Questa pagina descrive che cosa sono i bundle di Policy Controller e fornisce una panoramica dei bundle di criteri disponibili.
Questa pagina è rivolta ad amministratori e operatori IT che vogliono assicurarsi che tutte le risorse in esecuzione all'interno della piattaforma cloud soddisfino i requisiti di conformità dell'organizzazione fornendo e mantenendo l'automazione per eseguire controlli o applicare le norme. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei Google Cloud contenuti, consulta Ruoli e attività utente comuni di GKE Enterprise.
Informazioni sui bundle di Policy Controller
Puoi utilizzare Policy Controller per applicare singoli vincoli al tuo cluster o scrivere i tuoi criteri personalizzati. Puoi anche utilizzare i bundle di criteri, che ti consentono di eseguire il controllo dei cluster senza scrivere vincoli. I bundle di criteri sono un gruppo di vincoli che possono aiutarti ad applicare le best practice, a soddisfare gli standard di settore o a risolvere i problemi normativi nelle risorse del tuo cluster.
Puoi applicare bundle di criteri ai tuoi cluster esistenti per verificare se i tuoi workload sono conformi. Quando applichi un bundle di norme, il cluster viene sottoposto a controllo applicando vincoli con il dryrun tipo di applicazione. Il dryrun tipo di applicazione
ti consente di vedere le violazioni senza bloccare i carichi di lavoro. Inoltre, è consigliabile
utilizzare solo le azioni di applicazione warn o dryrun sui cluster con
workload di produzione, quando si testano nuovi vincoli o si eseguono migrazioni
come l'upgrade delle piattaforme. Per ulteriori informazioni sulle azioni di applicazione, consulta
Controllo mediante vincoli.
Ad esempio, un tipo di bundle di criteri è il bundle CIS Kubernetes Benchmark, che può aiutarti a verificare le risorse del cluster rispetto al benchmark CIS Kubernetes. Questo benchmark è un insieme di consigli per configurare le risorse Kubernetes al fine di supportare una solida strategia di sicurezza.
Bundle di Policy Controller disponibili
La tabella seguente elenca i pacchetti di criteri disponibili. Seleziona il nome del bundle di norme per leggere la documentazione su come applicare il bundle, eseguire la revisione delle risorse e applicare le norme.
La colonna alias bundle elenca il nome del token singolo del bundle. Questo valore è necessario per applicare un bundle con i comandi Google Cloud CLI.
La colonna Versione inclusa precedente elenca la versione precedente del bundle disponibile con Policy Controller. Se vuoi installare direttamente i pacchetti di criteri, segui le istruzioni per applicare più pacchetti di criteri. Se vuoi installare i bundle di criteri manualmente, ad esempio se devi modificarne uno, segui le istruzioni collegate per quel determinato bundle nella tabella.
| Nome e descrizione | Alias del set | Versione inclusa più antica | Tipo | Sono inclusi i vincoli referenziali |
|---|---|---|---|---|
| Benchmark CIS GKE: verifica la conformità dei tuoi cluster al benchmark CIS GKE v1.5, un insieme di controlli di sicurezza consigliati per la configurazione di Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark: verifica la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.5, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.5.1 |
1.15.2 | Standard Kubernetes | Sì |
| CIS Kubernetes Benchmark (anteprima): controlla la conformità dei tuoi cluster al benchmark CIS Kubernetes v1.7, un insieme di consigli per configurare Kubernetes al fine di supportare una solida strategia di sicurezza. | cis-k8s-v1.7.1 |
non disponibile | Standard Kubernetes | Sì |
| Costo e affidabilità: il bundle Costo e affidabilità consente di adottare le best practice per eseguire cluster GKE economicamente convenienti senza compromettere le prestazioni o l'affidabilità dei carichi di lavoro. | cost-reliability-v2023 |
1.16.1 | Best practice | Sì |
| MITRE (anteprima): il bundle di norme MITRE consente di valutare la conformità delle risorse del cluster rispetto ad alcuni aspetti della knowledge base MITRE di tattiche e tecniche utilizzate da utenti malintenzionati basate su osservazioni del mondo reale. | mitre-v2024 |
non disponibile | Standard di settore | Sì |
| Criterio di sicurezza dei pod: applica le protezioni in base al criterio di sicurezza dei pod (PSP) di Kubernetes. | psp-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Baseline: applica le protezioni in base al criterio Baseline degli standard di sicurezza dei pod di Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standard Kubernetes | No |
| Standard di sicurezza dei pod - Restricted: applica le protezioni in base al criterio Restricted degli standard di sicurezza dei pod di Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standard Kubernetes | No |
| Sicurezza di Cloud Service Mesh: verifica la conformità delle vulnerabilità e delle best practice per la sicurezza di Cloud Service Mesh. | asm-policy-v0.0.1 |
1.15.2 | Best practice | Sì |
| Policy Essentials: applica le best practice alle risorse del cluster. | policy-essentials-v2022 |
1.14.1 | Best practice | No |
| NIST SP 800-53 Rev. 5: Il bundle NIST SP 800-53 Rev. 5 implementa i controlli elencati nella pubblicazione speciale (SP) 800-53 del NIST, revisione 5. Il bundle può aiutare le organizzazioni a proteggere i propri sistemi e dati da una serie di minacce implementando criteri di sicurezza e privacy pronti all'uso. | nist-sp-800-53-r5 |
1.16.0 | Standard di settore | Sì |
| NIST SP 800-190: il bundle NIST SP 800-190 implementa i controlli elencati nella pubblicazione speciale (SP) 800-190 del NIST, Application Container Security Guide. Il bundle è progettato per aiutare le organizzazioni con la sicurezza dei contenitori delle applicazioni, tra cui la sicurezza delle immagini, la sicurezza di runtime dei contenitori, la sicurezza di rete e la sicurezza del sistema host, per citarne alcuni. | nist-sp-800-190 |
1.16.0 | Standard di settore | Sì |
| NSA CISA Kubernetes Hardening Guide v1.2: applica le protezioni in base alla NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standard di settore | Sì |
| PCI-DSS v3.2.1 (non più supportato): applica le protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v3.2.1. | pci-dss-v3.2.1 o pci-dss-v3.2.1-extended |
1.15.2 | Standard di settore | Sì |
| PCI-DSS v4.0: applica le protezioni in base allo standard PCI-DSS (Payment Card Industry Data Security Standard) v4.0. | pci-dss-v4.0 |
non disponibile | Standard di settore | Sì |
Passaggi successivi
- Scopri di più sull'applicazione di vincoli individuali.
- Applica le best practice ai tuoi cluster.
- Guarda un tutorial sull'utilizzo dei bundle di criteri nella pipeline CI/CD per eseguire lo shift left.