Nesta página, descrevemos o que são os pacotes do Controlador de Políticas e apresentamos uma visão geral dos pacotes de políticas disponíveis.
Esta página é destinada a administradores e operadores de TI que querem usar e manter uma automação para garantir que todos os recursos em execução na plataforma de nuvem cumpram os requisitos de compliance organizacionais. Para saber mais sobre papéis comuns e tarefas de exemplo que mencionamos no conteúdo do Google Cloud , consulte Tarefas e funções de usuário comuns do GKE.
Sobre os pacotes do Policy Controller
Use o Controlador de Políticas para aplicar restrições individuais ao cluster ou gravar políticas personalizadas. Também é possível usar pacotes de políticas, que permitem auditar seus clusters sem gravar restrições. Pacotes de políticas são um grupo de restrições que podem ajudar a aplicar as práticas recomendadas, atender aos padrões do setor ou resolver problemas regulamentares em todos os recursos do cluster.
É possível aplicar pacotes de políticas nos clusters para verificar se as cargas de trabalho
estão em conformidade. Quando você aplica um pacote de políticas, ele audita o cluster aplicando
restrições com o tipo de aplicação dryrun. O tipo de aplicação dryrun permite acessar violações sem bloquear as cargas de trabalho. Também é recomendável
que apenas as ações da política warn ou dryrun sejam usadas em clusters com
cargas de trabalho de produção, ao testar novas restrições ou realizar migrações, como plataformas de upgrade. Para mais informações sobre as ações de cumprimento, consulte Auditoria com restrições.
Por exemplo, um tipo de pacote de política é o CIS Benchmark do Kubernetes, que pode ajudar a auditar seus recursos de cluster em relação ao CIS Benchmark do Kubernetes. Essa comparação é um conjunto de recomendações para configurar os recursos do Kubernetes a fim de oferecer suporte a uma postura de segurança forte.
Pacotes do Controlador de políticas disponíveis
A tabela a seguir lista os pacotes de políticas disponíveis. Selecione o nome do pacote de políticas para ler a documentação sobre como aplicar o pacote, auditar recursos e aplicar políticas.
A coluna Alias do pacote lista o nome do token único do pacote. Esse valor é necessário para aplicar um pacote com comandos da CLI do Google Cloud.
A coluna versão incluída mais antiga lista a versão mais antiga em que o pacote está disponível com o Controlador de Políticas. Se você quiser instalar pacotes de políticas diretamente, siga as instruções para aplicar vários pacotes de políticas. Se você quiser instalar pacotes de políticas manualmente, por exemplo, se precisar modificar um pacote de políticas, siga as instruções vinculadas para esse pacote específico na tabela.
| Nome e descrição | Alias do pacote | Versão incluída mais antiga | Tipo | Inclui restrições referenciais |
|---|---|---|---|---|
| Comparativo de mercado CIS do GKE: faça uma auditoria da conformidade dos clusters em relação ao comparativo de mercado CIS do GKE v1.5, um conjunto de controles de segurança recomendados para configurar o Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Padrão do Kubernetes | Sim |
| Comparativo de mercado do Kubernetes do CIS: faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.5, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. | cis-k8s-v1.5.1 |
1.15.2 | Padrão do Kubernetes | Sim |
| Comparativo de mercado CIS do Kubernetes (pré-lançamento): faça uma auditoria da conformidade dos seus clusters em relação ao CIS Kubernetes Benchmark v1.7, um conjunto de recomendações para configurar o Kubernetes e oferecer suporte a uma postura de segurança sólida. | cis-k8s-v1.7.1 |
não disponível | Padrão do Kubernetes | Sim |
| Custo e confiabilidade: o pacote de custo e confiabilidade ajuda a adotar as práticas recomendadas para executar clusters econômicos do GKE sem comprometer o desempenho ou a confiabilidade das cargas de trabalho. | cost-reliability-v2023 |
1.16.1 | Práticas recomendadas | Sim |
| MITRE (pré-lançamento): o pacote de políticas MITRE ajuda a avaliar a conformidade dos seus recursos de cluster com alguns aspectos da base de conhecimento de táticas e técnicas de invasão do MITRE baseadas em observações do mundo real. | mitre-v2024 |
não disponível | Padrão do setor | Sim |
| Política de segurança do pod: aplique proteções com base na política de segurança do pod (PSP, na sigla em inglês) do Kubernetes. | psp-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Padrão de referência dos padrões de segurança de pods: aplique proteções com base na política de valor de referência dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. | pss-baseline-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Padrões de segurança do pod restritos: aplique proteções com base na política restrita dos padrões de segurança de pods (PSS, na sigla em inglês) do Kubernetes. | pss-restricted-v2022 |
1.15.2 | Padrão do Kubernetes | Não |
| Segurança do Cloud Service Mesh: faça uma auditoria da conformidade das suas vulnerabilidades e práticas recomendadas de segurança do Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Práticas recomendadas | Sim |
| Políticas essenciais: aplique as práticas recomendadas aos recursos do cluster. | policy-essentials-v2022 |
1.14.1 | Práticas recomendadas | Não |
| NIST SP 800-53 Rev. 5: o pacote NIST SP 800-53 Rev. 5 implementa controles listados na Publicação Especial (SP, na sigla em inglês) 800-53 do NIST, Revisão 5. O pacote pode ajudar as organizações a proteger os sistemas e dados contra diversas ameaças implementando políticas de privacidade e segurança prontas para uso. | nist-sp-800-53-r5 |
1.16.0 | Padrão do setor | Sim |
| NIST SP 800-190: o pacote NIST SP 800-190 implementa controles listados na Publicação Especial do NIST (SP, na sigla em inglês) 800-190, guia de segurança de contêineres de aplicativos. O pacote serve para a ajudar organizações com segurança de contêineres de aplicativos, incluindo segurança de imagens, segurança do ambiente de execução do contêiner, segurança de rede e segurança do sistema host, entre outras. | nist-sp-800-190 |
1.16.0 | Padrão do setor | Sim |
| Guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2: aplique proteções com base no guia de aumento da proteção do Kubernetes para a CISA da NSA v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Padrão do setor | Sim |
| PCI-DSS v3.2.1 (descontinuado): aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v3.2.1. | pci-dss-v3.2.1 ou pci-dss-v3.2.1-extended |
1.15.2 | Padrão do setor | Sim |
| PCI-DSS v4.0: aplique proteções com base no Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0. | pci-dss-v4.0 |
não disponível | Padrão do setor | Sim |
A seguir
- Saiba mais sobre como aplicar restrições individuais.
- Aplique as práticas recomendadas aos clusters.
- Acesse um tutorial sobre como usar pacotes de políticas no pipeline de CI/CD para mudar para a esquerda.