Ringkasan Pengontrol Kebijakan

Halaman ini menjelaskan apa itu Policy Controller dan cara menggunakannya untuk membantu memastikan cluster dan workload Kubernetes Anda berjalan dengan aman dan sesuai.

Halaman ini ditujukan untuk administrator IT, Operator, dan spesialis Keamanan yang menentukan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan, serta memastikan bahwa semua resource yang berjalan dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan memelihara otomatisasi untuk mengaudit atau menerapkan. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna GKE umum.

Pengontrol Kebijakan memungkinkan penerapan dan penegakan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini bertindak sebagai panduan dan dapat membantu dengan praktik terbaik, keamanan, dan manajemen kepatuhan cluster serta fleet Anda. Berdasarkan project open source Open Policy Agent Gatekeeper, Policy Controller terintegrasi sepenuhnya dengan Google Cloud, mencakup dasbor bawaan, untuk kemampuan pengamatan, dan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum.

Pengontrol Kebijakan tersedia dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.

Manfaat Pengontrol Kebijakan

• Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Policy Controller menggunakan konsol Google Cloud , menggunakan Terraform, atau menggunakan Google Cloud CLI di cluster yang terhubung ke fleet Anda. Pengontrol Kebijakan berfungsi dengan Google Cloud layanan lain seperti Config Sync, metrik, dan Cloud Monitoring.
• Mendukung beberapa titik penerapan: Selain kontrol audit dan penerimaan untuk cluster Anda, Pengontrol Kebijakan secara opsional dapat mengaktifkan pendekatan shift-left untuk menganalisis dan menemukan perubahan yang tidak mematuhi kebijakan sebelum penerapan.
• Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Hal ini mencakup Paket kebijakan dan library template batasan.
• Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan di luar yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
• Kemampuan observasi bawaan: Pengontrol Kebijakan menyertakan dasbor konsol Google Cloud , yang memberikan ringkasan status semua kebijakan yang diterapkan ke fleet Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat status kepatuhan dan penegakan untuk membantu Anda memecahkan masalah, dan dapatkan rekomendasi yang kuat untuk menyelesaikan pelanggaran kebijakan.

Paket kebijakan

Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan berdasarkan tema standar, keamanan, atau kepatuhan Kubernetes tertentu. Misalnya, Anda dapat menggunakan paket kebijakan berikut:

• Menerapkan banyak persyaratan yang sama seperti PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, sehingga memastikan setiap perubahan kebijakan tidak mengganggu beban kerja yang sedang berjalan.
• Gunakan batasan yang kompatibel dengan Cloud Service Mesh untuk mengaudit kepatuhan kerentanan keamanan mesh dan praktik terbaik Anda.
• Terapkan praktik terbaik umum ke resource cluster Anda untuk membantu memperkuat kondisi keamanan Anda.

Ringkasan paket Policy Controller memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.

Batasan

Pengontrol Kebijakan menerapkan kepatuhan cluster Anda menggunakan objek yang disebut batasan. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan tertentu pada Kubernetes API yang diizinkan atau tidak diizinkan pada cluster tempat batasan tersebut diterapkan. Anda dapat menetapkan kebijakan untuk secara aktif memblokir permintaan API yang tidak sesuai atau mengaudit konfigurasi cluster dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan dengan detail tentang pelanggaran yang terjadi pada cluster. Dengan informasi tersebut, Anda dapat memperbaiki masalah. Misalnya, Anda dapat menggunakan batasan individu berikut:

• Mewajibkan setiap namespace memiliki setidaknya satu label. Batasan ini dapat digunakan untuk memastikan pelacakan konsumsi resource yang akurat saat menggunakan Pengukuran Penggunaan GKE, misalnya.
• Membatasi repositori tempat image container tertentu dapat ditarik. Batasan ini memastikan bahwa setiap upaya untuk menarik container dari sumber yang tidak dikenal ditolak, sehingga melindungi cluster Anda dari menjalankan software yang berpotensi berbahaya.
• Mengontrol apakah container dapat berjalan dalam mode istimewa atau tidak. Batasan ini mengontrol kemampuan setiap penampung untuk mengaktifkan mode dengan hak istimewa, yang memberi Anda kontrol atas penampung mana (jika ada) yang dapat berjalan dengan kebijakan tidak dibatasi.

Ini hanyalah beberapa batasan yang disediakan di library template batasan yang disertakan dengan Pengontrol Kebijakan. Library ini berisi banyak kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika memerlukan penyesuaian lebih lanjut di luar yang tersedia di library template batasan, Anda juga dapat membuat template batasan kustom.

Batasan dapat diterapkan langsung ke cluster Anda menggunakan Kubernetes API, atau didistribusikan ke sekumpulan cluster dari sumber terpusat, seperti repositori Git, dengan menggunakan Config Sync.

Langkah berikutnya

• Menginstal Pengontrol Kebijakan.
• Pelajari paket kebijakan.
• Menerapkan paket kebijakan