Usar restricciones de la política de CIS Google Kubernetes Engine Benchmark v1.5.0

Policy Controller incluye una biblioteca predeterminada de plantillas de restricciones que se pueden usar con el paquete de políticas del Center for Internet Security (CIS) GKE v1.5.0 para auditar el cumplimiento de tu clúster de GKE en Google Cloud con los benchmarks del CIS Google Kubernetes Engine (GKE) v1.5.0. Esta prueba comparativa es un conjunto de controles de seguridad recomendados para configurar GKE.

En esta página se explica cómo aplicar manualmente un paquete de políticas. También puedes aplicar paquetes de políticas directamente.

Esta página está dirigida a administradores y operadores de TI que quieran asegurarse de que todos los recursos que se ejecutan en la plataforma en la nube cumplen los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar los requisitos. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas de usuario habituales de GKE.

Este paquete de restricciones incluye controles en los siguientes ámbitos:

  • RBAC y cuentas de servicio
  • Políticas de seguridad de pods
  • Políticas de red y CNI
  • Gestión de secretos
  • Control de admisión extensible
  • Políticas generales
  • Servicios administrados

Restricciones del paquete de políticas de CIS GKE v1.5.0

Nombre de la restricción Descripción de la restricción Control IDs
cis-gke-v1.5.0-apparmor Restringe el perfil AppArmor para los pods. 4.2.1
cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount Restringe la creación de recursos mediante un ServiceAccount predeterminado. 4.1.5
cis-gke-v1.5.0-restrict-loadbalancer No permite ningún servicio de tipo LoadBalancer. 5.6.8
cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth Restringe el uso de secretos de tipo autenticación básica. 4.4.2
cis-gke-v1.5.0-require-binauthz Requiere el webhook de admisión de validación de autorización binaria. 4.5.1 y 5.10.4
cis-gke-v1.5.0-require-cos-node-image Requiere Container-Optimized OS como imagen de SO del nodo. 5.5.1
cis-gke-v1.5.0-require-gke-metadata-server-enabled Requiere que el servicio de metadatos de GKE esté habilitado en cada nodo del clúster. 5.4.2
cis-gke-v1.5.0-require-ingress.class-gce Requiere que todos los objetos Ingress tengan una anotación kubernetes.io/ingress.class: gce. 5.6.8
cis-gke-v1.5.0-require-managed-certificates Requiere que todos los objetos Ingress tengan una anotación networking.gke.io/managed-certificates. 5.6.8
cis-gke-v1.5.0-require-namespace-networkpolicy Requiere que cada Namespace definido en el clúster tenga un NetworkPolicy. 4.3.2
cis-gke-v1.5.0-require-seccomp-default Los contenedores no se pueden ejecutar con un perfil seccomp que no sea runtime/default. 4.6.2
cis-gke-v1.5.0-require-securitycontext Requiere que los pods definan securityContext. 4.6.3
cis-gke-v1.5.0-capabilities No se pueden añadir funciones que no estén en la lista. 4.2.1
cis-gke-v1.5.0-restrict-cluster-admin-role Restringe el uso del rol cluster-admin. 4.1.1
cis-gke-v1.5.0-restrict-default-namespace Restringe el uso de Namespace predeterminado por parte de los pods. 4.6.1 y 4.6.4
cis-gke-v1.5.0-restrict-env-var-secrets Restringe el uso de secretos como variables de entorno en las definiciones de contenedores. 4.4.1
cis-gke-v1.5.0-host-namespace Restringe los contenedores con hostPID o hostIPC establecidos en true. 4.2.1
cis-gke-v1.5.0-restrict-pods-create Restringe la creación de pods en Roles y ClusterRoles. 4.1.4
cis-gke-v1.5.0-restrict-privileged-containers Restringe los contenedores con securityContext.privileged establecido en true. 4.2.1
cis-gke-v1.5.0-restrict-rbac-subjects Restringe el uso de nombres en los sujetos de RBAC a los valores permitidos. 5.8.2
cis-gke-v1.5.0-restrict-role-wildcards Restringe el uso de comodines en Roles y ClusterRoles. 4.1.3
cis-gke-v1.5.0-restrict-role-secrets Restringe el uso de secretos en Roles y ClusterRoles. 4.1.2
cis-gke-v1.5.0-restrict-automountserviceaccounttoken Restringe el uso de tokens de cuenta de servicio para pods. 4.1.5 y 4.1.6
cis-gke-v1.5.0-selinux No se puede definir el tipo de SELinux ni establecer una opción de usuario o rol de SELinux personalizada. 4.2.1
cis-gke-v1.5.0-host-port HostPorts no debería permitirse. 4.2.1
cis-gke-v1.5.0-hostpath-volumes Los volúmenes de HostPath deben estar prohibidos. 4.2.1
cis-gke-v1.5.0-hostprocess Los contenedores y los pods no se pueden ejecutar con securityContext.windowsOptions.hostProcess establecido en true. 4.2.1
cis-gke-v1.5.0-proc-mount-type Los contenedores no se pueden ejecutar con la propiedad procMount establecida en un valor que no sea Default. 4.2.1
cis-gke-v1.5.0-restrict-bind-escalate-impersonate Restringe el acceso a las reglas bind, escalate e impersonate en los roles o roles de clúster de Roles y ClusterRoles. 4.1.8
cis-gke-v1.5.0-restrict-certificatesigningrequests-approval La aprobación de los certificados de cliente está restringida. 4.1.11
cis-gke-v1.5.0-restrict-nodes-proxy Restringe el acceso al subrecurso proxy de los nodos en Roles y ClusterRoles. 4.1.10
cis-gke-v1.5.0-restrict-persistent-volume Restringe la creación de persistentvolumes en Roles y ClusterRoles. 4.1.9
cis-gke-v1.5.0-restrict-serviceaccounts-token Restringe la creación de tokens serviceaccount en Roles y ClusterRoles. 4.1.13
cis-gke-v1.5.0-restrict-system-masters-group No permite el uso del grupo system:masters. 5.1.7
cis-gke-v1.5.0-restrict-system-masters-group Restringe el acceso a los objetos de configuración de webhook en Roles y ClusterRoles. 4.1.12
cis-gke-v1.5.0-seccomp El perfil de seccomp no debe ser Unconfined. 4.2.1
cis-gke-v1.5.0-sysctls Los contenedores solo pueden definir los sysctls que aparezcan en el campo allowedSysctls. 4.2.1
cis-gke-v1.5.0-host-namespaces-hostnetwork Los espacios de nombres de host hostNetwork solo pueden ser false. 4.2.1

Antes de empezar

  1. Instala e inicializa la CLI de Google Cloud, que proporciona los comandos gcloud y kubectl que se usan en estas instrucciones. Si usas Cloud Shell, Google Cloud CLI viene preinstalado.
  2. Instala Policy Controller v1.16.2 o una versión posterior en tu clúster con la biblioteca predeterminada de plantillas de restricciones. También debes habilitar la compatibilidad con las restricciones referenciales, ya que este paquete contiene restricciones referenciales.

Configurar restricciones referenciales

  1. Guarda el siguiente manifiesto YAML en un archivo con el nombre policycontroller-config.yaml. El manifiesto configura Policy Controller para que monitorice tipos específicos de objetos.

    apiVersion: config.gatekeeper.sh/v1alpha1
kind: Config
metadata:
  name: config
  namespace: "gatekeeper-system"
spec:
  sync:
    syncOnly:
      - group: "admissionregistration.k8s.io"
        version: "v1"
        kind: "ValidatingWebhookConfiguration"
      - group: "networking.k8s.io"
        version: "v1"
        kind: "NetworkPolicy"

  2. Aplica el manifiesto policycontroller-config.yaml:

    kubectl apply -f policycontroller-config.yaml

Configurar el clúster y la carga de trabajo

  1. Es necesario habilitar y configurar Grupos de Google con control de acceso basado en roles en cis-gke-v1.5.0-restrict-rbac-subjects.
  2. Para habilitar y configurar Autorización binaria, debe hacerlo en cis-gke-v1.5.0-require-binauthz.

Políticas de auditoría

Policy Controller te permite aplicar políticas en tu clúster de Kubernetes. Para probar tus cargas de trabajo y su cumplimiento de las políticas de CIS GKE v1.5.0 que se describen en la tabla anterior, puedes implementar estas restricciones en modo "auditoría" para detectar y solucionar las infracciones.

Puedes aplicar estas políticas con spec.enforcementAction definido como dryrun mediante kubectl, kpt, o Config Sync.

kubectl

  1. (Opcional) Obtén una vista previa de las restricciones de la política con kubectl:

    kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

  2. Aplica las restricciones de la política con kubectl:

    kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

    El resultado es el siguiente:

    k8savoiduseofsystemmastersgroup.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-system-masters-group created
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount created
k8sblockloadbalancer.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-loadbalancer created
k8sblockobjectsoftype.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth created
k8snoenvvarsecrets.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-env-var-secrets created
k8spspapparmor.constraints.gatekeeper.sh/cis-gke-v1.5.0-apparmor created
k8spspcapabilities.constraints.gatekeeper.sh/cis-gke-v1.5.0-capabilities created
k8spspforbiddensysctls.constraints.gatekeeper.sh/cis-gke-v1.5.0-sysctls created
k8spsphostfilesystem.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostpath-volumes created
k8spsphostnamespace.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-namespace created
k8spsphostnetworkingports.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-port created
k8spspprivilegedcontainer.constraints.gatekeeper.sh/cis-gke-v1.5.0-privileged-containers created
k8spspprocmount.constraints.gatekeeper.sh/cis-gke-v1.5.0-proc-mount-type created
k8spspselinuxv2.constraints.gatekeeper.sh/cis-gke-v1.5.0-selinux created
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-seccomp-default created
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-seccomp created
k8spspwindowshostprocess.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostprocess created
k8spodsrequiresecuritycontext.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-securitycontext created
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-wildcards created
k8srequirebinauthz.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-binauthz created
k8srequirecosnodeimage.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-cos-node-image created
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-namespace-networkpolicy created
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-ingress.class-gce created
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-managed-certificates created
k8srequiredlabels.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-gke-metadata-server-enabled created
k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-automountserviceaccounttoken created
k8srestrictnamespaces.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-default-namespace created
k8srestrictrbacsubjects.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-rbac-subjects created
k8srestrictrolebindings.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-cluster-admin-role created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-bind-escalate-impersonate created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-certificatesigningrequests-approval created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-nodes-proxy created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-persistent-volume created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-pods-create created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-secrets created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-serviceaccounts-token created
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-webhook-config created

  3. Verifica que se hayan instalado las restricciones de la política y comprueba si hay infracciones en el clúster:

    kubectl get constraints -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

    El resultado debería ser similar al siguiente:

    NAME                                                                                                     ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8savoiduseofsystemmastersgroup.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-system-masters-group   dryrun               0

NAME                                                                                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockcreationwithdefaultserviceaccount.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-creation-with-default-serviceaccount   dryrun               0

NAME                                                                                  ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockloadbalancer.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-loadbalancer   dryrun               0

NAME                                                                                                 ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sblockobjectsoftype.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-secrets-of-type-basic-auth   dryrun               0

NAME                                                                                   ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8snoenvvarsecrets.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-env-var-secrets   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spodsrequiresecuritycontext.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-securitycontext   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8sprohibitrolewildcardaccess.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-wildcards   dryrun               0

NAME                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspapparmor.constraints.gatekeeper.sh/cis-gke-v1.5.0-apparmor   dryrun               0

NAME                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspcapabilities.constraints.gatekeeper.sh/cis-gke-v1.5.0-capabilities   dryrun               0

NAME                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspforbiddensysctls.constraints.gatekeeper.sh/cis-gke-v1.5.0-sysctls   dryrun               0

NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostfilesystem.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostpath-volumes   dryrun               0

NAME                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnamespace.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-namespace   dryrun               0

NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spsphostnetworkingports.constraints.gatekeeper.sh/cis-gke-v1.5.0-host-port   dryrun               0

NAME                                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprivilegedcontainer.constraints.gatekeeper.sh/cis-gke-v1.5.0-privileged-containers   dryrun               0

NAME                                                                       ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspprocmount.constraints.gatekeeper.sh/cis-gke-v1.5.0-proc-mount-type   dryrun               0

NAME                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-seccomp-default   dryrun               0
k8spspseccomp.constraints.gatekeeper.sh/cis-gke-v1.5.0-seccomp                   dryrun               0

NAME                                                               ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspselinuxv2.constraints.gatekeeper.sh/cis-gke-v1.5.0-selinux   dryrun               0

NAME                                                                            ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8spspwindowshostprocess.constraints.gatekeeper.sh/cis-gke-v1.5.0-hostprocess   dryrun               0

NAME                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirebinauthz.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-binauthz   dryrun               0

NAME                                                                                     ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirecosnodeimage.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-cos-node-image   dryrun               0

NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-ingress.class-gce      dryrun               0
k8srequiredannotations.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-managed-certificates   dryrun               0

NAME                                                                                             ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequiredlabels.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-gke-metadata-server-enabled   dryrun               0

NAME                                                                                                          ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/cis-gke-v1.5.0-require-namespace-networkpolicy   dryrun               0

NAME                                                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-automountserviceaccounttoken   dryrun               0

NAME                                                                                        ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictnamespaces.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-default-namespace   dryrun               0

NAME                                                                                      ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrbacsubjects.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-rbac-subjects   dryrun               0

NAME                                                                                           ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrolebindings.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-cluster-admin-role   dryrun               0

NAME                                                                                                         ENFORCEMENT-ACTION   TOTAL-VIOLATIONS
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-bind-escalate-impersonate             dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-certificatesigningrequests-approval   dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-nodes-proxy                           dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-persistent-volume                     dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-pods-create                           dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-role-secrets                          dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-serviceaccounts-token                 dryrun               0
k8srestrictrolerules.constraints.gatekeeper.sh/cis-gke-v1.5.0-restrict-webhook-config                        dryrun               0

KPT

  1. Instala y configura kpt. kpt se usa en estas instrucciones para personalizar y desplegar recursos de Kubernetes.

  2. Descarga el paquete de políticas de CIS de GitHub con kpt:

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0

  3. Ejecuta la función set-enforcement-action kpt para definir la acción de aplicación de las políticas en dryrun:

    kpt fn eval cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \
  -- enforcementAction=dryrun

  4. Inicializa el directorio de trabajo con kpt, que crea un recurso para monitorizar los cambios:

    cd cis-gke-v1.5.0
kpt live init

  5. Aplica las restricciones de la política con kpt:

    kpt live apply

  6. Verifica que se hayan instalado las restricciones de la política y comprueba si hay infracciones en el clúster:

    kpt live status --output table --poll-until current

    El estado CURRENT confirma que las restricciones se han instalado correctamente.

Config Sync

  1. Instala y configura kpt. kpt se usa en estas instrucciones para personalizar y desplegar recursos de Kubernetes.

Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:

  1. Cambia al directorio de sincronización de Config Sync:

    cd SYNC_ROOT_DIR

    Para crear o añadir .gitignore con resourcegroup.yaml, sigue estos pasos: 

    echo resourcegroup.yaml >> .gitignore

  2. Crea un directorio policies específico:

    mkdir -p policies

  3. Descarga el paquete de políticas de CIS GKE v1.5.0 de GitHub con kpt:

    kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/cis-gke-v1.5.0 policies/cis-gke-v1.5.0

  4. Ejecuta la función set-enforcement-action kpt para definir la acción de aplicación de las políticas en dryrun:

    kpt fn eval policies/cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun

  5. (Opcional) Obtén una vista previa de las restricciones de la política que se van a crear:

    kpt live init policies/cis-gke-v1.5.0
kpt live apply --dry-run policies/cis-gke-v1.5.0

  6. Si el directorio de sincronización de Config Sync usa Kustomize, añade policies/cis-gke-v1.5.0 a tu raíz kustomization.yaml. De lo contrario, elimina el archivo policies/cis-gke-v1.5.0/kustomization.yaml:

    rm SYNC_ROOT_DIR/policies/cis-gke-v1.5.0/kustomization.yaml

  7. Envía los cambios al repositorio de Config Sync:

    git add SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Adding CIS GKE v1.5.0 policy bundle'
git push

  8. Verifica el estado de la instalación:

    watch gcloud beta container fleet config-management status --project PROJECT_ID

    El estado SYNCED confirma la instalación de las políticas.

Ver las infracciones de las políticas

Una vez que se hayan instalado las restricciones de la política en el modo de auditoría, las infracciones del clúster se podrán ver en la interfaz de usuario mediante el panel de control de Policy Controller.

También puedes usar kubectl para ver las infracciones del clúster con el siguiente comando:

kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'

Si hay infracciones, se puede ver una lista de los mensajes de infracción por restricción con:

kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'

Cambiar la acción de aplicación del paquete de políticas de CIS GKE v1.5.0

Una vez que hayas revisado las infracciones de las políticas en tu clúster, puedes cambiar el modo de aplicación para que el controlador de admisión warn se active o incluso deny bloquee la aplicación de recursos no conformes al clúster.

.

kubectl

  1. Usa kubectl para definir la acción de aplicación de las políticas como warn:

    kubectl get constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'

  2. Verifica que se haya actualizado la medida de implementación de las restricciones de la política:

    kubectl get constraints -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

KPT

  1. Ejecuta la función set-enforcement-action kpt para definir la acción de aplicación de las políticas en warn:

    kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  2. Aplica las restricciones de la política:

    kpt live apply

Config Sync

Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:

  1. Cambia al directorio de sincronización de Config Sync:

    cd SYNC_ROOT_DIR

  2. Ejecuta la función set-enforcement-action kpt para definir la acción de aplicación de las políticas en warn:

    kpt fn eval policies/cis-gke-v1.5.0 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn

  3. Envía los cambios al repositorio de Config Sync:

    git add SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Adding CIS GKE v1.5.0 policy bundle warn enforcement'
git push

  4. Verifica el estado de la instalación:

    nomos status

    El clúster debería mostrar el estado SYNCED con las políticas instaladas.

Probar la aplicación de las políticas

Crea un recurso no conforme en el clúster con el siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: wp-non-compliant
  labels:
    app: wordpress
spec:
  containers:
    - image: wordpress
      name: wordpress
      ports:
      - containerPort: 80
        name: wordpress
EOF

El controlador de admisión debe generar una advertencia en la que se enumeren las infracciones de la política que comete este recurso, como se muestra en el siguiente ejemplo:

Warning: [cis-gke-v1.5.0-restrict-default-namespace] <default> namespace is restricted
Warning: [cis-gke-v1.5.0-require-seccomp-default] Seccomp profile 'not configured' is not allowed for container 'wordpress'. Found at: no explicit profile found. Allowed profiles: {"RuntimeDefault", "runtime/default"}
Warning: [cis-gke-v1.5.0-require-securitycontext] securityContext must be defined for all Pod containers
pod/wp-non-compliant configured

Eliminar el paquete de políticas CIS GKE v1.5.0

Si es necesario, el paquete de políticas de CIS GKE v1.5.0 se puede quitar del clúster.

kubectl

Usa kubectl para eliminar las políticas:

  kubectl delete constraint -l policycontroller.gke.io/bundleName=cis-gke-v1.5.0

KPT

Elimina las políticas:

  kpt live destroy

Config Sync

Los operadores que usen Config Sync para implementar políticas en sus clústeres pueden seguir estas instrucciones:

  1. Envía los cambios al repositorio de Config Sync:

    git rm -r SYNC_ROOT_DIR/policies/cis-gke-v1.5.0
git commit -m 'Removing CIS GKE v1.5.0 policy bundle'
git push

  2. Verifica el estado:

    nomos status

    El clúster debería mostrar el estado SYNCED con los recursos eliminados.