En esta página, se explica qué es Policy Controller y cómo puedes usarlo para garantizar que tus clústeres y cargas de trabajo de Kubernetes se ejecuten de forma segura y que satisfagan las normativas.
Esta página está destinada a administradores de TI, operadores y especialistas en seguridad que definen soluciones de TI y arquitectura de sistema de acuerdo con la estrategia de la empresa, y se aseguran de que todos los recursos que se ejecutan dentro de la plataforma en la nube cumplan con los requisitos de cumplimiento de la organización. Para ello, deben proporcionar y mantener la automatización para auditar o aplicar el cumplimiento. Para obtener más información sobre los roles comunes y las tareas de ejemplo a las que hacemos referencia en el contenido de Google Cloud , consulta Roles y tareas comunes de los usuarios de GKE.
Policy Controller permite la aplicación de políticas programables para tus clústeres de Kubernetes. Estas políticas actúan como protecciones y pueden ayudarte con las prácticas recomendadas, la seguridad y la administración del cumplimiento de tus clústeres y tu flota. Basado en el proyecto de código abierto Open Policy Agent Gatekeeper, Policy Controller está completamente integrado en Google Cloud, incluye un panel integrado para la observabilidad y viene con una biblioteca completa de políticas prediseñadas para controles comunes de seguridad y cumplimiento.
Beneficios de Policy Controller
- Integrado con Google Cloud: Los administradores de la plataforma pueden instalar Policy Controller con la Google Cloud consola, Terraform o Google Cloud CLI en cualquier clúster conectado a tu flota. Policy Controller funciona con otrosGoogle Cloud servicios, como Config Sync, métricas y Cloud Monitoring.
- Admite varios puntos de aplicación: Además del control de admisión y la auditoría para tu clúster, Policy Controller puede habilitar de forma opcional un enfoque de desplazamiento hacia la izquierda para analizar y detectar los cambios que no cumplen con las políticas antes de la aplicación.
- Paquetes de políticas prediseñadas: Policy Controller incluye una biblioteca completa de políticas prediseñadas para controles comunes de seguridad y cumplimiento. Estos incluyen tanto los paquetes de políticas como la biblioteca de plantillas de restricciones.
- Admite políticas personalizadas: Si se requiere la personalización de políticas más allá de lo que está disponible con la biblioteca de plantillas de restricciones, Policy Controller también admite el desarrollo de plantillas de restricciones personalizadas.
- Observabilidad integrada: Policy Controller incluye un Google Cloud panel de la consola que proporciona una descripción general del estado de todas las políticas aplicadas a tu flota (incluidos los clústeres no registrados). En el panel, consulta el estado de cumplimiento y aplicación de políticas para ayudarte a solucionar problemas y obtener recomendaciones bien definidas que te permitan resolver incumplimientos de políticas.
Paquetes de políticas
Puedes usar paquetes de políticas para aplicar una cantidad de restricciones agrupadas en un tema específico de estándares, seguridad o cumplimiento de Kubernetes. Por ejemplo, puedes usar los siguientes paquetes de políticas:
- Aplica varios requisitos iguales a los de PodSecurityPolicies, pero con la capacidad adicional de auditar tu configuración antes de forzarla, lo que garantiza que cualquier cambio en la política no sea perjudicial para ejecutar cargas de trabajo.
- Usa restricciones compatibles con Cloud Service Mesh para auditar el cumplimiento de las vulnerabilidades de seguridad de tu malla y las prácticas recomendadas.
- Aplica prácticas recomendadas generales a los recursos de tu clúster para fortalecer tu posición de seguridad.
En la descripción general de los paquetes de Policy Controller , se proporcionan más detalles y una lista de los paquetes de políticas disponibles actualmente.
Limitaciones
Policy Controller aplica el cumplimiento de los clústeres con objetos llamados restricciones. Puedes considerar las restricciones como los "componentes básicos" de la política. Cada restricción define un cambio específico en la API de Kubernetes que se permite o prohíbe en el clúster en el que se aplica. Puedes establecer políticas para bloquear de forma activa las solicitudes a la API que no cumplen con los requisitos o auditar la configuración de tus clústeres y denunciar las infracciones. En cualquier caso, puedes ver mensajes de advertencia con detalles sobre el incumplimiento que se produjo en un clúster. Con esa información, puedes solucionar problemas. Por ejemplo, puedes usar las siguientes restricciones individuales:
- Exigir que cada espacio de nombres tenga al menos una etiqueta. Esta restricción se puede usar para garantizar un seguimiento preciso del consumo de recursos cuando se usa la medición de uso de GKE, por ejemplo.
- Restringir los repositorios desde los que se puede extraer una imagen de contenedor determinada. Esta restricción garantiza que se deniegue cualquier intento de extraer contenedores de fuentes desconocidas y protege los clústeres de la ejecución de software potencialmente malicioso.
- Controla si un contenedor puede ejecutarse en modo privilegiado. Esta restricción controla la capacidad de cualquier contenedor para habilitar el modo privilegiado, lo que te permite controlar qué contenedores (si los hay) pueden ejecutarse con una política sin restricciones.
Estas son solo algunas de las restricciones que se proporcionan en la biblioteca de plantillas de restricciones incluida en Policy Controller. Esta biblioteca contiene numerosas políticas que puedes usar para aplicar las prácticas recomendadas y limitar el riesgo. Si necesitas más personalización de la que está disponible en la biblioteca de plantillas de restricciones, también puedes crear plantillas de restricciones personalizadas.
Las restricciones se pueden aplicar directamente a tus clústeres con la API de Kubernetes, o pueden distribuirse a un conjunto de clústeres desde una fuente centralizada, como un repositorio de Git, con el Sincronizador de configuración.
¿Qué sigue?
- Instala un controlador de políticas.
- Obtén más información sobre los paquetes de políticas.
- Aplica paquetes de políticas