Auf dieser Seite wird erläutert, was Policy Controller ist und wie Sie damit dafür sorgen können, dass Ihre Kubernetes-Cluster und -Arbeitslasten sicher und konform ausgeführt werden.
Diese Seite richtet sich an IT-Administratoren, Betreiber und Sicherheitsexperten, die IT-Lösungen und Systemarchitekturen gemäß der Unternehmensstrategie definieren und dafür sorgen, dass alle auf der Cloud-Plattform ausgeführten Ressourcen die Compliance-Anforderungen des Unternehmens erfüllen, indem sie Automatisierungsfunktionen zur Prüfung oder Durchsetzung bereitstellen und aufrechterhalten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud -Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und ‑Aufgaben.
Mit Policy Controller können Sie programmierbare Richtlinien für Ihre Kubernetes-Cluster anwenden und erzwingen. Richtlinien dienen als Schutzmaßnahmen und können Sie beim Verwalten von Best Practices, der Sicherheit und der Compliance in Ihren Clustern und Ihrer Flotte unterstützen. Policy Controller basiert auf dem Open-Source-Projekt Open Policy Agent Gatekeeper und ist vollständig in Google Cloudintegriert. Es enthält ein integriertes Dashboard für die Beobachtbarkeit und eine vollständige Bibliothek mit vordefinierten Richtlinien für allgemeine Sicherheits- und Compliance-Kontrollen.
Vorteile von Policy Controller
- Eingebunden in Google Cloud: Plattformadministratoren können Policy Controller über die Google Cloud Console, mit Terraform oder mit der Google Cloud CLI auf jedem mit Ihrer Flotte verbundenen Cluster installieren. Policy Controller funktioniert mit anderenGoogle Cloud -Diensten wie Config Sync, Messwerten und Cloud Monitoring.
- Unterstützt mehrere Erzwingungspunkte: Neben der Audit- und Zugangssteuerung für Ihren Cluster kann Policy Controller optional einen Shift-Left-Ansatz aktivieren, um nicht konforme Änderungen vor der Anwendung zu analysieren und abzufangen.
- Vordefinierte Richtlinienpakete: Policy Controller bietet eine umfassende Bibliothek vordefinierter Richtlinien für allgemeine Sicherheits- und Compliance-Einstellungen. Dazu gehören sowohl Richtlinien-Bundles als auch die Bibliothek mit Einschränkungsvorlagen.
- Unterstützung benutzerdefinierter Richtlinien: Wenn eine Richtlinienanpassung erforderlich ist, die über die Bibliothek mit Einschränkungsvorlagen hinausgeht, unterstützt Policy Controller zusätzlich die Entwicklung benutzerdefinierter Einschränkungsvorlagen.
- Integrierte Beobachtbarkeit: Policy Controller enthält ein Google Cloud Konsolen-Dashboard, das einen Überblick über den Status aller Richtlinien bietet, die auf Ihre Flotte angewendet werden (einschließlich nicht registrierter Cluster). Auf dem Dashboard sehen Sie den Compliance- und Erzwingungsstatus, sodass Sie Fehler leichter beheben können. Außerdem erhalten Sie dort fundierte Empfehlungen zum Beheben von Verstößen.
Richtlinien-Bundles
Mit Richtlinienpaketen können Sie eine Reihe von Einschränkungen anwenden, die unter einem bestimmten Kubernetes-Standard-, Sicherheits- oder Compliance-Thema gruppiert sind. Sie können beispielsweise die folgenden Richtlinienpakete verwenden:
- Sie können viele der gleichen Anforderungen erzwingen wie PodSecurityPolicies, haben aber zusätzlich die Möglichkeit, Ihre Konfiguration zu prüfen, bevor sie diese erzwingen. So stellen Sie sicher, dass die Ausführung von Arbeitslasten nicht durch Richtlinienänderungen unterbrochen wird.
- Verwenden Sie mit Cloud Service Mesh kompatible Einschränkungen, um die Compliance Ihrer Best Practices bezüglich Sicherheitslücken von Mesh-Netzwerken zu prüfen.
- Allgemeine Best Practices auf Ihre Clusterressourcen anwenden, um Ihren Sicherheitsstatus zu verbessern.
Übersicht über Policy Controller-Bundles enthält weitere Details und eine Liste der derzeit verfügbaren Richtlinien-Bundles.
Einschränkungen
Policy Controller erzwingt die Compliance Ihrer Cluster mithilfe von Objekten, die als Einschränkungen bezeichnet werden. Sie können sich Einschränkungen als die „Bausteine“ von Richtlinien vorstellen. Jede Einschränkung definiert eine bestimmte Änderung an der Kubernetes API, die für den Cluster, auf den sie angewendet wird, zulässig oder unzulässig ist. Sie können Richtlinien festlegen, um nicht konforme API-Anfragen aktiv zu blockieren oder die Konfiguration Ihrer Cluster zu prüfen und Verstöße zu melden. In beiden Fällen können Sie Warnmeldungen mit Details zum Verstoß in einem Cluster aufrufen. Mithilfe dieser Informationen können Sie Probleme beheben. Sie können beispielsweise die folgenden einzelnen Einschränkungen verwenden:
- Jeder Namespace muss mindestens ein Label haben. Mit dieser Einschränkung kann der genaue Ressourcenverbrauch beispielsweise bei Verwendung der GKE-Nutzungsmessung ermittelt werden.
- Beschränkung der Repositories, aus denen ein bestimmtes Container-Image abgerufen werden kann. Diese Einschränkung sorgt dafür, dass jeder Versuch, Container aus unbekannten Quellen abzurufen, verweigert wird. Damit wird verhindert, dass Ihre Cluster potenziell schädliche Software ausführen.
- Steuern, ob ein Container im privilegierten Modus ausgeführt werden kann Mit dieser Einschränkung wird gesteuert, ob ein Container den privilegierten Modus aktivieren kann. So können Sie festlegen, welche Container (falls überhaupt) mit uneingeschränkter Richtlinie ausgeführt werden können.
Dies sind nur einige der Einschränkungen, die in der Einschränkungsvorlagenbibliothek bereitgestellt werden, die in Policy Controller enthalten ist. Diese Bibliothek enthält zahlreiche Richtlinien, mit denen Sie Best Practices erzwingen und Risiken begrenzen können. Wenn Sie mehr Anpassungen benötigen, als in der Bibliothek mit Einschränkungsvorlagen verfügbar sind, können Sie auch benutzerdefinierte Einschränkungsvorlagen erstellen.
Einschränkungen können mithilfe der Kubernetes API direkt auf Ihre Cluster angewendet oder mithilfe von Config Sync von einer zentralen Quelle wie einem Git-Repository auf eine Reihe von Clustern verteilt werden.
Nächste Schritte
- Policy Controller installieren
- Weitere Informationen zu Richtlinienpaketen
- Richtlinien-Bundles anwenden