PCI-DSS v4.0 ポリシーの制約を使用する

Policy Controller には、Payment Card Industry データ セキュリティ基準(PCI-DSS)v4.0 の一部のアスペクトに対するクラスタ リソースのコンプライアンスを評価するために、PCI-DSS v4.0 バンドルで使用できる制約テンプレートのデフォルト ライブラリが付属しています。

このページは、監査または適用のために自動化を行い、維持することで、クラウド プラットフォーム内で実行されているすべてのリソースが組織のコンプライアンス要件を確実に満たすようにする IT 管理者と運用担当者を対象としています。Google Cloud のコンテンツで参照する一般的なロールとタスク例の詳細については、一般的な GKE Enterprise ユーザーロールとタスクをご覧ください。

PCI-DSS v4.0 ポリシー バンドルの制約

制約名 制約の説明 コントロール ID
pci-dss-v4.0-require-apps-annotations クラスタ内のすべてのアプリに network-controls/date アノテーションが必要です。 2.2.5
pci-dss-v4.0-require-av-daemonset ウイルス対策の DaemonSet が必要です。 5.2.1、5.2.2、5.2.3、5.3.1、5.3.2、5.3.5
pci-dss-v4.0-require-binauthz Binary Authorization Validating Admission Webhook が必要です。 2.2.1、2.2.4、6.2.3、6.3.1、6.3.2
pci-dss-v4.0-require-cloudarmor-backendconfig BackendConfig リソースに Google Cloud Armor 構成を適用します。 6.4.1、6.4.2
pci-dss-v4.0-require-config-management Config Sync が、ドリフト防止を有効にして、クラスタで少なくとも 1 つの RootSync オブジェクトで実行されている必要があります。 1.2.8、2.2.6、5.3.5、6.3.2、6.5.1
pci-dss-v4.0-require-default-deny-network-policies クラスタに定義されている Namespace で、下り(外向き)にデフォルトの拒否 NetworkPolicy を設定する必要があります。 1.3.2、1.4.4
pci-dss-v4.0-require-managed-by-label すべてのアプリに有効な app.kubernetes.io/managed-by ラベルが必要です。 1.2.8、2.2.6、5.3.5、6.3.2、6.5.1
pci-dss-v4.0-require-namespace-network-policies クラスタで定義されているすべての NamespaceNetworkPolicy が必要です。 1.2.5、1.2.6、1.4.1、1.4.4
pci-dss-v4.0-require-peer-authentication-strict-mtls PeerAuthentication が厳格な mTLS を上書きできないようにします。 2.2.7、4.2.1、8.3.2
pci-dss-v4.0-require-valid-network-ranges 上り(内向き)と下り(外向き)で許可される CIDR 範囲を制限します。 1.3.1、1.3.2、1.4.2、1.4.4
pci-dss-v4.0-resources-have-required-labels ファイアウォールの要件を満たすため、指定したラベルが含まれるすべてのアプリが必要です。 1.2.7
pci-dss-v4.0-restrict-cluster-admin-role cluster-admin ロールの使用を制限します。 7.2.1、7.2.2、7.2.5、8.2.4
pci-dss-v4.0-restrict-creation-with-default-serviceaccount デフォルトのサービス アカウントを使用したリソースの作成を制限します。監査中は無効です。 2.2.2
pci-dss-v4.0-restrict-default-namespace Pod がデフォルトの Namespace を使用できないようにします。 2.2.3
pci-dss-v4.0-restrict-ingress Ingress オブジェクトの作成を制限します。 1.3.1、1.4.2、1.4.4
pci-dss-v4.0-restrict-node-image Container-Optimized OS または Ubuntu のみを OS イメージとして許可することで、ノード上での一貫性のある正確な時間を確保します。 10.6.1、10.6.2、10.6.3
pci-dss-v4.0-restrict-pods-exec RolesClusterRoles での pods/exec の使用を制限します。 8.6.1
pci-dss-v4.0-restrict-rbac-subjects RBAC サブジェクト内の名前の使用を、許可された値に制限します。 7.3.2、8.2.1、8.2.2、8.2.4
pci-dss-v4.0-restrict-role-wildcards RolesClusterRoles でのワイルドカードの使用を制限します。 7.3.3、8.2.4
pci-dss-v4.0-restrict-storageclass StorageClass を、デフォルトで暗号化する StorageClass のリストに制限します。 3.3.2、3.3.3

始める前に

  1. この手順で使用する gcloud コマンドと kubectl コマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。
  2. 制約テンプレートのデフォルト ライブラリを使用して、クラスタに Policy Controller v1.16.0 以降をインストールします。このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。

参照制約用に Policy Controller を構成する

  1. 次の YAML マニフェストを policycontroller-config.yaml という名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。

    apiVersion: config.gatekeeper.sh/v1alpha1
    kind: Config
    metadata:
      name: config
      namespace: "gatekeeper-system"
    spec:
      sync:
        syncOnly:
          - group: "networking.k8s.io"
            version: "v1"
            kind: "NetworkPolicy"
          - group: "admissionregistration.k8s.io"
            version: "v1"
            kind: "ValidatingWebhookConfiguration"
          - group: "storage.k8s.io"
            version: "v1"
            kind: "StorageClass"
    
  2. policycontroller-config.yaml マニフェストを適用します。

    kubectl apply -f policycontroller-config.yaml
    

PCI-DSS v4.0 用にクラスタのワークロードを構成する

  1. すべてのアプリ(ReplicaSetDeploymentStatefulSetDaemonSet)に、YYYY-MM-DD のスキーマを持つ network-controls/date アノテーションを含める必要があります。
  2. ウイルス対策ソリューションが必要です。デフォルトでは、clamav Namespaceclamav という名前の daemonset が存在しますが、daemonset の名前と Namespace は、実装に合わせて pci-dss-v4.0-require-av-daemonset 制約内でカスタマイズできます。
  3. pci-dss-v4.0-require-binauthz では、Binary Authorization の有効化と構成が必要です。
  4. BackendConfig はすべて CloudArmor 用に構成する必要があります。
  5. Config Sync のプレゼンスと有効化が必要です。
  6. クラスタで定義されているすべての Namespace には、下り(外向き)に対するデフォルトの拒否 NetworkPolicy があります。許可される例外は pci-dss-v4.0-require-namespace-network-policies で指定できます。
  7. デフォルトでは configmanagement.gke.ioConfig Sync を使用する必要がありますが、許可される app.kubernetes.io/managed-by 値は pci-dss-v4.0-enforce-managed-by-configmanagement-label 制約でカスタマイズできます。
  8. クラスタで定義されているすべての NamespaceNetworkPolicy が必要です。
  9. Cloud Service Mesh を使用する場合、ASM PeerAuthentication は厳格な mTLS spec.mtls.mode: STRICT を使用する必要があります。
  10. Ingress と Express には許可された IP 範囲のみを使用でき、これらは pci-dss-v4.0-require-valid-network-ranges で指定できます。
  11. すべてのアプリ(ReplicaSetDeploymentStatefulSetDaemonSet)に、pci-dss-[0-9]{4}q[1-4] のスキーマを持つ pci-dss-firewall-audit label を含める必要があります。
  12. cluster-admin ClusterRole の使用は許可されません。
  13. デフォルトのサービス アカウントを使用してリソースは作成できません。
  14. デフォルトの Namespace は Pod に使用できません。
  15. 許可された Ingress オブジェクト(IngressGatewayService 型の NodePortLoadBalancer)のみ作成でき、これらは pci-dss-v4.0-restrict-ingress で指定できます。
  16. イメージの時間を一致させるには、すべてのノードで Container-Optimized OS または Ubuntu を使用する必要があります。
  17. RolesClusterRoles でワイルドカード文字または pods/exec 権限を使用することはできません。
  18. RBAC バインディングでは許可されたサブジェクトのみを使用でき、ドメイン名は pci-dss-v4.0-restrict-rbac-subjects で指定できます。
  19. デフォルトの StorageClass では、pci-dss-v4.0-restrict-storageclass で暗号化を使用する必要があります。

PCI-DSS v4.0 ポリシー バンドルを監査する

Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある PCI-DSS v4.0 ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。

kubectl、kpt、または Config Sync を使用して spec.enforcementActiondryrun に設定し、これらのポリシーを適用できます。

kubectl

  1. (省略可)kubectl でポリシーの制約をプレビューします。

    kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
    
  2. kubectl でポリシーの制約を適用します。

    kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
    

    次のような出力が表示されます。

    asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v4.0-require-peer-authentication-strict-mtls created
    k8sblockallingress.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-ingress created
    k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-creation-with-default-serviceaccount created
    k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v4.0-require-cloudarmor-backendconfig created
    k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v4.0-require-config-management created
    k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-role-wildcards created
    k8srequirebinauthz.constraints.gatekeeper.sh/pci-dss-v4.0-require-binauthz created
    k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-node-image created
    k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v4.0-require-av-daemonset created
    k8srequiredefaultdenyegresspolicy.constraints.gatekeeper.sh/pci-dss-v4.0-require-default-deny-network-policies created
    k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v4.0-require-namespace-network-policies created
    k8srequirevalidrangesfornetworks.constraints.gatekeeper.sh/pci-dss-v4.0-require-valid-network-ranges created
    k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v4.0-require-apps-annotations created
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-require-managed-by-label created
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-resources-have-required-labels created
    k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-default-namespace created
    k8srestrictrbacsubjects.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-rbac-subjects created
    k8srestrictrolebindings.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-cluster-admin-role created
    k8srestrictrolerules.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-pods-exec created
    k8sstorageclass.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-storageclass created
    
  3. ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。

    kubectl get constraints -l policycontroller.gke.io/bundleName=pci-dss-v4.0
    

    出力は次のようになります。

    NAME                                                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    asmpeerauthnstrictmtls.constraints.gatekeeper.sh/pci-dss-v4.0-require-peer-authentication-strict-mtls   dryrun               0
    
    NAME                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sblockallingress.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-ingress   dryrun               0
    
    NAME                                                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-creation-with-default-serviceaccount   dryrun               0
    
    NAME                                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8senforcecloudarmorbackendconfig.constraints.gatekeeper.sh/pci-dss-v4.0-require-cloudarmor-backendconfig   dryrun               0
    
    NAME                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8senforceconfigmanagement.constraints.gatekeeper.sh/pci-dss-v4.0-require-config-management   dryrun               0
    
    NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-role-wildcards   dryrun               0
    
    NAME                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirebinauthz.constraints.gatekeeper.sh/pci-dss-v4.0-require-binauthz   dryrun               0
    
    NAME                                                                                ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirecosnodeimage.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-node-image   dryrun               0
    
    NAME                                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredaemonsets.constraints.gatekeeper.sh/pci-dss-v4.0-require-av-daemonset   dryrun               0
    
    NAME                                                                                     ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredannotations.constraints.gatekeeper.sh/pci-dss-v4.0-require-apps-annotations   dryrun               0
    
    NAME                                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredefaultdenyegresspolicy.constraints.gatekeeper.sh/pci-dss-v4.0-require-default-deny-network-policies   dryrun               0
    
    NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-require-managed-by-label         dryrun               0
    k8srequiredlabels.constraints.gatekeeper.sh/pci-dss-v4.0-resources-have-required-labels   dryrun               0
    
    NAME                                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/pci-dss-v4.0-require-namespace-network-policies   dryrun               0
    
    NAME                                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srequirevalidrangesfornetworks.constraints.gatekeeper.sh/pci-dss-v4.0-require-valid-network-ranges   dryrun               0
    
    NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srestrictnamespaces.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-default-namespace   dryrun               0
    
    NAME                                                                                    ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srestrictrbacsubjects.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-rbac-subjects   dryrun               0
    
    NAME                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srestrictrolebindings.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-cluster-admin-role   dryrun               0
    
    NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8srestrictrolerules.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-pods-exec   dryrun               0
    
    NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
    k8sstorageclass.constraints.gatekeeper.sh/pci-dss-v4.0-restrict-storageclass   dryrun               0
    

kpt

  1. kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。

  2. kpt を使用して GitHub から PCI-DSS v4.0 ポリシー バンドルをダウンロードします。

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0
    
  3. set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを dryrun に設定します。

    kpt fn eval pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
      -- enforcementAction=dryrun
    
  4. kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。

    cd pci-dss-v4.0
    kpt live init
    
  5. kpt を使用してポリシーの制約を適用します。

    kpt live apply
    
  6. ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。

    kpt live status --output table --poll-until current
    

    ステータスが CURRENT の場合、制約が正常にインストールされています。

Config Sync

  1. kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. Config Sync の同期ディレクトリに移動します。

    cd SYNC_ROOT_DIR
    

    resourcegroup.yaml を使用して .gitignore を作成または追加するには:

    echo resourcegroup.yaml >> .gitignore
    

  2. 専用の policies ディレクトリを作成します。

    mkdir -p policies
    
  3. kpt を使用して GitHub から PCI-DSS v4.0 ポリシー バンドルをダウンロードします。

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/pci-dss-v4.0 policies/pci-dss-v4.0
    
  4. set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを dryrun に設定します。

    kpt fn eval policies/pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
    
  5. (省略可)作成されるポリシー制約をプレビューします。

    kpt live init policies/pci-dss-v4.0
    kpt live apply --dry-run policies/pci-dss-v4.0
    
  6. Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート kustomization.yamlpolicies/pci-dss-v4.0 を追加します。それ以外の場合は、policies/pci-dss-v4.0/kustomization.yaml ファイルを削除します。

    rm SYNC_ROOT_DIR/policies/pci-dss-v4.0/kustomization.yaml
    
  7. 変更を Config Sync リポジトリに push します。

    git add SYNC_ROOT_DIR/policies/pci-dss-v4.0
    git commit -m 'Adding PCI-DSS v4.0 policy audit enforcement'
    git push
    
  8. インストールのステータスを確認します。

    watch gcloud beta container fleet config-management status --project PROJECT_ID
    

    ステータスが SYNCED の場合、ポリシーがインストールされています。

ポリシー違反を確認する

ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。

また、次のコマンドを実行すると、kubectl を使用してクラスタに対する違反を表示できます。

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。

kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

PCI-DSS v4.0 ポリシー バンドルの適用アクションを変更する

クラスタのポリシー違反を確認したら、アドミッション コントローラが warn または deny のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。

kubectl

  1. kubectl を使用して、ポリシーの適用アクションを warn に設定します。

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'
    
  2. ポリシー制約の適用アクションが更新されていることを確認します。

    kubectl get constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0
    

kpt

  1. set-enforcement-action kpt 関数を実行して、ポリシーの違反に対する措置を warn に設定します。

    kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
    
  2. ポリシー制約を適用します。

    kpt live apply
    

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. Config Sync の同期ディレクトリに移動します。

    cd SYNC_ROOT_DIR
    
  2. set-enforcement-action kpt 関数を実行して、ポリシーの適用アクションを warn に設定します。

    kpt fn eval policies/pci-dss-v4.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
    
  3. 変更を Config Sync リポジトリに push します。

    git add SYNC_ROOT_DIR/policies/pci-dss-v4.0
    git commit -m 'Adding PCI-DSS v4.0 policy bundle warn enforcement'
    git push
    
  4. インストールのステータスを確認します。

    gcloud alpha anthos config sync repo list --project PROJECT_ID
    

    SYNCED 列に表示されたリポジトリには、ポリシーがインストールされています。

ポリシーの適用をテストする

次のコマンドを使用して、クラスタに非遵守リソースを作成します。

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        name: wordpress
EOF

次の例のように、アドミッション コントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。

Warning: [pci-dss-v4.0-restrict-default-namespace] <default> namespace is restricted
pod/wp-non-compliant created

PCI-DSS v4.0 ポリシー バンドルを削除する

必要に応じて、PCI-DSS v4.0 ポリシー バンドルをクラスタから削除できます。

kubectl

  • kubectl を使用してポリシーを削除します。

    kubectl delete constraint -l policycontroller.gke.io/bundleName=pci-dss-v4.0
    

kpt

  • ポリシーを削除します。

    kpt live destroy
    

Config Sync

Config Sync を使用してクラスタにクラスタをデプロイするオペレータは、次の操作を行うことができます。

  1. 変更を Config Sync リポジトリに push します。

    git rm -r SYNC_ROOT_DIR/policies/pci-dss-v4.0
    git commit -m 'Removing PCI-DSS v4.0 policies'
    git push
    
  2. ステータスを確認します。

    gcloud alpha anthos config sync repo list --project PROJECT_ID
    

    SYNCED 列に表示されたリポジトリで、ポリシーが削除されていることを確認します。