本页面介绍了什么是政策控制器包,并简要介绍了可用的政策包。
本页面适用于想要提供并维护自动化以进行审核或强制执行,从而确保云平台中运行的所有资源满足组织合规性要求的 IT 管理员和运维人员。如需详细了解我们在 Google Cloud 内容中提及的常见角色和示例任务,请参阅常见的 GKE 用户角色和任务。
Policy Controller 软件包简介
您可以使用 Policy Controller 对集群应用各个限制条件或编写自己的自定义政策。您还可以使用政策包来审核集群,而无需编写任何限制条件。政策包是一套限制条件,可帮助遵循最佳做法、符合业界标准或解决集群资源中的监管问题。
您可以将政策包应用于现有集群来检查工作负载是否符合规定。应用政策包时,它通过应用具有 dryrun 强制执行类型的限制条件来审核集群。dryrun 强制执行类型可让您查看违规行为,而不会阻止您的工作负载。此外,在测试新限制条件或执行迁移(例如升级平台)时,建议仅在具有生产工作负载的集群上使用 warn 或 dryrun 强制执行操作。如需详细了解强制执行操作,请参阅使用限制条件进行审核。
例如,一种类型的政策包是 CIS Kubernetes 基准包,有助于根据 CIS Kubernetes 基准审核集群资源。此基准是一系列关于配置 Kubernetes 资源以支持可靠的安全状况的建议。
可用的政策控制器包
下表列出了可用的政策包。选择政策包的名称,以阅读有关如何应用软件包、审核资源和强制执行政策的文档。
“政策包别名”列中列出了政策包的单令牌名称。使用 Google Cloud CLI 命令应用政策包时需要此值。
“包含的最早版本”列中列出了政策包可用于 Policy Controller 的最早版本。如果您想直接安装政策包,请按照应用多个政策包的说明进行操作。 如果您想手动安装政策包(例如,需要修改政策包),请按照表格中相应政策包的关联说明操作。
| 名称及描述 | 政策包别名 | 包含的最早版本 | 类型 | 包括参照限制条件 |
|---|---|---|---|---|
| CIS GKE 基准:根据 CIS GKE 基准 v1.5 审核集群的合规性,该基准是一系列用于配置 Google Kubernetes Engine (GKE) 的建议安全控制措施。 | cis-gke-v1.5.0 |
1.18.0 | Kubernetes 标准 | 是 |
| CIS Kubernetes 基准:根据 CIS Kubernetes 基准 v1.5 审核集群的合规性,该基准是一系列关于配置 Kubernetes 以支持可靠安全状况的建议。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 标准 | 是 |
| CIS Kubernetes 基准(预览版):根据 CIS Kubernetes 基准 v1.7 审核集群的合规性,该基准是一系列关于配置 Kubernetes 以支持可靠安全状况的建议。 | cis-k8s-v1.7.1 |
不可用 | Kubernetes 标准 | 是 |
| 费用和可靠性:费用和可靠性包有助于采用最佳实践来运行经济实惠的 GKE 集群,而不影响工作负载的性能或可靠性。 | cost-reliability-v2023 |
1.16.1 | 最佳做法 | 是 |
| MITRE(预览版):MITRE 政策包有助于根据包含攻击者策略和技术(基于现实观察结果)的 MITRE 知识库的某些方面来评估集群资源的合规性。 | mitre-v2024 |
不可用 | 行业标准 | 是 |
| Pod 安全政策:根据 Kubernetes Pod 安全政策 (PSP) 应用保护措施。 | psp-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Pod 安全标准基准:根据 Kubernetes Pod 安全标准 (PSS) 基准政策应用保护措施。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Pod 安全标准受限:根据 Kubernetes Pod 安全标准 (PSS) 受限政策应用保护措施。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 标准 | 否 |
| Cloud Service Mesh 安全性:审核 Cloud Service Mesh 安全漏洞的合规性并了解是否符合最佳实践。 | asm-policy-v0.0.1 |
1.15.2 | 最佳做法 | 是 |
| Policy Essentials:将最佳实践应用于集群资源。 | policy-essentials-v2022 |
1.14.1 | 最佳做法 | 否 |
| NIST SP 800-53 修订版本 5:NIST SP 800-53 修订版本 5 包实现了 NIST 特别出版物 (SP) 800-53 修订版本 5 中列出的控制措施。该包可实施开箱即用的安全和隐私权政策,帮助组织保护其系统和数据免受各种威胁的侵扰。 | nist-sp-800-53-r5 |
1.16.0 | 行业标准 | 是 |
| NIST SP 800-190:NIST SP 800-190 包实现了 NIST 特别出版物 (SP) 800-190 应用容器安全指南中列出的控制措施。该包旨在帮助组织实施应用容器安全,包括映像安全、容器运行时安全、网络安全和主机系统安全等。 | nist-sp-800-190 |
1.16.0 | 行业标准 | 是 |
| NSA CISA Kubernetes 安全加固指南 v1.2:根据 NSA CISA Kubernetes 安全加固指南 v1.2 应用保护措施。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 行业标准 | 是 |
| PCI-DSS v3.2.1(已弃用):根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 应用保护措施。 | pci-dss-v3.2.1 或 pci-dss-v3.2.1-extended |
1.15.2 | 行业标准 | 是 |
| PCI-DSS v4.0:根据支付卡行业数据安全标准 (PCI-DSS) v4.0 应用保护措施。 | pci-dss-v4.0 |
不可用 | 行业标准 | 是 |
后续步骤
- 详细了解如何应用单个限制条件。
- 将最佳做法应用到集群。
- 学习在 CI/CD 流水线中使用政策包左移教程。