Halaman ini menjelaskan apa yang dimaksud dengan paket Pengontrol Kebijakan dan memberikan ringkasan paket kebijakan yang tersedia.
Halaman ini ditujukan untuk administrator dan Operator TI yang ingin memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan mempertahankan otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam Google Cloud konten, lihat Peran dan tugas pengguna GKE umum.
Tentang paket Pengontrol Kebijakan
Anda dapat menggunakan Pengontrol Kebijakan untuk menerapkan batasan individual ke cluster atau menulis kebijakan kustom Anda sendiri. Anda juga dapat menggunakan paket kebijakan, yang memungkinkan Anda mengaudit cluster tanpa menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar industri, atau memecahkan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa apakah workload Anda mematuhi kebijakan. Saat Anda menerapkan paket kebijakan, paket tersebut akan mengaudit cluster Anda dengan menerapkan batasan dengan jenis penerapan dryrun. Jenis penerapan dryrun memungkinkan Anda melihat pelanggaran tanpa memblokir workload. Sebaiknya, hanya tindakan penerapan warn atau dryrun yang digunakan pada cluster dengan workload produksi, saat menguji batasan baru, atau melakukan migrasi seperti mengupgrade platform. Untuk mengetahui informasi selengkapnya tentang tindakan penerapan, lihat
Mengaudit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket CIS Kubernetes Benchmark, yang dapat membantu mengaudit resource cluster Anda terhadap CIS Kubernetes Benchmark. Tolok ukur ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes guna mendukung postur keamanan yang kuat.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, mengaudit resource, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama paket satu token. Nilai ini diperlukan untuk menerapkan paket dengan perintah Google Cloud CLI.
Kolom versi paling awal yang disertakan mencantumkan versi paling awal yang tersedia dengan Pengontrol Kebijakan. Jika ingin menginstal paket kebijakan secara langsung, ikuti petunjuk untuk menerapkan beberapa paket kebijakan. Jika ingin menginstal paket kebijakan secara manual, misalnya jika Anda perlu mengubah paket kebijakan, ikuti petunjuk tertaut untuk paket tertentu di tabel.
| Nama dan deskripsi | Alias paket | Versi paling awal yang disertakan | Jenis | Menyertakan batasan referensial |
|---|---|---|---|---|
| CIS GKE Benchmark: Audit kepatuhan cluster Anda terhadap CIS GKE Benchmark v1.5, serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark: Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.5, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark (Pratinjau): Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.7, serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu menerapkan praktik terbaik untuk menjalankan cluster GKE yang hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek pusat informasi MITRE tentang taktik dan teknik penyerang berdasarkan observasi dunia nyata. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Terapkan perlindungan berdasarkan Kebijakan Keamanan Pod (PSP) Kubernetes. | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar Pengukuran Standar Keamanan Pod: Terapkan perlindungan berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod (PSS) Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Standar Keamanan Pod Terbatas: Terapkan perlindungan berdasarkan kebijakan Standar Keamanan Pod (PSS) Terbatas Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Cloud Service Mesh: Audit kepatuhan kerentanan keamanan dan praktik terbaik Cloud Service Mesh Anda. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Terapkan praktik terbaik ke resource cluster Anda. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-53, Revisi 5. Paket ini dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan kebijakan keamanan dan privasi siap pakai. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-190, Panduan Keamanan Container Aplikasi. Paket ini dimaksudkan untuk membantu organisasi dalam keamanan container aplikasi, termasuk keamanan image, container keamanan runtime, keamanan jaringan, dan keamanan sistem host. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| NSA CISA Kubernetes Hardening Guide v1.2: Terapkan perlindungan berdasarkan NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1 (Tidak Digunakan Lagi): Terapkan perlindungan berdasarkan Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0: Terapkan perlindungan berdasarkan Payment Card Industry Data Security Standard (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah berikutnya
- Pelajari lebih lanjut cara menerapkan batasan satu per satu.
- Terapkan praktik terbaik ke cluster Anda.
- Ikuti tutorial tentang menggunakan paket kebijakan di pipeline CI/CD untuk pengujian shift left.