Restricciones de políticas de seguridad de Cloud Service Mesh

Esta guía no admite la TRAFFIC_DIRECTOR implementación del plano de control.

Cloud Service Mesh con las APIs de Istio te ofrece APIs potentes y flexibles que puedes usar para configurar tu malla. Sin embargo, si no gestionas correctamente estos recursos, tu malla podría exponer vulnerabilidades de seguridad. Integrar Policy Controller con las restricciones de la política de seguridad de Cloud Service Mesh puede ayudarte a aplicar las prácticas recomendadas de seguridad en tu malla y evitar vulnerabilidades.

En esta página se da por hecho que ya conoces las restricciones de las políticas.

Plantillas de restricciones

Cuando instales Policy Controller, selecciona Instalar biblioteca de plantillas predeterminada. Esta opción implementa todas las plantillas de restricciones de políticas de seguridad de Cloud Service Mesh necesarias para tu malla. Para ver una lista completa de las plantillas de restricciones de seguridad de Cloud Service Mesh, consulta la biblioteca de plantillas de restricciones y busca las plantillas que tengan el prefijo Asm.

Paquete de restricciones

Ofrecemos un paquete de restricciones predefinido para la política de seguridad de Cloud Service Mesh. Para obtener información detallada e instrucciones sobre el paquete, consulta Usar políticas de seguridad de Cloud Service Mesh.

Para seguir un tutorial que te muestre cómo aplicar este paquete, consulta Refuerza la seguridad de tu aplicación con Cloud Service Mesh, Config Sync y Policy Controller.

Restricciones de complementos

Algunas plantillas de restricciones se instalan con la biblioteca de plantillas predeterminada, pero no se incluyen en el paquete de políticas de seguridad. Estas plantillas de restricciones se usan en casos prácticos específicos y puedes configurar tus propias restricciones:

• AsmAuthzPolicyDisallowedPrefix
• AsmAuthzPolicyEnforceSourcePrincipals