Questa pagina descrive cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di policy disponibili.
Questa pagina è rivolta agli amministratori IT e agli operatori che vogliono assicurarsi che tutte le risorse in esecuzione nella piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per il controllo o l'applicazione. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente GKE comuni.
Informazioni sui bundle di Policy Controller
Puoi utilizzare Policy Controller per applicare singoli vincoli al cluster o scrivere policy personalizzate. Puoi anche utilizzare i bundle di policy, che ti consentono di controllare i cluster senza scrivere vincoli. I bundle di policy sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse dei cluster.
Puoi applicare i bundle di policy ai cluster esistenti per verificare se i carichi di lavoro sono conformi. Quando applichi un bundle di policy, il cluster viene controllato applicando i vincoli con il tipo di applicazione dryrun. Il tipo di applicazione dryrun ti consente di visualizzare le violazioni senza bloccare i carichi di lavoro. È inoltre consigliabile utilizzare solo le azioni di applicazione warn o dryrun sui cluster con carichi di lavoro di produzione, durante il test di nuovi vincoli o l'esecuzione di migrazioni come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta
Eseguire l'audit utilizzando i vincoli.
Ad esempio, un tipo di bundle di policy è il bundle CIS Kubernetes Benchmark, che può aiutarti a controllare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes al fine di supportare una solida strategia di sicurezza.
Bundle di Policy Controller disponibili
La tabella seguente elenca i bundle di policy disponibili. Seleziona il nome del bundle di policy per leggere la documentazione su come applicare il bundle, controllare le risorse e applicare le policy.
La colonna alias del bundle elenca il nome del bundle con un singolo token. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.
La colonna prima versione inclusa elenca la prima versione in cui il bundle è disponibile con Policy Controller. Se vuoi installare direttamente i bundle di policy, segui le istruzioni per applicare più bundle di policy. Se vuoi installare manualmente i bundle di policy, ad esempio se devi modificare un bundle di policy, segui le istruzioni collegate per il bundle specifico nella tabella.
| Nome e descrizione | Alias del bundle | Prima versione inclusa | Tipo | Include vincoli referenziali |
|---|---|---|---|---|
| Benchmark CIS GKE: controlla la conformità dei cluster rispetto al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| Benchmark CIS Kubernetes: controlla la conformità dei cluster rispetto al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| Benchmark CIS Kubernetes (anteprima): controlla la conformità dei cluster rispetto al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: Il bundle Costo e affidabilità aiuta ad adottare le best practice per l'esecuzione di cluster GKE efficienti in termini di costi senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): il bundle di policy MITRE aiuta a valutare la conformità delle risorse del cluster rispetto ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criteri di sicurezza dei pod: applica le protezioni in base ai criteri di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Baseline degli standard di sicurezza dei pod: Applica le protezioni in base alla policy di base degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Limitato degli standard di sicurezza dei pod: applica le protezioni in base alla policy limitata degli standard di sicurezza dei pod (PSS) di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: Controlla la conformità delle vulnerabilità di sicurezza e delle best practice di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53, Revisione 5 del NIST. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando policy di sicurezza e privacy predefinite. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Guida alla sicurezza dei container delle applicazioni. Il bundle è progettato per aiutare le organizzazioni a proteggere i container delle applicazioni, inclusi la sicurezza delle immagini, la sicurezza del runtime dei container, la sicurezza della rete e la sicurezza del sistema host, solo per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni in base alla guida NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (ritirato): applica le protezioni in base al Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0: applica le protezioni in base al Payment Card Industry Data Security Standard (PCI-DSS) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di singoli vincoli.
- Applica le best practice ai cluster.
- Segui un tutorial su come utilizzare i bundle di policy nella pipeline CI/CD per spostare a sinistra.