Paket Pengontrol Kebijakan
Halaman ini menjelaskan apa yang dimaksud dengan paket Pengontrol Kebijakan dan memberikan ringkasan tentang paket kebijakan yang tersedia.
Anda dapat menggunakan Pengontrol Kebijakan untuk menerapkan batasan individual pada cluster atau menulis kebijakan khusus Anda sendiri. Anda juga dapat menggunakan paket kebijakan, yang memungkinkan Anda mengaudit cluster tanpa menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar industri, atau menyelesaikan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa kepatuhan workload
Anda. Saat Anda menerapkan paket kebijakan, paket tersebut akan mengaudit cluster Anda dengan menerapkan batasan menggunakan jenis penerapan dryrun. Jenis penerapan dryrun
memungkinkan Anda melihat pelanggaran tanpa memblokir beban kerja. Sebaiknya
hanya gunakan tindakan penerapan warn atau dryrun yang digunakan pada cluster dengan
beban kerja produksi, saat menguji batasan baru, atau melakukan migrasi
seperti mengupgrade platform. Untuk mengetahui informasi selengkapnya tentang tindakan penerapan, lihat
Mengaudit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket CIS Kubernetes Benchmark, yang dapat membantu mengaudit resource cluster Anda terhadap CIS Kubernetes Benchmark. Benchmark ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes guna mendukung postur keamanan yang kuat.
Paket kebijakan dibuat dan dikelola oleh Google. Anda dapat melihat detail cakupan kebijakan selengkapnya, termasuk cakupan per paket, di dasbor Pengontrol Kebijakan.
Paket kebijakan disertakan dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, mengaudit resource, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama token tunggal paket. Nilai ini diperlukan untuk menerapkan paket dengan perintah Google Cloud CLI.
Kolom versi paling awal yang disertakan mencantumkan versi paling awal yang tersedia dengan Pengontrol Kebijakan. Artinya, Anda dapat menginstal paket tersebut secara langsung. Pada versi Pengontrol Kebijakan yang mana pun, Anda masih dapat menginstal paket yang tersedia dengan mengikuti petunjuk yang ditautkan dalam tabel.
| Nama dan deskripsi | Alias paket | Versi paling awal yang disertakan | Jenis | Menyertakan batasan referensial |
|---|---|---|---|---|
| CIS GKE Benchmark: Mengaudit kepatuhan cluster Anda terhadap CIS GKE Benchmark v1.5, serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
tidak tersedia | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark: Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.5, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark (Pratinjau): Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.7, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu mengadopsi praktik terbaik untuk menjalankan cluster GKE yang hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek pusat informasi MITRE terkait taktik dan teknik penyerang berdasarkan observasi dunia nyata. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Menerapkan perlindungan berdasarkan Kebijakan Keamanan Pod Kubernetes (PSP). | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar-Dasar Standar Keamanan Pod: Menerapkan perlindungan berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod Kubernetes (PSS). | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Standar Keamanan Pod Dibatasi: Menerapkan perlindungan berdasarkan kebijakan yang Dibatasi Standar Keamanan Pod Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Anthos Service Mesh: Mengaudit kepatuhan kerentanan dan praktik terbaik keamanan Anthos Service Mesh Anda. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Terapkan praktik terbaik untuk resource cluster Anda. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 mengimplementasikan kontrol yang tercantum dalam NIST Special Publication (SP) 800-53, Revisi 5. Paket ini dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan kebijakan privasi dan keamanan siap pakai. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-190, Application Container Security Guide. Paket ini ditujukan untuk membantu organisasi terkait keamanan penampung aplikasi, termasuk keamanan image, keamanan runtime container, keamanan jaringan, dan keamanan sistem host. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| NSA CISA Kubernetes Hardening Guide v1.2: Menerapkan perlindungan berdasarkan NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1: Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0 (Pratinjau): Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah selanjutnya
- Coba Pengontrol Kebijakan tanpa biaya.
- Pelajari lebih lanjut cara menerapkan batasan individual.
- Terapkan praktik terbaik untuk cluster Anda.
- Ikuti tutorial tentang menggunakan paket kebijakan di pipeline CI/CD untuk beralih ke kiri.