בדף הזה מוסבר מהם חבילות של Policy Controller ומוצגת סקירה כללית של חבילות המדיניות הזמינות.
הדף הזה מיועד לאדמינים ולמפעילים בתחום ה-IT שרוצים לוודא שכל המשאבים שפועלים בפלטפורמת הענן עומדים בדרישות התאימות של הארגון. כדי לעשות את זה, הם יכולים לספק ולתחזק אוטומציה לביקורת או לאכיפה. מידע נוסף על תפקידים נפוצים ועל דוגמאות למשימות שאנחנו מתייחסים אליהן בתוכן של Google Cloud , זמין במאמר תפקידים נפוצים של משתמשים ומשימות ב-GKE.
מידע על חבילות של Policy Controller
אפשר להשתמש ב-Policy Controller כדי להחיל אילוצים ספציפיים על האשכול או לכתוב מדיניות מותאמת אישית משלכם. אפשר גם להשתמש בחבילות של כללי מדיניות, שמאפשרות לבצע ביקורת על האשכולות בלי לכתוב אילוצים. חבילות מדיניות הן קבוצה של אילוצים שיכולים לעזור לכם ליישם שיטות מומלצות, לעמוד בתקנים בתעשייה או לפתור בעיות רגולטוריות במשאבי האשכול.
אתם יכולים להחיל חבילות מדיניות על האשכולות הקיימים כדי לבדוק אם עומסי העבודה שלכם תואמים. כשמחילים חבילת מדיניות, המערכת מבצעת ביקורת על האשכול על ידי החלת אילוצים עם dryrun סוג האכיפה. סוג האכיפה dryrun מאפשר לכם לראות הפרות בלי לחסום את עומסי העבודה. מומלץ גם להשתמש רק בפעולות האכיפה warn או dryrun באשכולות עם עומסי עבודה של ייצור, כשבודקים אילוצים חדשים או כשמבצעים העברות כמו שדרוג פלטפורמות. מידע נוסף על פעולות אכיפה זמין במאמר בנושא ביקורת באמצעות אילוצים.
לדוגמה, חבילת מדיניות מסוג אחד היא חבילת CIS Kubernetes Benchmark, שיכולה לעזור לכם לבצע ביקורת על משאבי האשכול בהשוואה ל-CIS Kubernetes Benchmark. ההשוואה הזו היא אוסף של המלצות להגדרת משאבי Kubernetes כדי לתמוך בתשתית חזקה לאבטחה.
חבילות זמינות של Policy Controller
בטבלה הבאה מפורטים חבילות המדיניות הזמינות. בוחרים את השם של חבילת המדיניות כדי לקרוא את המסמכים בנושא החלת החבילה, ביקורת משאבים ואכיפת מדיניות.
בעמודה bundle alias (כינוי לחבילה) מופיע השם של החבילה, שמורכב מטוקן יחיד. הערך הזה נדרש כדי להחיל חבילה באמצעות פקודות של Google Cloud CLI.
בעמודה earliest included version (הגרסה המוקדמת ביותר שכלולה) מופיעה הגרסה המוקדמת ביותר שבה חבילת הכללים זמינה ב-Policy Controller. אם רוצים להתקין חבילות מדיניות ישירות, צריך לפעול לפי ההוראות להחלת כמה חבילות מדיניות. אם רוצים להתקין חבילות מדיניות באופן ידני, למשל אם צריך לשנות חבילת מדיניות, פועלים לפי ההוראות המקושרות לחבילה הספציפית בטבלה.
| שם ותיאור | כינוי לחבילה | הגרסה המוקדמת ביותר שכלולה | סוג | כולל אילוצים של הפניות |
|---|---|---|---|---|
| CIS GKE Benchmark: ביקורת התאימות של האשכולות שלכם בהשוואה ל-CIS GKE Benchmark v1.5, קבוצה של אמצעי בקרה מומלצים לאבטחה להגדרת Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | תקן Kubernetes | כן |
| CIS Kubernetes Benchmark: בדיקת התאימות של האשכולים שלכם ל-CIS Kubernetes Benchmark v1.5, קבוצת המלצות להגדרת Kubernetes כדי לתמוך במצב אבטחה חזק. | cis-k8s-v1.5.1 |
1.15.2 | תקן Kubernetes | כן |
| CIS Kubernetes Benchmark (גרסת Preview): בדיקת התאימות של האשכולות שלכם ל-CIS Kubernetes Benchmark v1.7, קבוצה של המלצות להגדרת Kubernetes כדי לתמוך בתשתית חזקה לאבטחה. | cis-k8s-v1.7.1 |
לא זמין | תקן Kubernetes | כן |
| עלות ואמינות: חבילת Cost and Reliability (עלות ואמינות) עוזרת להטמיע שיטות מומלצות להרצה של אשכולות GKE חסכוניים בלי לפגוע בביצועים או באמינות של עומסי העבודה. | cost-reliability-v2023 |
1.16.1 | שיטות מומלצות | כן |
| MITRE (גרסת Preview): חבילת המדיניות MITRE עוזרת להעריך את התאימות של משאבי האשכול שלכם לחלק מההיבטים של מאגר הידע MITRE של טקטיקות ושיטות של יריבים על סמך תצפיות מהעולם האמיתי. | mitre-v2024 |
לא זמין | מקובל בתחום | כן |
| מדיניות אבטחת Pod (PSP): החלת אמצעי הגנה על סמך מדיניות אבטחת ה-Pod ב-Kubernetes. | psp-v2022 |
1.15.2 | תקן Kubernetes | לא |
| Pod Security Standards Baseline: החלת הגנות שמבוססות על מדיניות הבסיס של Kubernetes Pod Security Standards (PSS). | pss-baseline-v2022 |
1.15.2 | תקן Kubernetes | לא |
| Pod Security Standards Restricted: החלת הגנות שמבוססות על מדיניות מוגבלת של תקני האבטחה של pod ב-Kubernetes (PSS). | pss-restricted-v2022 |
1.15.2 | תקן Kubernetes | לא |
| אבטחה ב-Cloud Service Mesh: ביקורת על התאימות של פגיעויות האבטחה ושיטות מומלצות ב-Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | שיטות מומלצות | כן |
| היבטים חשובים במדיניות: הקפידו לפעול לפי השיטות המומלצות לניהול משאבים באשכול. | policy-essentials-v2022 |
1.14.1 | שיטות מומלצות | לא |
| NIST SP 800-53 Rev. 5: חבילת NIST SP 800-53 Rev. 5 מיישמת אמצעי בקרה שמפורטים בפרסום המיוחד (SP) של NIST 800-53, גרסה 5. החבילה יכולה לעזור לארגונים להגן על המערכות והנתונים שלהם מפני מגוון איומים באמצעות הטמעה של מדיניות אבטחה ופרטיות מוכנה מראש. | nist-sp-800-53-r5 |
1.16.0 | מקובל בתחום | כן |
| NIST SP 800-190: חבילת NIST SP 800-190 מיישמת אמצעי בקרה שמופיעים בפרסום המיוחד (SP) של NIST 800-190, מדריך אבטחת קונטיינרים של אפליקציות. החבילה נועדה לעזור לארגונים באבטחת קונטיינרים של אפליקציות, כולל אבטחת תמונות, אבטחת זמן ריצה של קונטיינרים, אבטחת רשת ואבטחת מערכת מארחת, בין היתר. | nist-sp-800-190 |
1.16.0 | מקובל בתחום | כן |
| מדריך לאבטחת Kubernetes של NSA CISA, גרסה 1.2: החלת אמצעי הגנה על סמך מדריך לאבטחת Kubernetes של NSA CISA, גרסה 1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | מקובל בתחום | כן |
| PCI-DSS v3.2.1 (הוצא משימוש): החלת אמצעי הגנה שמבוססים על תקן אבטחת הנתונים בתעשיית כרטיסי התשלום (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 או pci-dss-v3.2.1-extended |
1.15.2 | מקובל בתחום | כן |
| PCI-DSS v4.0: החלת אמצעי הגנה על סמך תקן אבטחת המידע בתחום כרטיסי התשלום (PCI-DSS) v4.0. | pci-dss-v4.0 |
לא זמין | מקובל בתחום | כן |
המאמרים הבאים
- מידע נוסף על הגבלות נפרדות
- יישום שיטות מומלצות באשכולות.
- מומלץ לעיין במדריך בנושא שימוש בחבילות מדיניות בצינור עיבוד הנתונים של CI/CD כדי להקדים את הבדיקות.