Bundle di Policy Controller
Questa pagina descrive cosa sono i pacchetti di Policy Controller e fornisce una panoramica dei pacchetti di criteri disponibili.
Puoi utilizzare Policy Controller per applicare singoli vincoli al cluster o scrivere criteri personalizzati. Puoi anche usare pacchetti di criteri, che ti consentono di controllare i cluster senza scrivere vincoli. I pacchetti di criteri sono un gruppo di vincoli che consentono di applicare le best practice, soddisfare gli standard di settore o risolvere problemi normativi nelle risorse dei cluster.
Puoi applicare pacchetti di criteri ai cluster esistenti per verificare se i tuoi carichi di lavoro sono conformi. Quando applichi un pacchetto di criteri, il cluster viene controllato mediante l'applicazione di vincoli con il tipo di applicazione dryrun. Il tipo di applicazione dryrun consente di visualizzare le violazioni senza bloccare i carichi di lavoro. Inoltre, consigliamo di utilizzare solo le azioni di applicazione warn o dryrun sui cluster con carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione forzata, consulta Controllo tramite vincoli.
Ad esempio, un tipo di pacchetto di criteri è il bundle CIS Benchmark Kubernetes, che può aiutarti a verificare le risorse del cluster rispetto al Benchmark Kubernetes per CIS. Questo benchmark è un insieme di suggerimenti per configurare le risorse Kubernetes al fine di supportare una solida strategia di sicurezza.
I pacchetti di criteri sono creati e gestiti da Google. Puoi visualizzare ulteriori dettagli sulla copertura dei criteri, inclusa la copertura per bundle, nella dashboard di Policy Controller.
I pacchetti di criteri sono inclusi nella licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Bundle di Policy Controller disponibili
Nella tabella seguente sono elencati i pacchetti di criteri disponibili. Seleziona il nome del pacchetto di criteri per leggere la documentazione su come applicare il bundle, controllare le risorse e applicare i criteri.
La colonna Alias bundle elenca il nome del token singolo del bundle. Questo valore è necessario per applicare un bundle con i comandi di Google Cloud CLI.
La colonna Versione inclusa precedente elenca la prima versione in cui il bundle è disponibile con Policy Controller. Ciò significa che puoi installare direttamente questi bundle. In qualsiasi versione di Policy Controller, puoi comunque installare qualsiasi bundle disponibile seguendo le istruzioni riportate nella tabella.
| Nome e descrizione | Alias bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
|---|---|---|---|---|
| Benchmark GKE per CIS: verifica la conformità dei tuoi cluster rispetto al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
non disponibile | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes: verifica la conformità dei tuoi cluster con il benchmark CIS Kubernetes v1.5, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| Benchmark CIS per Kubernetes (anteprima): controlla la conformità dei tuoi cluster rispetto al CIS Kubernetes Benchmark v1.7, un insieme di suggerimenti per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: il pacchetto Costo e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE a basso costo senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | best practice | Sì |
| MITRE (anteprima): il pacchetto di criteri MITRE aiuta a valutare la conformità delle risorse del tuo cluster con alcuni aspetti della knowledge base MITRE delle tattiche e delle tecniche avversarie basate su osservazioni reali. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: applica protezioni basate sul criterio di sicurezza dei pod di Kubernetes (PSP). | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Base di riferimento degli standard di sicurezza dei pod: applica le protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod con restrizioni: applica protezioni in base al criterio con restrizioni degli standard di sicurezza dei pod di Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Anthos Service Mesh: controlla la conformità delle vulnerabilità e delle best practice di sicurezza di Anthos Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del tuo cluster. | policy-essentials-v2022 |
1.14.1 | best practice | No |
| NIST SP 800-53 Rev. 5: il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale NIST (SP) 800-53, revisione 5. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di privacy e sicurezza pronti all'uso. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella Guida alla sicurezza dei container di applicazioni NIST SP 800-190. Il bundle è pensato per aiutare le organizzazioni con la sicurezza dei container delle applicazioni, tra cui sicurezza delle immagini, sicurezza del runtime dei container, sicurezza della rete e sicurezza dei sistemi host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni in base alla NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1: applica protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0 (anteprima): applica protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Prova Policy Controller senza costi aggiuntivi.
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai cluster.
- Segui un tutorial su come utilizzare i pacchetti di criteri nella pipeline CI/CD per spostarti a sinistra.