Cloud Service Mesh con las APIs de Istio te proporciona APIs potentes y flexibles que puedes usar para configurar tu malla. Sin embargo, sin una administración adecuada de estos recursos, tu malla podría exponer vulnerabilidades de seguridad.
Integrar el controlador de políticas en las restricciones de la política de seguridad de Cloud Service Mesh puede ayudar a aplicar tu malla con las prácticas recomendadas de seguridad y evitar vulnerabilidades.
Cuando instales el controlador de políticas, selecciona Instalar la biblioteca de plantillas predeterminada. Con esta opción, se implementan todas las plantillas de restricciones de políticas de seguridad de Cloud Service Mesh necesarias para la malla. Para obtener una lista completa de las plantillas de restricciones de seguridad de Cloud Service Mesh, consulta la Biblioteca de plantillas de restricciones y busca plantillas con el prefijo Asm.
Paquete de restricciones
Ofrecemos un paquete de restricciones integrado para la política de seguridad de Cloud Service Mesh.
Para obtener instrucciones y detalles del paquete, consulta Usa políticas de seguridad de Cloud Service Mesh.
Algunas plantillas de restricciones se instalan con la biblioteca de plantillas predeterminada, pero no se incluyen en el paquete de políticas de seguridad. Estas plantillas de restricciones entregan casos prácticos específicos y puedes configurar tus propias restricciones.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Cloud Service Mesh security policy constraints\n==============================================\n\n| **Note:** This guide only supports Cloud Service Mesh with Istio APIs and does not support Google Cloud APIs. For more information see, [Cloud Service Mesh overview](/service-mesh/docs/overview).\n\nThis guide does not support `TRAFFIC_DIRECTOR`\n[control plane implementation](/service-mesh/v1.21/docs/check-control-plane-implementation).\n\nCloud Service Mesh with Istio APIs provides you with powerful and flexible\nAPIs that you can use to configure your mesh. However, without proper management\nover these resources, your mesh might expose security vulnerabilities.\nIntegrating\n[Policy Controller](/anthos-config-management/docs/concepts/policy-controller)\nwith Cloud Service Mesh security policy constraints can help enforce your mesh\nwith security best practices and prevent vulnerabilities.\n\nThis page assumes you are already familiar with\n[policy constraints](/anthos-config-management/docs/how-to/creating-policy-controller-constraints).\n\nConstraints templates\n---------------------\n\nWhen you [install Policy Controller](/anthos-config-management/docs/how-to/installing-policy-controller),\nselect **Install default template library** . This option deploys\nall of the Cloud Service Mesh security policy constraint templates needed for your\nmesh. For a full list of the Cloud Service Mesh security constraint templates, see\nthe [Constraint template library](/anthos-config-management/docs/latest/reference/constraint-template-library)\nand look for templates that are prefixed with `Asm`.\n\nConstraints bundle\n------------------\n\nWe offer an out-of-box constraints bundle for Cloud Service Mesh security policy.\nFor the bundle details and instructions, see\n[Using Cloud Service Mesh security policies](/anthos-config-management/docs/how-to/using-asm-security-policy).\n\nTo follow a tutorial that shows you how to apply this bundle, see\n[Strengthen your app's security with Cloud Service Mesh, Config Sync, and Policy Controller](/service-mesh/v1.21/docs/strengthen-app-security).\n\nAdd-on constraints\n------------------\n\nSome constraint templates are installed with the default template library,\nbut not included in the security policy bundle. These constraint\ntemplates serve specific use cases, and you can configure your own constraints:\n\n- [AsmAuthzPolicyDisallowedPrefix](/anthos-config-management/docs/latest/reference/constraint-template-library#asmauthzpolicydisallowedprefix)\n- [AsmAuthzPolicyEnforceSourcePrincipals](/anthos-config-management/docs/latest/reference/constraint-template-library#asmauthzpolicyenforcesourceprincipals)"]]
