CM-6 構成設定 |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-volume-types | マウント可能なボリューム タイプを許可リストに制限します。 | |
nist-sp-800-53-r5-apparmor | Pod で使用できる AppArmor プロファイルを制限します。 | CM-7 の最小限の機能 |
nist-sp-800-53-r5-capabilities | Pod で使用できる追加機能を制限します。 | |
nist-sp-800-53-r5-host-namespaces | hostPID または hostIPC が true に設定されているコンテナを制限します。 | |
nist-sp-800-53-r5-host-network | hostNetwork フラグを true に設定してコンテナの実行を制限します。 | |
nist-sp-800-53-r5-privileged-containers | securityContext.privilege が true に設定されているコンテナを制限します。 | |
nist-sp-800-53-r5-proc-mount-type | Pod 用のデフォルトの /proc マスクが必要です。 | |
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings | cluster-admin ロールの使用を制限します。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-volume-types | マウント可能なボリューム タイプを許可リストに制限します。 | |
nist-sp-800-53-r5-seccomp | Seccomp プロファイルは、明示的に Unconfined に設定する必要はありません。 | |
nist-sp-800-53-r5-selinux | Pod の SELinux 構成を制限します。 | |
nist-sp-800-53-r5-sysctls | Pod に許可される Sysctls を制限します。 | |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | CP-10 情報システムの復旧と再構築 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | CP-9 システム バックアップ |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | IA-2 識別と認証(組織ユーザー) |
nist-sp-800-53-r5-block-creation-with-default-serviceaccount | デフォルトのサービス アカウントを使用したリソースの作成を制限します。 | IA-4 ID 管理 |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | IA-5 認証システムの管理 |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | |
nist-sp-800-53-r5-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 | MA-4 非ローカル メンテナンス |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | PL-1 ポリシーと手順 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | RA-5 脆弱性スキャン |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | SA-10 デベロッパー構成管理 |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | SA-11 信頼されたパス |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | SA-3 システム開発ライフサイクル |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | SA-8 セキュリティとプライバシー エンジニアリングの原則 |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-volume-types | マウント可能なボリューム タイプを許可リストに制限します。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | SC-12 暗号鍵の確立と管理 |
nist-sp-800-53-r5-restrict-storageclass | StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。 | SC-28 保存時の情報の保護 |
nist-sp-800-53-r5-require-namespace-network-policies | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 | 共有リソース内の SC-4 情報 |
nist-sp-800-53-r5-cpu-and-memory-limits-required | Pod に CPU とメモリの上限を指定する必要があります。 | SC-6 リソースの可用性 |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | SC-7 境界保護 |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-require-namespace-network-policies | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-restrict-volume-types | マウント可能なボリューム タイプを許可リストに制限します。 | |
nist-sp-800-53-r5-asm-peer-authn-strict-mtls | PeerAuthentication が厳格な mTLS を上書きできないようにします。 | SC-8 伝送の機密性と完全性 |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | SI-12 情報の管理と保持 |
nist-sp-800-53-r5-restrict-storageclass | StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。 | |
nist-sp-800-53-r5-require-av-daemonset | Anti-Virus DaemonSet が必要です。 | SI-3 悪質なコードの阻止 |
nist-sp-800-53-r5-block-secrets-of-type-basic-auth | basic-auth タイプのシークレットの使用を制限します。 | SI-7 ソフトウェア、ファームウェア、情報の整合性 |
nist-sp-800-53-r5-enforce-config-management | Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | |
nist-sp-800-53-r5-require-managed-by-label | すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 | |
nist-sp-800-53-r5-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。 | |
nist-sp-800-53-r5-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 | SR-4 来歴 |
始める前に
- この手順で使用する
gcloud
コマンドとkubectl
コマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。 - 制約テンプレートのデフォルト ライブラリを使用して、クラスタに Policy Controller をインストールします。このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。
参照制約用に Policy Controller を構成する
次の YAML マニフェストを
policycontroller-config.yaml
という名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "apps" version: "v1" kind: "DaemonSet" - group: "networking.k8s.io" version: "v1" kind: "NetworkPolicy" - group: "configsync.gke.io" version: "v1beta1" kind: "RootSync" - group: "storage.k8s.io" version: "v1" kind: "StorageClass" - group: "admissionregistration.k8s.io" version: "v1" kind: "ValidatingWebhookConfiguration"
policycontroller-config.yaml
マニフェストを適用します。kubectl apply -f policycontroller-config.yaml
クラスタとワークロードを構成する
nist-sp-800-53-r5-enforce-config-management
には、Drift Prevention Admission Webhook を含む Config Sync の有効化と構成が必要です。- ウイルス対策ソリューションが必要です。デフォルトでは、
clamav
namespace
にclamav
という名前のdaemonset
が存在しますが、daemonset
の名前と Namespace は、実装に合わせてnist-sp-800-53-r5-require-av-daemonset
制約内でカスタマイズできます。 - コンテナ イメージは、許可されたリポジトリのリストに限定されています。これは、
nist-sp-800-53-r5-restrict-repos
内で必要に応じてカスタマイズできます。 - ノードでは
nist-sp-800-53-r5-nodes-have-consistent-time
のイメージに Container-Optimized OS または Ubuntu を使用する必要があります。 - ストレージ クラスの使用は許可リストに限定されますが、これをカスタマイズして、
nist-sp-800-53-r5-restrict-storageclass
のデフォルトの暗号化を使用する別のクラスを追加できます。 nist-sp-800-53-r5-require-binauthz
では、Binary Authorization の有効化と構成が必要です。
NIST SP 800-53 Rev. 5 ポリシー バンドルを監査する
Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある NIST SP 800-53 ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。
kubectl、kpt、または Config Sync を使用して spec.enforcementAction
を dryrun
に設定し、これらのポリシーを適用できます。
kubectl
(省略可)kubectl でポリシーの制約をプレビューします。
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5
kubectl でポリシーの制約を適用します。
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5
次のような出力が表示されます。
asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-53-r5-asm-peer-authn-strict-mtls created k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-repos created k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-creation-with-default-serviceaccount created k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-secrets-of-type-basic-auth created k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-53-r5-enforce-config-management created k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-53-r5-apparmor created k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-53-r5-capabilities created k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-53-r5-sysctls created k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-hostpath-volumes created k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-namespaces created k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-network created k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-53-r5-privileged-containers created k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-53-r5-proc-mount-type created k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-53-r5-selinux created k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-53-r5-seccomp created k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-volume-types created k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-role-wildcards created k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-binauthz created k8srequirecosnodeimage.constraints.gatekeeper.sh/nist-sp-800-53-r5-nodes-have-consistent-time created k8srequiredaemonsets.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-av-daemonset created k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-namespace-network-policies created k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-managed-by-label created k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-53-r5-cpu-and-memory-limits-required created k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-rbac-subjects created k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-clusteradmin-rolebindings created k8sstorageclass.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-storageclass created
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5
出力は次のようになります。
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-53-r5-apparmor dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-binauthz dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-rbac-subjects dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-53-r5-sysctls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-volume-types dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-network dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-namespaces dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredaemonsets.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-av-daemonset dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-role-wildcards dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-creation-with-default-serviceaccount dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-hostpath-volumes dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-53-r5-seccomp dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-53-r5-asm-peer-authn-strict-mtls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-53-r5-cpu-and-memory-limits-required dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-53-r5-proc-mount-type dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-secrets-of-type-basic-auth dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-namespace-network-policies dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-53-r5-capabilities dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sstorageclass.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-storageclass dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-managed-by-label dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-53-r5-privileged-containers dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-repos dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-53-r5-selinux dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-53-r5-enforce-config-management dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-clusteradmin-rolebindings dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirecosnodeimage.constraints.gatekeeper.sh/nist-sp-800-53-r5-nodes-have-consistent-time dryrun 0
kpt
kpt をインストールして設定します。
以下の手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
kpt を使用して GitHub から NIST SP 800-53 Rev. 5 ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5
set-enforcement-action
kpt 関数を実行して、ポリシーの適用アクションをdryrun
に設定します。kpt fn eval nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。
cd nist-sp-800-53-r5 kpt live init
kpt を使用してポリシーの制約を適用します。
kpt live apply
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kpt live status --output table --poll-until current
ステータスが
CURRENT
の場合、制約が正常にインストールされています。
Config Sync
kpt をインストールして設定します。
以下の手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
resourcegroup.yaml
を使用して.gitignore
を作成または追加するには:echo resourcegroup.yaml >> .gitignore
専用の
policies
ディレクトリを作成します。mkdir -p policies
kpt を使用して GitHub から NIST SP 800-53 Rev. 5 ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5 policies/nist-sp-800-53-r5
set-enforcement-action
kpt 関数を実行して、ポリシーの適用アクションをdryrun
に設定します。kpt fn eval policies/nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(省略可)作成されるポリシー制約をプレビューします。
kpt live init policies/nist-sp-800-53-r5 kpt live apply --dry-run policies/nist-sp-800-53-r5
Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート
kustomization.yaml
にpolicies/nist-sp-800-53-r5
を追加します。それ以外の場合は、policies/nist-sp-800-53-r5/kustomization.yaml
ファイルを削除します。rm SYNC_ROOT_DIR/policies/nist-sp-800-53-r5/kustomization.yaml
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/nist-sp-800-53-r5 git commit -m 'Adding NIST SP 800-53 Rev. 5 policy audit enforcement' git push
インストールのステータスを確認します。
watch gcloud beta container fleet config-management status --project PROJECT_ID
ステータスが
SYNCED
の場合、ポリシーがインストールされています。
ポリシー違反を確認する
ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。
また、次のコマンドを実行すると、
kubectl
を使用してクラスタに対する違反を表示できます。kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。
kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
NIST SP 800-53 Rev. 5 ポリシー バンドル適用アクションを変更する
クラスタのポリシー違反を確認したら、アドミッション コントローラが warn
または deny
のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。
kubectl
kubectl を使用して、ポリシーの適用アクションを
warn
に設定します。kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'
ポリシー制約の適用アクションが更新されていることを確認します。
kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5
kpt
set-enforcement-action
kpt 関数を実行して、ポリシーの適用アクションをwarn
に設定します。kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
ポリシー制約を適用します。
kpt live apply
Config Sync
Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
set-enforcement-action
kpt 関数を実行して、ポリシーの適用アクションをwarn
に設定します。kpt fn eval policies/nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/nist-sp-800-53-r5 git commit -m 'Adding NIST SP 800-53 Rev. 5 policy warn enforcement' git push
インストールのステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED
列に表示されたリポジトリには、ポリシーがインストールされています。
ポリシーの適用をテストする
次のコマンドを使用して、クラスタに非遵守リソースを作成します。
cat <<EOF | kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: wp-non-compliant spec: containers: ‐ image: wordpress name: wordpress EOF
次の例のように、アドミッション コントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。
Warning: [nist-sp-800-53-r5-cpu-and-memory-limits-required] container <wordpress> does not have <{"cpu", "memory"}> limits defined Warning: [nist-sp-800-53-r5-restrict-repos] container <wordpress> has an invalid image repo <wordpress>, allowed repos are ["gcr.io/gke-release/", "gcr.io/anthos-baremetal-release/", "gcr.io/config-management-release/", "gcr.io/kubebuilder/", "gcr.io/gkeconnect/", "gke.gcr.io/"] pod/wp-non-compliant created
NIST SP 800-53 Rev. 5 ポリシー バンドルを削除する
必要に応じて、NIST SP 800-53 Rev. 5 ポリシー バンドルをクラスタから削除できます。
kubectl
kubectl を使用してポリシーを削除します。
kubectl delete constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5
kpt
ポリシーを削除します。
kpt live destroy
Config Sync
Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。
変更を Config Sync リポジトリに push します。
git rm -r SYNC_ROOT_DIR/policies/nist-sp-800-53-r5 git commit -m 'Removing NIST SP 800-53 Rev. 5 policies' git push
ステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED
列に表示されたリポジトリで、ポリシーが削除されていることを確認します。