本頁說明 Policy Controller 套裝組合,並提供可用政策套裝組合的總覽。
如果您是 IT 管理員和營運人員,想確保雲端平台中執行的所有資源都符合機構的法規遵循規定,請參閱本頁面,瞭解如何提供及維護自動化稽核或強制執行功能。如要進一步瞭解我們在內容中提及的常見角色和範例工作,請參閱「常見的 GKE Enterprise 使用者角色和工作」。 Google Cloud
Policy Controller 套裝組合簡介
您可以使用 Policy Controller,對叢集套用個別限制,或編寫自己的自訂政策。您也可以使用政策套裝組合,不必撰寫任何限制,就能稽核叢集。政策套裝組合是一組限制,可協助您為不同叢集資源套用最佳做法、讓各項叢集資源符合業界標準及解決監管問題。
您可以將政策套件套用至現有叢集,檢查工作負載是否符合規範。套用政策套裝組合時,系統會套用 dryrun
強制執行類型限制,稽核叢集。dryrun
強制執行類型
可讓您查看違規事項,但不會封鎖工作負載。此外,我們建議您在測試新限制或執行遷移作業 (例如升級平台) 時,只對具有生產工作負載的叢集使用 warn
或 dryrun
強制執行動作。如要進一步瞭解違規處置,請參閱「使用限制進行稽核」。
舉例來說,CIS Kubernetes 基準套裝組合就是一種政策套裝組合,可協助您根據 CIS Kubernetes 基準稽核叢集資源。這項基準由多項建議組成,可協助您設定 Kubernetes 資源來支援功能強大的安全防護措施。
可用的 Policy Controller 套裝組合
下表列出可用的政策套裝組合。選取政策套裝組合的名稱,即可閱讀如何套用套裝組合、稽核資源及強制執行政策的文件。
「套件別名」欄會列出套件的單一權杖名稱。您需要這個值,才能使用 Google Cloud CLI 指令套用套件。
「最早納入的版本」欄會列出 Policy Controller 可用的最早版本。如要直接安裝政策套裝組合,請按照操作說明套用多個政策套裝組合。如要手動安裝政策套裝組合 (例如需要修改政策套裝組合),請按照表格中該套裝組合的連結說明操作。
名稱與說明 | 套裝組合別名 | 最早納入的版本 | 類型 | 包括參照限制 |
---|---|---|---|---|
CIS GKE 基準: 根據 CIS GKE 基準 v1.5 稽核叢集是否符合規範。這項基準包含多項建議的安全控管措施,可協助您設定 Google Kubernetes Engine (GKE)。 | cis-gke-v1.5.0 |
1.18.0 | Kubernetes 標準 | 是 |
CIS Kubernetes 基準: 根據 CIS Kubernetes 基準 v1.5 稽核叢集是否符合規定。這項基準由多項建議組成,可協助您設定 Kubernetes 來支援功能強大的安全防護措施。 | cis-k8s-v1.5.1 |
1.15.2 | Kubernetes 標準 | 是 |
CIS Kubernetes 基準 (搶先版): 稽核叢集是否符合 CIS Kubernetes 基準 v1.7,這項基準由多項建議組成,可協助您設定 Kubernetes 來支援功能強大的安全防護措施。 | cis-k8s-v1.7.1 |
不供應 | Kubernetes 標準 | 是 |
費用和可靠性: 「費用和可靠性」套裝組合可協助您採用最佳做法,以經濟實惠的方式執行 GKE 叢集,同時確保工作負載的效能或可靠性。 | cost-reliability-v2023 |
1.16.1 | 最佳做法 | 是 |
MITRE (預先發布版): MITRE 政策套裝組合可根據實際觀察結果,評估叢集資源是否符合 MITRE 知識庫中某些攻擊防範策略和技巧。 | mitre-v2024 |
不供應 | 業界標準 | 是 |
Pod 安全性政策: 根據 Kubernetes Pod 安全性政策 (PSP) 套用保護措施。 | psp-v2022 |
1.15.2 | Kubernetes 標準 | 否 |
Pod 安全性標準基準: 根據 Kubernetes Pod 安全性標準 (PSS) 基準政策套用保護措施。 | pss-baseline-v2022 |
1.15.2 | Kubernetes 標準 | 否 |
Pod 安全性標準受限制政策: 根據 Kubernetes Pod 安全性標準 (PSS) 受限制政策套用保護措施。 | pss-restricted-v2022 |
1.15.2 | Kubernetes 標準 | 否 |
Cloud Service Mesh 安全性: 稽核 Cloud Service Mesh 安全漏洞和最佳做法是否符合規定。 | asm-policy-v0.0.1 |
1.15.2 | 最佳做法 | 是 |
Policy Essentials: 為叢集資源套用最佳做法。 | policy-essentials-v2022 |
1.14.1 | 最佳做法 | 否 |
NIST SP 800-53 修訂版 5: NIST SP 800-53 修訂版 5 套裝組合會實作 NIST 特別出版品 (SP) 800-53 修訂版 5 列出的控管措施。這個套裝組合可協助機構導入現成的安全和隱私權政策,保護系統和資料免受各種威脅。 | nist-sp-800-53-r5 |
1.16.0 | 業界標準 | 是 |
NIST SP 800-190: NIST SP 800-190 套裝組合會實作 NIST 特別出版品 (SP) 800-190「應用程式容器安全性指南」中列出的控管措施。這個套件旨在協助機構瞭解應用程式容器安全性,包括映像檔安全性、容器執行階段安全性、網路安全性和主機系統安全性等。 | nist-sp-800-190 |
1.16.0 | 業界標準 | 是 |
《NSA CISA Kubernetes 強化指南》1.2 版: 根據《NSA CISA Kubernetes 強化指南》1.2 版套用防護措施。 | nsa-cisa-k8s-v1.2 |
1.16.0 | 業界標準 | 是 |
PCI-DSS v3.2.1 (已淘汰): 根據付款卡產業資料安全標準 (PCI-DSS) v3.2.1 採取保護措施。 | pci-dss-v3.2.1 或pci-dss-v3.2.1-extended |
1.15.2 | 業界標準 | 是 |
PCI-DSS v4.0: 根據支付卡產業資料安全標準 (PCI-DSS) v4.0 採取防護措施。 | pci-dss-v4.0 |
不供應 | 業界標準 | 是 |