Halaman ini menjelaskan apa itu Policy Controller dan cara menggunakannya untuk membantu memastikan cluster dan workload Kubernetes Anda berjalan dengan aman dan mematuhi kebijakan.
Halaman ini ditujukan untuk administrator IT, Operator, dan spesialis Keamanan yang menentukan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan, serta memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan memelihara otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise umum.
Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu pengelolaan praktik terbaik, keamanan, dan kepatuhan cluster dan armada Anda. Berdasarkan project open source Open Policy Agent Gatekeeper, Policy Controller terintegrasi sepenuhnya dengan Google Cloud, menyertakan dasbor bawaan, untuk visibilitas, dan dilengkapi dengan library lengkap kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum.
Pengontrol Kebijakan tersedia dengan lisensi edisi Enterprise Google Kubernetes Engine (GKE).
Manfaat Pengontrol Kebijakan
- Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Policy Controller menggunakan konsol Google Cloud, menggunakan Terraform, atau menggunakan Google Cloud CLI di cluster apa pun yang terhubung ke fleet Anda. Pengontrol Kebijakan berfungsi dengan layanan Google Cloud lainnya seperti Config Sync, metrik, dan Cloud Monitoring.
- Mendukung beberapa titik penerapan: Selain audit dan kontrol izin untuk cluster Anda, Pengontrol Kebijakan secara opsional dapat mengaktifkan pendekatan shift-left untuk menganalisis dan menemukan perubahan yang tidak mematuhi kebijakan sebelum penerapan.
- Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Hal ini mencakup Paket kebijakan, yang dibuat dan dikelola oleh Google, serta library template batasan.
- Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan di luar yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
- Observabilitas bawaan: Pengontrol Kebijakan menyertakan dasbor konsol Google Cloud, yang memberikan ringkasan untuk status semua kebijakan yang diterapkan ke fleet Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat status kepatuhan dan penerapan untuk membantu Anda memecahkan masalah, dan dapatkan rekomendasi yang bersifat subjektif untuk menyelesaikan pelanggaran kebijakan.
Paket kebijakan
Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan dalam tema standar, keamanan, atau kepatuhan Kubernetes tertentu. Paket kebijakan ini dibuat dan dikelola oleh Google sehingga siap digunakan tanpa harus menulis kode apa pun. Misalnya, Anda dapat menggunakan paket kebijakan berikut:
- Menerapkan banyak persyaratan yang sama dengan PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, sehingga memastikan perubahan kebijakan tidak mengganggu beban kerja yang sedang berjalan.
- Gunakan batasan yang kompatibel dengan Cloud Service Mesh untuk mengaudit kepatuhan terhadap kerentanan keamanan mesh dan praktik terbaik Anda.
- Terapkan praktik terbaik umum ke resource cluster Anda untuk membantu memperkuat postur keamanan Anda.
Ringkasan paket Pengontrol Kebijakan memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.
Batasan
Pengontrol Kebijakan menerapkan kepatuhan cluster Anda menggunakan objek yang disebut batasan. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan tertentu pada Kubernetes API yang diizinkan atau tidak diizinkan di cluster tempatnya diterapkan. Anda dapat menetapkan kebijakan untuk memblokir secara aktif permintaan API yang tidak mematuhi kebijakan atau mengaudit konfigurasi cluster dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan dengan detail tentang pelanggaran yang terjadi di cluster. Dengan informasi tersebut, Anda dapat memperbaiki masalah. Misalnya, Anda dapat menggunakan batasan individual berikut:
- Memerlukan setiap namespace untuk memiliki setidaknya satu label. Batasan ini dapat digunakan untuk memastikan pelacakan konsumsi resource yang akurat, misalnya, saat menggunakan Pengukuran Penggunaan GKE.
- Membatasi repositori tempat image container tertentu dapat diambil. Batasan ini memastikan bahwa setiap upaya untuk menarik penampung dari sumber yang tidak dikenal akan ditolak, sehingga melindungi cluster Anda dari software yang berpotensi malicious.
- Mengontrol apakah container dapat berjalan dalam mode dengan hak istimewa atau tidak. Batasan ini mengontrol kemampuan penampung apa pun untuk mengaktifkan mode berhak istimewa, yang memberi Anda kontrol atas penampung mana (jika ada) yang dapat berjalan dengan kebijakan yang tidak dibatasi.
Ini hanyalah beberapa batasan yang disediakan dalam library template batasan yang disertakan dengan Pengontrol Kebijakan. Library ini berisi banyak kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika memerlukan penyesuaian lebih lanjut di luar yang tersedia di library template batasan, Anda juga dapat membuat template batasan kustom.
Batasan dapat diterapkan langsung ke cluster Anda menggunakan Kubernetes API, atau didistribusikan ke sekumpulan cluster dari sumber terpusat, seperti repositori Git, menggunakan Config Sync.