Pacotes do Policy Controller

Esta página descreve o que são os pacotes do Policy Controller e fornece uma visão geral dos pacotes de políticas disponíveis.

Use o Policy Controller para aplicar restrições individuais ao cluster ou gravar políticas personalizadas. Também é possível usar pacotes de políticas, que permitem auditar seus clusters sem gravar restrições. Pacotes de políticas são um grupo de restrições que podem ajudar a aplicar as práticas recomendadas, atender aos padrões do setor ou resolver problemas regulamentares em todos os recursos do cluster.

É possível aplicar pacotes de políticas nos clusters para verificar se as cargas de trabalho estão em conformidade. Quando você aplica um pacote de políticas, ele audita o cluster aplicando restrições com o tipo de aplicação dryrun. O tipo de aplicação dryrun permite acessar violações sem bloquear as cargas de trabalho. Também é recomendável que apenas as ações da política warn ou dryrun sejam usadas em clusters com cargas de trabalho de produção, ao testar novas restrições ou realizar migrações, como plataformas de upgrade. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.

Por exemplo, um tipo de pacote de política é o CIS Benchmark do Kubernetes, que pode ajudar a auditar seus recursos de cluster em relação ao CIS Benchmark do Kubernetes. Essa comparação é um conjunto de recomendações para configurar os recursos do Kubernetes a fim de oferecer suporte a uma postura de segurança forte.

Os pacotes de políticas são criados e mantidos pelo Google. Confira mais detalhes sobre a cobertura de políticas, incluindo a cobertura por pacote, no painel do Controlador de políticas.

Os pacotes de políticas estão incluídos em uma licença da edição Google Kubernetes Engine (GKE) Enterprise.

Pacotes do Controlador de políticas disponíveis

A tabela a seguir lista os pacotes de políticas disponíveis. Selecione o nome do pacote de políticas para ler a documentação sobre como aplicar o pacote, auditar recursos e aplicar políticas.

A coluna alias do pacote lista o nome do token único do pacote. Esse valor é necessário para aplicar um pacote com comandos da Google Cloud CLI.

A coluna de versão mais antiga incluída lista a versão mais antiga em que o pacote está disponível com o Policy Controller. Isso significa que você pode instalar esses pacotes diretamente. Em qualquer versão do Policy Controller, ainda é possível instalar qualquer pacote disponível seguindo as instruções vinculadas na tabela.

Nome e descrição Alias do pacote Versão mais antiga incluída Tipo Inclui restrições referenciais
Comparativo de mercado CIS do GKE (prévia): audite a conformidade dos clusters em relação ao comparativo de mercado CIS do GKE v1.4, um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE). cis-gke-v1.4.0 não disponível Padrão do Kubernetes Sim
Comparativo de mercado CIS do Kubernetes: audite a conformidade dos clusters em relação ao comparativo de mercado CIS do Kubernetes v1.5, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança forte. cis-k8s-v1.5.1 1.15.2 Padrão do Kubernetes Sim
Comparativo de mercado CIS do Kubernetes (pré-lançamento): audite a conformidade dos clusters em relação ao comparativo de mercado CIS do Kubernetes v1.7, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança forte. cis-k8s-v1.7.1 não disponível Padrão do Kubernetes Sim
Custo e confiabilidade: o pacote de custo e confiabilidade ajuda a adotar práticas recomendadas para executar clusters econômicos do GKE sem comprometer o desempenho ou a confiabilidade das cargas de trabalho. cost-reliability-v2023 1.16.1 Práticas recomendadas Sim
Política de segurança de pods: aplique proteções com base na Política de segurança de pods (PSP) do Kubernetes. psp-v2022 1.15.2 Padrão do Kubernetes No
Valor de referência dos padrões de segurança de pods: aplique proteções com base na política de referência de padrões de segurança de pods (PSS) do Kubernetes. pss-baseline-v2022 1.15.2 Padrão do Kubernetes No
Padrões de segurança de pods restritos: aplique proteções com base na Política restrita dos padrões de segurança de pods (PSS) do Kubernetes. pss-restricted-v2022 1.15.2 Padrão do Kubernetes No
Segurança do Anthos Service Mesh: examine a conformidade das vulnerabilidades e práticas recomendadas de segurança do Anthos Service Mesh. asm-policy-v0.0.1 1.15.2 Práticas recomendadas Sim
Policy Essentials: aplique as práticas recomendadas aos recursos do cluster. policy-essentials-v2022 1.14.1 Práticas recomendadas No
NIST SP 800-53 Rev. 5: o pacote NIST SP 800-53 Rev. 5 implementa controles listados na Publicação Especial (SP) 800-53 do NIST, Revisão 5. O pacote pode ajudar as organizações a proteger os sistemas e dados contra diversas ameaças implementando políticas de privacidade e segurança prontas para uso. nist-sp-800-53-r5 1.16.0 Padrão do setor Sim
NIST SP 800-190: o pacote NIST SP 800-190 implementa controles listados na Publicação Especial (SP) 800-190 do NIST, Guia de segurança do contêiner de aplicativos. O pacote destina-se a ajudar organizações com segurança de contêineres de aplicativos, incluindo segurança de imagens, segurança do ambiente de execução do contêiner, segurança da rede e segurança do sistema host, entre outras.  nist-sp-800-190 1.16.0 Padrão do setor Sim
Guia de proteção do Kubernetes da CISA da NSA v1.2: aplique proteções com base no Guia de proteção do Kubernetes da CISA da NSA v1.2. nsa-cisa-k8s-v1.2 1.16.0 Padrão do setor Sim
PCI-DSS v3.2.1: aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v3.2.1. pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended 1.15.2 Padrão do setor Sim
PCI-DSS v4.0 (pré-lançamento): aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0. pci-dss-v4.0 não disponível Padrão do setor Sim

A seguir