NIST SP 800-53 Rev. 5 ポリシーの制約を使用する

Policy Controller には、アメリカ国立標準技術研究所（NIST）特別刊行物（SP）800-53 Rev. 5 に記載されているコントロールを実装する NIST SP 800-53 Rev. 5 バンドルで使用できる制約テンプレートのデフォルトライブラリが付属しています。このバンドルは、すぐに使用できるセキュリティとプライバシーポリシーを実装することで、組織がさまざまな脅威からシステムとデータを保護するのに役立ちます。

NIST SP 800-53 Rev. 5 ポリシーバンドルの制約

制約名	制約の説明	コントロール ID
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	AC-16 セキュリティとプライバシーの属性
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。	AC-16 セキュリティとプライバシーの属性
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	AC-2 アカウント管理
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	AC-3 アクセスの適用
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	AC-4 情報フローの適用
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。
nist-sp-800-53-r5-require-namespace-network-policies	クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	AC-6 最小権限
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings	cluster-admin ロールの使用を制限します。
nist-sp-800-53-r5-restrict-repos	コンテナイメージを許可された repos のリストに制限します。
nist-sp-800-53-r5-restrict-role-wildcards	Roles と ClusterRoles でのワイルドカードの使用を制限します。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	AU-10 否認防止
nist-sp-800-53-r5-nodes-have-consistent-time	Container-Optimized OS（COS）または Ubuntu のみを OS イメージとして許可することで、ノード上での一貫性のある正確な時間を確保します。	AU-8 タイムスタンプ
nist-sp-800-53-r5-require-namespace-network-policies	クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。	CA-9 内部システム接続
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	CM-14 署名付きコンポーネント
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	CM-2 ベースライン構成
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。	CM-2 ベースライン構成
nist-sp-800-53-r5-apparmor	Pod で使用できる AppArmor プロファイルを制限します。	CM-3 構成変更管理
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。
nist-sp-800-53-r5-capabilities	Pod で使用できる追加機能を制限します。
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。
nist-sp-800-53-r5-host-namespaces	hostPID または hostIPC が true に設定されているコンテナを制限します。
nist-sp-800-53-r5-host-network	hostNetwork フラグを true に設定してコンテナの実行を制限します。
nist-sp-800-53-r5-privileged-containers	securityContext.privilege が true に設定されているコンテナを制限します。
nist-sp-800-53-r5-proc-mount-type	Pod 用のデフォルトの /proc マスクが必要です。
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-restrict-volume-types	マウント可能なボリュームタイプを許可リストに制限します。
nist-sp-800-53-r5-seccomp	Seccomp プロファイルは、明示的に Unconfined に設定する必要はありません。
nist-sp-800-53-r5-selinux	Pod の SELinux 構成を制限します。
nist-sp-800-53-r5-sysctls	Pod に許可される Sysctls を制限します。
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	CM-4 セキュリティインパクト分析
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings	cluster-admin ロールの使用を制限します。
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	変更に関する CM-5 アクセスの制限
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings	cluster-admin ロールの使用を制限します。
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	CM-6 構成設定
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-restrict-volume-types	マウント可能なボリュームタイプを許可リストに制限します。
nist-sp-800-53-r5-apparmor	Pod で使用できる AppArmor プロファイルを制限します。	CM-7 の最小限の機能
nist-sp-800-53-r5-capabilities	Pod で使用できる追加機能を制限します。
nist-sp-800-53-r5-host-namespaces	hostPID または hostIPC が true に設定されているコンテナを制限します。
nist-sp-800-53-r5-host-network	hostNetwork フラグを true に設定してコンテナの実行を制限します。
nist-sp-800-53-r5-privileged-containers	securityContext.privilege が true に設定されているコンテナを制限します。
nist-sp-800-53-r5-proc-mount-type	Pod 用のデフォルトの /proc マスクが必要です。
nist-sp-800-53-r5-restrict-clusteradmin-rolebindings	cluster-admin ロールの使用を制限します。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-restrict-volume-types	マウント可能なボリュームタイプを許可リストに制限します。
nist-sp-800-53-r5-seccomp	Seccomp プロファイルは、明示的に Unconfined に設定する必要はありません。
nist-sp-800-53-r5-selinux	Pod の SELinux 構成を制限します。
nist-sp-800-53-r5-sysctls	Pod に許可される Sysctls を制限します。
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	CP-10 情報システムの復旧と再構築
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。	CP-10 情報システムの復旧と再構築
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	CP-9 システムバックアップ
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。	CP-9 システムバックアップ
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	IA-2 識別と認証（組織ユーザー）
nist-sp-800-53-r5-block-creation-with-default-serviceaccount	デフォルトのサービスアカウントを使用したリソースの作成を制限します。	IA-4 ID 管理
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	IA-4 ID 管理
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	IA-5 認証システムの管理
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	IA-5 認証システムの管理
nist-sp-800-53-r5-restrict-rbac-subjects	RBAC サブジェクト内の名前の使用を、許可された値に制限します。	MA-4 非ローカルメンテナンス
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	PL-1 ポリシーと手順
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。	PL-1 ポリシーと手順
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	RA-5 脆弱性スキャン
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。	SA-10 デベロッパー構成管理
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。	SA-10 デベロッパー構成管理
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	SA-11 信頼されたパス
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	SA-3 システム開発ライフサイクル
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	SA-8 セキュリティとプライバシーエンジニアリングの原則
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-restrict-volume-types	マウント可能なボリュームタイプを許可リストに制限します。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	SC-12 暗号鍵の確立と管理
nist-sp-800-53-r5-restrict-storageclass	StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。	SC-28 保存時の情報の保護
nist-sp-800-53-r5-require-namespace-network-policies	クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。	共有リソース内の SC-4 情報
nist-sp-800-53-r5-cpu-and-memory-limits-required	Pod に CPU とメモリの上限を指定する必要があります。	SC-6 リソースの可用性
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	SC-7 境界保護
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-require-namespace-network-policies	クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-restrict-volume-types	マウント可能なボリュームタイプを許可リストに制限します。
nist-sp-800-53-r5-asm-peer-authn-strict-mtls	PeerAuthentication が厳格な mTLS を上書きできないようにします。	SC-8 伝送の機密性と完全性
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	SI-12 情報の管理と保持
nist-sp-800-53-r5-restrict-storageclass	StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。	SI-12 情報の管理と保持
nist-sp-800-53-r5-require-av-daemonset	Anti-Virus DaemonSet が必要です。	SI-3 悪質なコードの阻止
nist-sp-800-53-r5-block-secrets-of-type-basic-auth	basic-auth タイプのシークレットの使用を制限します。	SI-7 ソフトウェア、ファームウェア、情報の整合性
nist-sp-800-53-r5-enforce-config-management	Config Sync が実行され、クラスタ上の少なくとも 1 つの RootSync オブジェクトでドリフト防止が有効になっている必要があります。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。
nist-sp-800-53-r5-require-managed-by-label	すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。
nist-sp-800-53-r5-restrict-hostpath-volumes	HostPath ボリュームの使用を制限します。
nist-sp-800-53-r5-require-binauthz	Binary Authorization Validating Admission Webhook が必要です。	SR-4 来歴

始める前に

この手順で使用する gcloud コマンドと kubectl コマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。
制約テンプレートのデフォルトライブラリを使用して、クラスタに Policy Controller をインストールします。このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。

参照制約用に Policy Controller を構成する

次の YAML マニフェストを policycontroller-config.yaml という名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。

apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: "apps"
        version: "v1"
        kind: "DaemonSet"
      - group: "networking.k8s.io"
        version: "v1"
        kind: "NetworkPolicy"
      - group: "configsync.gke.io"
        version: "v1beta1"
        kind: "RootSync"
      - group: "storage.k8s.io"
        version: "v1"
        kind: "StorageClass"
      - group: "admissionregistration.k8s.io"
        version: "v1"
        kind: "ValidatingWebhookConfiguration"

policycontroller-config.yaml マニフェストを適用します。
```
kubectl apply -f policycontroller-config.yaml
```

クラスタとワークロードを構成する

nist-sp-800-53-r5-enforce-config-management には、Drift Prevention Admission Webhook を含む Config Sync の有効化と構成が必要です。
ウイルス対策ソリューションが必要です。デフォルトでは、clamav namespace に clamav という名前の daemonset が存在しますが、daemonset の名前と Namespace は、実装に合わせて nist-sp-800-53-r5-require-av-daemonset 制約内でカスタマイズできます。
コンテナイメージは、許可されたリポジトリのリストに限定されています。これは、nist-sp-800-53-r5-restrict-repos 内で必要に応じてカスタマイズできます。
ノードでは nist-sp-800-53-r5-nodes-have-consistent-time のイメージに Container-Optimized OS または Ubuntu を使用する必要があります。
ストレージクラスの使用は許可リストに限定されますが、これをカスタマイズして、nist-sp-800-53-r5-restrict-storageclass のデフォルトの暗号化を使用する別のクラスを追加できます。
nist-sp-800-53-r5-require-binauthz では、Binary Authorization の有効化と構成が必要です。

注: Binary Authorization は、Google Kubernetes Engine（GKE）および GDC 上の GKE で利用できます。

NIST SP 800-53 Rev. 5 ポリシーバンドルを監査する

Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある NIST SP 800-53 ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。

kubectl、kpt、または Config Sync を使用して spec.enforcementAction を dryrun に設定し、これらのポリシーを適用できます。

kubectl

（省略可）kubectl でポリシーの制約をプレビューします。

kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5

kubectl でポリシーの制約を適用します。

kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5

次のような出力が表示されます。

asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-53-r5-asm-peer-authn-strict-mtls created
k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-repos created
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-creation-with-default-serviceaccount created
k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-secrets-of-type-basic-auth created
k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-53-r5-enforce-config-management created
k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-53-r5-apparmor created
k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-53-r5-capabilities created
k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-53-r5-sysctls created
k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-hostpath-volumes created
k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-namespaces created
k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-network created
k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-53-r5-privileged-containers created
k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-53-r5-proc-mount-type created
k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-53-r5-selinux created
k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-53-r5-seccomp created
k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-volume-types created
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-role-wildcards created
k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-binauthz created
k8srequirecosnodeimage.constraints.gatekeeper.sh/nist-sp-800-53-r5-nodes-have-consistent-time created
k8srequiredaemonsets.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-av-daemonset created
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-namespace-network-policies created
k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-managed-by-label created
k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-53-r5-cpu-and-memory-limits-required created
k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-rbac-subjects created
k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-clusteradmin-rolebindings created
k8sstorageclass.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-storageclass created

ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。

kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5

出力は次のようになります。

NAME                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspapparmor.constraints.gatekeeper.sh/nist-sp-800-53-r5-apparmor   dryrun               0

NAME                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirebinauthz.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-binauthz   dryrun               0

NAME                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrbacsubjects.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-rbac-subjects   dryrun               0

NAME                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspforbiddensysctls.constraints.gatekeeper.sh/nist-sp-800-53-r5-sysctls   dryrun               0

NAME                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspvolumetypes.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-volume-types   dryrun               0

NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnetworkingports.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-network   dryrun               0

NAME                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnamespace.constraints.gatekeeper.sh/nist-sp-800-53-r5-host-namespaces   dryrun               0

NAME                                                                              ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredaemonsets.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-av-daemonset   dryrun               0

NAME                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-role-wildcards   dryrun               0

NAME                                                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-creation-with-default-serviceaccount   dryrun               0

NAME                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostfilesystem.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-hostpath-volumes   dryrun               0

NAME                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspseccomp.constraints.gatekeeper.sh/nist-sp-800-53-r5-seccomp   dryrun               0

NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
asmpeerauthnstrictmtls.constraints.gatekeeper.sh/nist-sp-800-53-r5-asm-peer-authn-strict-mtls   dryrun               0

NAME                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredresources.constraints.gatekeeper.sh/nist-sp-800-53-r5-cpu-and-memory-limits-required   dryrun               0

NAME                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprocmount.constraints.gatekeeper.sh/nist-sp-800-53-r5-proc-mount-type   dryrun               0

NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockobjectsoftype.constraints.gatekeeper.sh/nist-sp-800-53-r5-block-secrets-of-type-basic-auth   dryrun               0

NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-namespace-network-policies   dryrun               0

NAME                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspcapabilities.constraints.gatekeeper.sh/nist-sp-800-53-r5-capabilities   dryrun               0

NAME                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sstorageclass.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-storageclass   dryrun               0

NAME                                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredlabels.constraints.gatekeeper.sh/nist-sp-800-53-r5-require-managed-by-label   dryrun               0

NAME                                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprivilegedcontainer.constraints.gatekeeper.sh/nist-sp-800-53-r5-privileged-containers   dryrun               0

NAME                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sallowedrepos.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-repos   dryrun               0

NAME                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspselinuxv2.constraints.gatekeeper.sh/nist-sp-800-53-r5-selinux   dryrun               0

NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8senforceconfigmanagement.constraints.gatekeeper.sh/nist-sp-800-53-r5-enforce-config-management   dryrun               0

NAME                                                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrolebindings.constraints.gatekeeper.sh/nist-sp-800-53-r5-restrict-clusteradmin-rolebindings   dryrun               0

NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirecosnodeimage.constraints.gatekeeper.sh/nist-sp-800-53-r5-nodes-have-consistent-time   dryrun               0

kpt

kpt をインストールして設定します。

以下の手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
kpt を使用して GitHub から NIST SP 800-53 Rev. 5 ポリシーバンドルをダウンロードします。
```
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5
```
set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを dryrun に設定します。
```
kpt fn eval nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
-- enforcementAction=dryrun
```
kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。
```
cd nist-sp-800-53-r5 kpt live init
```
kpt を使用してポリシーの制約を適用します。
```
kpt live apply
```
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
```
kpt live status --output table --poll-until current
```
ステータスが CURRENT の場合、制約が正常にインストールされています。

Config Sync

kpt をインストールして設定します。

以下の手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。
Config Sync の同期ディレクトリに移動します。
```
cd SYNC_ROOT_DIR
```
注: kpt v1.0.0-beta.17 以降では、resourcegroup.yaml の間に live init ファイルが自動的に作成されますが、このファイルは Config Sync リポジトリにチェックインしないでください。まだ存在しない場合は、リポジトリの .gitignore ファイルに resourcegroup.yaml を追加します。
resourcegroup.yaml を使用して .gitignore を作成または追加するには:
```
echo resourcegroup.yaml >> .gitignore
```
専用の policies ディレクトリを作成します。
```
mkdir -p policies
```

kpt を使用して GitHub から NIST SP 800-53 Rev. 5 ポリシーバンドルをダウンロードします。

kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/nist-sp-800-53-r5 policies/nist-sp-800-53-r5

set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを dryrun に設定します。
```
kpt fn eval policies/nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
```

（省略可）作成されるポリシー制約をプレビューします。

kpt live init policies/nist-sp-800-53-r5 kpt live apply --dry-run policies/nist-sp-800-53-r5

Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート kustomization.yaml に policies/nist-sp-800-53-r5 を追加します。それ以外の場合は、policies/nist-sp-800-53-r5/kustomization.yaml ファイルを削除します。
```
rm SYNC_ROOT_DIR/policies/nist-sp-800-53-r5/kustomization.yaml
```

変更を Config Sync リポジトリに push します。

git add SYNC_ROOT_DIR/policies/nist-sp-800-53-r5 git commit -m 'Adding NIST SP 800-53 Rev. 5 policy audit enforcement'
git push

インストールのステータスを確認します。
```
watch gcloud beta container fleet config-management status --project PROJECT_ID
```
ステータスが SYNCED の場合、ポリシーがインストールされています。

ポリシー違反を確認する

ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。

また、次のコマンドを実行すると、kubectl を使用してクラスタに対する違反を表示できます。

kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。

kubectl get constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

NIST SP 800-53 Rev. 5 ポリシーバンドル適用アクションを変更する

クラスタのポリシー違反を確認したら、アドミッションコントローラが warn または deny のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。

kubectl

kubectl を使用して、ポリシーの適用アクションを warn に設定します。

kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'

ポリシー制約の適用アクションが更新されていることを確認します。
```
kubectl get constraints -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5
```

kpt

set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを warn に設定します。
```
kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
```
ポリシー制約を適用します。
```
kpt live apply
```

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

Config Sync の同期ディレクトリに移動します。
```
cd SYNC_ROOT_DIR
```
set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを warn に設定します。
```
kpt fn eval policies/nist-sp-800-53-r5 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
```

変更を Config Sync リポジトリに push します。

git add SYNC_ROOT_DIR/policies/nist-sp-800-53-r5
git commit -m 'Adding NIST SP 800-53 Rev. 5 policy warn enforcement'
git push

インストールのステータスを確認します。
```
gcloud alpha anthos config sync repo list --project PROJECT_ID
```
SYNCED 列に表示されたリポジトリには、ポリシーがインストールされています。

ポリシーの適用をテストする

次のコマンドを使用して、クラスタに非遵守リソースを作成します。

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  name: wp-non-compliant
spec:
  containers:
    ‐ image: wordpress
      name: wordpress
EOF

次の例のように、アドミッションコントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。

Warning: [nist-sp-800-53-r5-cpu-and-memory-limits-required] container <wordpress> does not have <{"cpu", "memory"}> limits defined
Warning: [nist-sp-800-53-r5-restrict-repos] container <wordpress> has an invalid image repo <wordpress>, allowed repos are ["gcr.io/gke-release/", "gcr.io/anthos-baremetal-release/", "gcr.io/config-management-release/", "gcr.io/kubebuilder/", "gcr.io/gkeconnect/", "gke.gcr.io/"]
pod/wp-non-compliant created

NIST SP 800-53 Rev. 5 ポリシーバンドルを削除する

必要に応じて、NIST SP 800-53 Rev. 5 ポリシーバンドルをクラスタから削除できます。

kubectl

kubectl を使用してポリシーを削除します。

kubectl delete constraint -l policycontroller.gke.io/bundleName=nist-sp-800-53-r5

kpt

ポリシーを削除します。
```
kpt live destroy
```

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

変更を Config Sync リポジトリに push します。

git rm -r SYNC_ROOT_DIR/policies/nist-sp-800-53-r5
git commit -m 'Removing NIST SP 800-53 Rev. 5 policies'
git push

ステータスを確認します。
```
gcloud alpha anthos config sync repo list --project PROJECT_ID
```
SYNCED 列に表示されたリポジトリで、ポリシーが削除されていることを確認します。

NIST SP 800-53 Rev. 5 ポリシーの制約を使用する

NIST SP 800-53 Rev. 5 ポリシー バンドルの制約

始める前に

参照制約用に Policy Controller を構成する

クラスタとワークロードを構成する

NIST SP 800-53 Rev. 5 ポリシー バンドルを監査する

kubectl

kpt

Config Sync

ポリシー違反を確認する

NIST SP 800-53 Rev. 5 ポリシー バンドル適用アクションを変更する

kubectl

kpt

Config Sync

ポリシーの適用をテストする

NIST SP 800-53 Rev. 5 ポリシー バンドルを削除する

kubectl

kpt

Config Sync

NIST SP 800-53 Rev. 5 ポリシーバンドルの制約

NIST SP 800-53 Rev. 5 ポリシーバンドルを監査する

NIST SP 800-53 Rev. 5 ポリシーバンドル適用アクションを変更する

NIST SP 800-53 Rev. 5 ポリシーバンドルを削除する