Policy Controller-Bundles

Auf dieser Seite werden Policy Controller-Bundles beschrieben, sowie eine Übersicht über die verfügbaren Richtlinien-Bundles.

Diese Seite richtet sich an IT-Administratoren und ‑Betreiber, die dafür sorgen möchten, dass alle auf der Cloud-Plattform ausgeführten Ressourcen die Compliance-Anforderungen des Unternehmens erfüllen, indem sie Automatisierungsfunktionen zur Prüfung oder Durchsetzung bereitstellen und aufrechterhalten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud-Inhalten verweisen, finden Sie unter Häufig verwendete GKE Enterprise-Nutzerrollen und -Aufgaben.

Mit dem Policy Controller können Sie einzelne Einschränkungen auf Ihren Cluster anwenden oder eigene benutzerdefinierte Richtlinien schreiben. Sie können auch Richtlinien-Bundles verwenden, mit denen Sie Ihre Cluster prüfen können, ohne Einschränkungen zu schreiben. Richtlinien-Bundles sind eine Gruppe von Einschränkungen, mit denen Sie Best Practices anwenden, Branchenstandards erfüllen oder regulatorische Probleme in Ihren Clusterressourcen lösen können.

Sie können Richtlinien-Bundles auf Ihre vorhandenen Cluster anwenden, um zu prüfen, ob Ihre Arbeitslasten konform sind. Wenn Sie ein Richtlinien-Bundle anwenden, wird Ihr Cluster durch Anwenden von Einschränkungen mit dem Erzwingungstyp dryrun geprüft. Mit dem Erzwingungstyp dryrun können Sie Verstöße sehen, ohne Ihre Arbeitslasten zu blockieren. Es wird außerdem empfohlen, nur die Erzwingungsaktionen warn oder dryrun für Cluster mit Produktionsarbeitslasten zu verwenden, wenn Sie neue Einschränkungen testen oder Migrationen wie Plattformupgrades durchführen. Weitere Informationen zu Erzwingungsaktionen finden Sie unter Auditing mit Einschränkungen.

Ein Typ von Richtlinien-Bundle ist beispielsweise das CIS-Kubernetes-Benchmark-Bundle, mit dem Ihre Clusterressourcen anhand der CIS-Kubernetes-Benchmark geprüft werden können. Diese Benchmark besteht aus einer Reihe von Empfehlungen für die Konfiguration von Kubernetes-Ressourcen, um ein hohes Sicherheitsniveau zu erreichen.

Richtlinien-Bundles werden von Google erstellt und verwaltet. Weitere Details zur Richtlinienabdeckung, einschließlich der Abdeckung pro Bundle, finden Sie im Policy Controller-Dashboard.

Richtlinien-Bundles sind in einer Lizenz der Google Kubernetes Engine (GKE) Enterprise-Version enthalten.

Verfügbare Policy Controller-Bundles

In der folgenden Tabelle sind die verfügbaren Richtlinien-Bundles aufgeführt. Wählen Sie den Namen des Richtlinien-Bundles aus, um zu lesen, wie Sie das Bundle anwenden, Ressourcen prüfen und Richtlinien erzwingen.

In der Spalte Bundle-Alias wird der Name des Bundles mit einem einzelnen Token aufgelistet. Dieser Wert ist erforderlich, um ein Bundle mit Google Cloud CLI-Befehlen anzuwenden.

In der Spalte Frühste enthaltene Version ist die früheste Version aufgeführt, in der das Bundle mit Policy Controller verfügbar ist. Das bedeutet, dass Sie diese Bundles direkt installieren können. In jeder Version von Policy Controller können Sie weiterhin jedes verfügbare Bundle installieren. Folgen Sie dazu der Anleitung in der Tabelle.

Name und Beschreibung Bundle-Alias Frühste enthaltene Version Typ Enthält referenzielle Einschränkungen
CIS-GKE-Benchmark: Prüfung der Compliance Ihrer Cluster mit der CIS-GKE-Benchmark v1.5, einer Reihe empfohlener Sicherheitskontrollen zum Konfigurieren von Google Kubernetes Engine (GKE). cis-gke-v1.5.0 1.18.0 Kubernetes-Standard Ja
CIS-Kubernetes-Benchmark: Prüfen Sie die Compliance Ihrer Cluster mit der CIS-Kubernetes-Benchmark v1.5, einer Reihe von Empfehlungen zur Konfiguration von Kubernetes, um ein hohes Sicherheitsniveau zu gewährleisten. cis-k8s-v1.5.1 1.15.2 Kubernetes-Standard Ja
CIS-Kubernetes-Benchmark (Vorschau): Prüfen Sie die Compliance Ihrer Cluster mit der CIS-Kubernetes-Benchmark v1.7, einer Reihe von Empfehlungen zur Konfiguration von Kubernetes für einen hohen Sicherheitsstatus. cis-k8s-v1.7.1 nicht verfügbar Kubernetes-Standard Ja
Kosten und Zuverlässigkeit: Mit dem Kosten- und Zuverlässigkeits-Bundle können Sie Best Practices zum Ausführen kosteneffizienter GKE-Cluster umsetzen, ohne die Leistung oder Zuverlässigkeit von Arbeitslasten zu beeinträchtigen. cost-reliability-v2023 1.16.1 Best Practices Ja
MITRE (Vorschau): Mit dem MITRE-Richtlinien-Bundle können Sie die Compliance Ihrer Clusterressourcen anhand einiger Aspekte der MITRE-Wissensdatenbank von Angreifertaktiken und -techniken bewerten. Weltbeobachtungen. mitre-v2024 nicht verfügbar Industriestandard Ja
Pod-Sicherheitsrichtlinie: Wenden Sie Schutzmaßnahmen an, die auf der Kubernetes Pod-Sicherheitsrichtlinie (PSP) basieren. psp-v2022 1.15.2 Kubernetes-Standard Nein
Referenz der Pod-Sicherheitsstandards: Wenden Sie Schutzmaßnahmen an, die auf der grundlegenden Richtlinie für die Kubernetes Pod-Sicherheitsstandards (PSS) basieren. pss-baseline-v2022 1.15.2 Kubernetes-Standard Nein
Pod-Sicherheitsstandards eingeschränkt: Wenden Sie Schutzmaßnahmen an, die auf der eingeschränkten Richtlinie für Kubernetes-Pod-Sicherheitsstandards (PSS) basieren. pss-restricted-v2022 1.15.2 Kubernetes-Standard Nein
Cloud Service Mesh-Sicherheit: Prüfen Sie die Compliance bezüglich Ihrer Sicherheitslücken und Best Practices in Cloud Service Mesh. asm-policy-v0.0.1 1.15.2 Best Practices Ja
Policy Essentials: Wenden Sie Best Practices auf Ihre Clusterressourcen an. policy-essentials-v2022 1.14.1 Best Practices Nein
NIST SP 800-53 Rev. 5: Das NIST SP 800-53 Rev. 5-Bundle implementiert die in der NIST Sonderveröffentlichung (SP) 800-53, Revision 5 aufgeführten Steuerelemente. Das Paket kann Organisationen dabei helfen, ihre Systeme und Daten vor einer Vielzahl von Bedrohungen zu schützen, indem es sofort einsatzbereite Sicherheits- und Datenschutzrichtlinien implementiert. nist-sp-800-53-r5 1.16.0 Industriestandard Ja
NIST SP 800-190: Das NIST SP 800-190-Bundle implementiert die Kontrollen, die in der NIST Sonderveröffentlichung (SP) 800-190, Application Container Security Guide aufgeführt sind. Das Bundle soll Organisationen bei der Sicherheit von Anwendungscontainern unterstützen, einschließlich Image-Sicherheit, Containerlaufzeitsicherheit, Netzwerksicherheit und Hostsystemsicherheit. nist-sp-800-190 1.16.0 Industriestandard Ja
NSA CISA Kubernetes Härtungsleitfaden v1.2: Wenden Sie Schutzmaßnahmen basierend auf dem NSA CISA Kubernetes Härtungsleitfaden v1.2 an. nsa-cisa-k8s-v1.2 1.16.0 Industriestandard Ja
PCI-DSS v3.2.1 (verworfen): Wenden Sie Schutzmaßnahmen an, die auf dem Datensicherheitsstandard der Zahlungskartenindustrie (Payment Card Industry Data Security Standard, PCI-DSS) v3.2.1 basieren. pci-dss-v3.2.1 oder pci-dss-v3.2.1-extended 1.15.2 Industriestandard Ja
PCI-DSS v4.0: Wenden Sie Schutzmaßnahmen an, die auf dem Payment Card Industry Data Security Standard (PCI-DSS) v4.0 basieren. pci-dss-v4.0 nicht verfügbar Industriestandard Ja

Nächste Schritte