Lots Policy Controller
Cette page décrit les groupes Policy Controller et présente les groupes de règles disponibles.
Vous pouvez utiliser Policy Controller pour appliquer des contraintes individuelles à votre cluster ou écrire vos propres règles personnalisées. Vous pouvez également utiliser des groupes de règles, ce qui vous permet d'auditer vos clusters sans écrire de contraintes. Les bundles de règles sont un groupe de contraintes qui peuvent vous aider à appliquer les bonnes pratiques, à répondre aux normes du secteur ou à résoudre des problèmes réglementaires pour l'ensemble de vos ressources de cluster.
Vous pouvez appliquer des groupes de règles à vos clusters existants pour vérifier si vos charges de travail sont conformes. Lorsque vous appliquez un lot de règles, il audite votre cluster en appliquant des contraintes avec le type d'application dryrun. Le type d'application dryrun vous permet d'afficher les cas de non-respect sans bloquer vos charges de travail. Il est également recommandé d'utiliser uniquement les actions coercitives warn ou dryrun sur les clusters avec des charges de travail de production, lorsque vous testez de nouvelles contraintes ou lorsque vous effectuez des migrations telles que la mise à niveau de plates-formes. Pour en savoir plus sur les mesures coercitives, consultez la page Effectuer des audits à l'aide de contraintes.
Par exemple, le groupe de benchmark CIS de Kubernetes est un type de groupe de règles, qui peut vous aider à évaluer les ressources de votre cluster vis-à-vis du benchmark CIS de Kubernetes. Ce benchmark est un ensemble de recommandations permettant de configurer les ressources Kubernetes de manière à garantir un niveau de sécurité élevé.
Les bundles de règles sont créés et gérés par Google. Pour en savoir plus sur la couverture de vos règles, y compris par lot, consultez le tableau de bord Policy Controller.
Les groupes de règles sont inclus dans une licence de l'édition Google Kubernetes Engine (GKE) Enterprise.
Lots de Policy Controller disponibles
Le tableau suivant répertorie les groupes de règles disponibles. Sélectionnez le nom du groupe de règles pour lire la documentation sur l'application du groupe, l'audit des ressources et l'application des règles.
La colonne Alias de bundle indique le nom de jeton unique du bundle. Cette valeur est nécessaire pour appliquer un groupe avec les commandes Google Cloud CLI.
La colonne Version la plus ancienne incluse indique la version la plus ancienne du bundle disponible avec Policy Controller. Cela signifie que vous pouvez installer ces groupes directement. Dans n'importe quelle version de Policy Controller, vous pouvez toujours installer n'importe quel bundle disponible en suivant les instructions indiquées dans le tableau.
| Nom et description | Alias de bundle | Première version incluse | Type | Inclut des contraintes référentielles |
|---|---|---|---|---|
| Benchmark CIS de GKE : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de GKE v1.5, un ensemble de contrôles de sécurité recommandés pour la configuration de Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
non disponible | Kubernetes standard | Oui |
| Benchmark CIS de Kubernetes : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de Kubernetes v1.5, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes standard | Oui |
| Benchmark CIS de Kubernetes (version preview) : auditez la conformité de vos clusters vis-à-vis du benchmark CIS de Kubernetes v1.7, un ensemble de recommandations permettant de configurer Kubernetes pour garantir un niveau de sécurité élevé. | cis-k8s-v1.7.1 |
non disponible | Kubernetes standard | Oui |
| Coût et fiabilité : le lot Coût et fiabilité aide à adopter les bonnes pratiques pour exécuter des clusters GKE économiques sans compromettre les performances ou la fiabilité des charges de travail. | cost-reliability-v2023 |
1.16.1 | Bonnes pratiques | Oui |
| MITRE (aperçu) : le lot de règles MITRE permet d'évaluer la conformité de vos ressources de cluster par rapport à certains aspects de la base de connaissances MITRE sur les tactiques et les techniques des attaquants à partir d'observations réelles. | mitre-v2024 |
non disponible | Norme du secteur | Oui |
| Règle de sécurité des pods : appliquez des protections basées sur la stratégie de sécurité des pods (PSP) de Kubernetes. | psp-v2022 |
1.15.2 | Kubernetes standard | Non |
| Référence des normes de sécurité des pods : appliquez des protections basées sur la règle de référence des normes de sécurité des pods de Kubernetes (PSS). | pss-baseline-v2022 |
1.15.2 | Kubernetes standard | Non |
| Normes de sécurité des pods limitées : appliquent des protections basées sur la règle de restriction des normes de sécurité des pods de Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Kubernetes standard | Non |
| Sécurité d'Anthos Service Mesh : auditez la conformité de vos failles de sécurité et des bonnes pratiques de sécurité dans Anthos Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Bonnes pratiques | Oui |
| Principes essentiels des règles : appliquez les bonnes pratiques à vos ressources de cluster. | policy-essentials-v2022 |
1.14.1 | Bonnes pratiques | Non |
| NIST SP 800-53 Rev. 5 : le lot NIST SP 800-53 Rev. 5 implémente les contrôles listés dans la publication spéciale (SP) 800-53, révision 5 du NIST. Ce bundle peut aider les entreprises à protéger leurs systèmes et leurs données contre diverses menaces en mettant en œuvre des règles de sécurité et de confidentialité prêtes à l'emploi. | nist-sp-800-53-r5 |
1.16.0 | Norme du secteur | Oui |
| NIST SP 800-190 : le lot NIST SP 800-190 met en œuvre les contrôles répertoriés dans la publication spéciale (SP) 800-190 du NIST "Application Container Security Guide". Il vise à aider les organisations à gérer la sécurité des conteneurs d'applications, y compris la sécurité des images, la sécurité de l'environnement d'exécution des conteneurs, la sécurité du réseau et la sécurité du système hôte, pour n'en citer que quelques-unes. | nist-sp-800-190 |
1.16.0 | Norme du secteur | Oui |
| Guide de renforcement Kubernetes NSA CISA v1.2 : appliquez des protections basées sur le guide de renforcement Kubernetes NSA CISA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Norme du secteur | Oui |
| PCI-DSS v3.2.1 : appliquez des protections basées sur la norme PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended |
1.15.2 | Norme du secteur | Oui |
| PCI-DSS v4.0 (version preview) : appliquez des protections basées sur la norme PCI-DSS (Payment Card Industry Data Security Standard) v4.0. | pci-dss-v4.0 |
non disponible | Norme du secteur | Oui |
Étapes suivantes
- Essayez Policy Controller sans frais.
- Découvrez comment appliquer des contraintes individuelles.
- Appliquez les bonnes pratiques à vos clusters.
- Suivez un tutoriel sur l'utilisation de groupes de règles dans votre pipeline CI/CD pour basculer vers la gauche.