En esta página, se describen los paquetes de Policy Controller y se proporciona una descripción general de los paquetes de políticas disponibles.
Esta página está destinada a los administradores de TI y operadores que desean asegurarse de que todos los recursos que se ejecutan dentro de la plataforma en la nube cumplan con los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar el cumplimiento. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas comunes de los usuarios de GKE.
Acerca de los paquetes de Policy Controller
Puedes usar Policy Controller para aplicar restricciones individuales a tu clúster o escribir tus propias políticas personalizadas. También puedes usar paquetes de políticas, que te permiten auditar tus clústeres sin escribir ninguna restricción. Los paquetes de políticas son un grupo de restricciones que pueden ayudarte a aplicar prácticas recomendadas, cumplir con los estándares de la industria o resolver problemas normativos en los recursos de tu clúster.
Puedes aplicar paquetes de políticas a tus clústeres existentes para verificar si tus cargas de trabajo cumplen con las políticas. Cuando aplicas un paquete de políticas, se audita tu clúster aplicando restricciones con el tipo de aplicación dryrun. El tipo de aplicación dryrun te permite ver los incumplimientos sin bloquear tus cargas de trabajo. También se recomienda que solo se usen las acciones de aplicación warn o dryrun en clústeres con cargas de trabajo de producción, cuando se prueben restricciones nuevas o se realicen migraciones, como plataformas de actualización. Para obtener más información sobre las acciones de aplicación, consulta Audita mediante restricciones.
Por ejemplo, un tipo de paquete de políticas es el paquete de comparativas de CIS en Kubernetes, que puede ayudarte a auditar los recursos de tu clúster en relación con las comparativas de CIS en Kubernetes. Esta comparativa es un conjunto de recomendaciones para configurar recursos de Kubernetes de modo que posibilite una postura de seguridad sólida.
Paquetes de Policy Controller disponibles
En la siguiente tabla, se enumeran los paquetes de políticas disponibles. Selecciona el nombre del paquete de políticas para leer la documentación sobre cómo aplicar el paquete, auditar los recursos y aplicar las políticas.
La columna Alias del paquete muestra el nombre de un solo token del paquete. Este valor es necesario para aplicar un paquete con comandos de Google Cloud CLI.
La columna Versión incluida más antigua muestra la versión más antigua en la que el paquete está disponible con Policy Controller. Si deseas instalar paquetes de políticas directamente, sigue las instrucciones para aplicar varios paquetes de políticas. Si deseas instalar paquetes de políticas de forma manual, por ejemplo, si necesitas modificar un paquete de políticas, sigue las instrucciones vinculadas para ese paquete específico en la tabla.
| Nombre y descripción | Alias del paquete | Versión más antigua incluida | Tipo | Incluye restricciones referenciales |
|---|---|---|---|---|
| CIS GKE Benchmark: Audita el cumplimiento de tus clústeres en función de la versión 1.5 de la comparativa de CIS para GKE, un conjunto de controles de seguridad recomendados para configurar Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Estándar de Kubernetes | Sí |
| CIS Kubernetes Benchmark: Audita el cumplimiento de tus clústeres en función de la comparativa de CIS para Kubernetes v1.5, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida. | cis-k8s-v1.5.1 |
1.15.2 | Estándar de Kubernetes | Sí |
| CIS Kubernetes Benchmark (versión preliminar): Audita el cumplimiento de tus clústeres en función de la comparativa de CIS para Kubernetes v1.7, un conjunto de recomendaciones para configurar Kubernetes de modo que posibilite una postura de seguridad sólida. | cis-k8s-v1.7.1 |
no disponible | Estándar de Kubernetes | Sí |
| Costo y confiabilidad: El paquete de costo y confiabilidad ayuda a adoptar prácticas recomendadas para ejecutar clústeres de GKE rentables sin comprometer el rendimiento ni la confiabilidad de las cargas de trabajo. | cost-reliability-v2023 |
1.16.1 | Prácticas recomendadas | Sí |
| MITRE (vista previa): El paquete de políticas de MITRE ayuda a evaluar el cumplimiento de los recursos de tu clúster con algunos aspectos de la base de conocimiento de MITRE de tácticas y técnicas de ataque basadas en observaciones del mundo real. | mitre-v2024 |
no disponible | Estándar de la industria | Sí |
| Política de seguridad de Pods: Aplica protecciones basadas en la política de seguridad de Pods (PSP) de Kubernetes. | psp-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Baseline de los estándares de seguridad de Pods: Aplica protecciones basadas en la política de Baseline de los estándares de seguridad de Pods (PSS) de Kubernetes. | pss-baseline-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Pod Security Standards Restricted: Aplica protecciones basadas en la política Restricted de los estándares de seguridad de Pods (PSS) de Kubernetes. | pss-restricted-v2022 |
1.15.2 | Estándar de Kubernetes | No |
| Seguridad de Cloud Service Mesh: Audita el cumplimiento de las vulnerabilidades de seguridad y las prácticas recomendadas de Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Prácticas recomendadas | Sí |
| Policy Essentials: Aplica prácticas recomendadas a los recursos de tu clúster. | policy-essentials-v2022 |
1.14.1 | Prácticas recomendadas | No |
| NIST SP 800-53 Rev. 5: El paquete de NIST SP 800-53 Rev. 5 implementa los controles que se enumeran en la Publicación Especial (SP) 800-53, Revisión 5 del NIST. El paquete puede ayudar a las organizaciones a proteger sus sistemas y datos de una variedad de amenazas a través de la implementación de políticas de seguridad y privacidad listas para usar. | nist-sp-800-53-r5 |
1.16.0 | Estándar de la industria | Sí |
| NIST SP 800-190: El paquete de NIST SP 800-190 implementa los controles que se enumeran en la Publicación Especial (SP) 800-190 del NIST, Application Container Security Guide. El paquete está diseñado para ayudar a las organizaciones con la seguridad de los contenedores de aplicaciones, incluida la seguridad de las imágenes, la seguridad del entorno de ejecución del contenedor, la seguridad de redes y la seguridad del sistema host, entre otras. | nist-sp-800-190 |
1.16.0 | Estándar de la industria | Sí |
| Guía de endurecimiento de Kubernetes v1.2 de CISA de NSA: Aplica protecciones basadas en la Guía de endurecimiento de Kubernetes v1.2 de CISA de NSA. | nsa-cisa-k8s-v1.2 |
1.16.0 | Estándar de la industria | Sí |
| PCI-DSS v3.2.1 (obsoleto): Aplica protecciones basadas en el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Estándar de la industria | Sí |
| PCI-DSS v4.0: Aplica protecciones basadas en el Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) v4.0. | pci-dss-v4.0 |
no disponible | Estándar de la industria | Sí |
¿Qué sigue?
- Obtén más información para aplicar restricciones individuales.
- Aplica prácticas recomendadas a tus clústeres.
- Realiza un instructivo sobre cómo usar paquetes de políticas en tu canalización de CI/CD para aumentar las medidas de seguridad.