Halaman ini menjelaskan apa yang dimaksud dengan paket Pengontrol Kebijakan dan memberikan ringkasan tentang paket kebijakan yang tersedia.
Anda dapat menggunakan Pengontrol Kebijakan untuk menerapkan batasan individual ke cluster Anda atau menulis kebijakan kustom Anda sendiri. Anda juga dapat menggunakan paket kebijakan yang memungkinkan Anda mengaudit cluster tanpa perlu menulis batasan apa pun. Paket kebijakan adalah sekelompok batasan yang dapat membantu menerapkan praktik terbaik, memenuhi standar industri, atau menyelesaikan masalah peraturan di seluruh resource cluster Anda.
Anda dapat menerapkan paket kebijakan ke cluster yang ada untuk memeriksa apakah workload Anda mematuhi kebijakan. Saat diterapkan, paket kebijakan akan mengaudit cluster Anda dengan menerapkan batasan menggunakan jenis penerapan dryrun. Jenis penegakan dryrun
memungkinkan Anda melihat pelanggaran tanpa memblokir workload Anda. Sebaiknya
hanya tindakan penerapan warn atau dryrun yang digunakan di cluster dengan
beban kerja produksi, saat menguji batasan baru, atau melakukan migrasi
seperti mengupgrade platform. Untuk informasi selengkapnya tentang tindakan penerapan, lihat
Mengaudit menggunakan batasan.
Misalnya, salah satu jenis paket kebijakan adalah paket Benchmark Kubernetes CIS, yang dapat membantu mengaudit resource cluster Anda terhadap Tolok Ukur Kubernetes CIS. Tolok ukur ini adalah serangkaian rekomendasi untuk mengonfigurasi resource Kubernetes guna mendukung postur keamanan yang kuat.
Paket kebijakan dibuat dan dikelola oleh Google. Anda dapat melihat detail selengkapnya tentang cakupan kebijakan, termasuk cakupan per paket, di dasbor Pengontrol Kebijakan.
Paket kebijakan disertakan dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Paket Pengontrol Kebijakan yang tersedia
Tabel berikut mencantumkan paket kebijakan yang tersedia. Pilih nama paket kebijakan untuk membaca dokumentasi tentang cara menerapkan paket, mengaudit resource, dan menerapkan kebijakan.
Kolom alias paket mencantumkan nama token tunggal paket. Nilai ini diperlukan untuk menerapkan paket dengan perintah Google Cloud CLI.
Kolom versi yang disertakan paling awal mencantumkan versi paling awal yang tersedia paket tersebut dengan Pengontrol Kebijakan. Artinya, Anda dapat menginstal paket tersebut secara langsung. Pada versi Pengontrol Kebijakan apa pun, Anda tetap dapat menginstal paket apa pun yang tersedia dengan mengikuti petunjuk yang ditautkan dalam tabel.
| Nama dan deskripsi | Alias paket | Versi yang disertakan paling awal | Jenis | Mencakup batasan referensial |
|---|---|---|---|---|
| CIS GKE Benchmark: Audit kepatuhan cluster Anda terhadap CIS GKE Benchmark v1.5, serangkaian kontrol keamanan yang direkomendasikan untuk mengonfigurasi Google Kubernetes Engine (GKE). | cis-gke-v1.5.0 |
1.18.0 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark: Audit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.5, yang merupakan serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.5.1 |
1.15.2 | Standar Kubernetes | Ya |
| CIS Kubernetes Benchmark (Pratinjau): Mengaudit kepatuhan cluster Anda terhadap CIS Kubernetes Benchmark v1.7, yakni serangkaian rekomendasi untuk mengonfigurasi Kubernetes guna mendukung postur keamanan yang kuat. | cis-k8s-v1.7.1 |
tidak tersedia | Standar Kubernetes | Ya |
| Biaya dan Keandalan: Paket Biaya dan Keandalan membantu menerapkan praktik terbaik untuk menjalankan cluster GKE yang hemat biaya tanpa mengorbankan performa atau keandalan workload. | cost-reliability-v2023 |
1.16.1 | Praktik terbaik | Ya |
| MITRE (Pratinjau): Paket kebijakan MITRE membantu mengevaluasi kepatuhan resource cluster Anda terhadap beberapa aspek pusat informasi MITRE terkait taktik dan teknik penyerang berdasarkan observasi dunia nyata. | mitre-v2024 |
tidak tersedia | Standar industri | Ya |
| Kebijakan Keamanan Pod: Menerapkan perlindungan berdasarkan Kebijakan Keamanan Pod (PSP) Kubernetes. | psp-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Dasar Pengukuran Standar Keamanan Pod: Menerapkan perlindungan berdasarkan kebijakan Dasar Pengukuran Standar Keamanan Pod Kubernetes. | pss-baseline-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Standar Keamanan Pod Dibatasi: Menerapkan perlindungan berdasarkan kebijakan Dibatasi Standar Keamanan Pod (PSS) Kubernetes. | pss-restricted-v2022 |
1.15.2 | Standar Kubernetes | Tidak |
| Keamanan Cloud Service Mesh: Audit kepatuhan praktik terbaik dan kerentanan keamanan Cloud Service Mesh Anda. | asm-policy-v0.0.1 |
1.15.2 | Praktik terbaik | Ya |
| Dasar-Dasar Kebijakan: Terapkan praktik terbaik ke resource cluster Anda. | policy-essentials-v2022 |
1.14.1 | Praktik terbaik | Tidak |
| NIST SP 800-53 Rev. 5: Paket NIST SP 800-53 Rev. 5 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-53, Revisi 5. Paket ini dapat membantu organisasi melindungi sistem dan data mereka dari berbagai ancaman dengan menerapkan kebijakan privasi dan keamanan yang siap pakai. | nist-sp-800-53-r5 |
1.16.0 | Standar industri | Ya |
| NIST SP 800-190: Paket NIST SP 800-190 menerapkan kontrol yang tercantum dalam NIST Special Publication (SP) 800-190, Application Container Security Guide. Paket ini ditujukan untuk membantu organisasi terkait keamanan container aplikasi, termasuk di antaranya keamanan image, keamanan runtime container, keamanan jaringan, dan keamanan sistem host. | nist-sp-800-190 |
1.16.0 | Standar industri | Ya |
| NSA CISA Kubernetes Hardening Guide v1.2: Menerapkan perlindungan berdasarkan NSA CISA Kubernetes Hardening Guide v1.2. | nsa-cisa-k8s-v1.2 |
1.16.0 | Standar industri | Ya |
| PCI-DSS v3.2.1 (Tidak digunakan lagi): Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v3.2.1. | pci-dss-v3.2.1 atau pci-dss-v3.2.1-extended |
1.15.2 | Standar industri | Ya |
| PCI-DSS v4.0: Menerapkan perlindungan berdasarkan Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) v4.0. | pci-dss-v4.0 |
tidak tersedia | Standar industri | Ya |
Langkah selanjutnya
- Pelajari lebih lanjut cara menerapkan batasan individual.
- Terapkan praktik terbaik ke cluster Anda.
- Ikuti tutorial tentang cara menggunakan paket kebijakan di pipeline CI/CD untuk beralih ke kiri.