Questa pagina spiega cos'è Policy Controller e come utilizzarlo per garantire che i tuoi cluster e carichi di lavoro Kubernetes vengano eseguiti in modo sicuro e conforme.
Policy Controller consente l'applicazione, anche forzata, dei criteri programmabili per i tuoi cluster Kubernetes. Questi criteri fungono da barriere e possono aiutarti con la gestione di best practice, sicurezza e conformità dei tuoi cluster e del tuo parco risorse. Basato sul progetto open source Open Policy Agent Gatekeeper, Policy Controller è completamente integrato con Google Cloud, include una dashboard integrata per l'osservabilità e una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni.
Policy Controller è disponibile con una licenza della versione Google Kubernetes Engine (GKE) Enterprise.
Vantaggi di Policy Controller
- Integrazione con Google Cloud: gli amministratori di piattaforma possono installare Policy Controller utilizzando la console Google Cloud, utilizzando Terraform o Google Cloud CLI su qualsiasi cluster connesso al parco risorse. Policy Controller funziona con altri servizi Google Cloud come Config Sync, metrics e Cloud Monitoring.
- Supporta più punti di applicazione: oltre al controllo di audit e di ammissione per il cluster, Policy Controller può facoltativamente abilitare un approccio di spostamento a sinistra per analizzare e rilevare le modifiche non conformi prima di presentare la richiesta.
- Pacchetti di criteri predefiniti: Policy Controller include una libreria completa di criteri predefiniti per i controlli di sicurezza e conformità più comuni. Includono sia i bundle di criteri, creati e gestiti da Google, sia la libreria dei modelli di vincolo.
- Supporta i criteri personalizzati: se è richiesta la personalizzazione dei criteri oltre a quella disponibile utilizzando la libreria dei modelli di vincolo, Policy Controller supporta anche lo sviluppo di modelli di vincolo personalizzati.
- Osservabilità integrata: Policy Controller include una dashboard della console Google Cloud, che fornisce una panoramica dello stato di tutti i criteri applicati al tuo parco risorse (inclusi i cluster non registrati). Nella dashboard puoi visualizzare lo stato di conformità e di applicazione delle norme al fine di correggere i problemi e ricevere suggerimenti utili per risolvere le violazioni delle norme.
Bundle di criteri
Puoi utilizzare bundle di criteri per applicare una serie di vincoli raggruppati in base a uno specifico tema standard, sicurezza o conformità di Kubernetes. Questi pacchetti di criteri sono creati e gestiti da Google e sono quindi pronti per essere utilizzati senza dover scrivere codice. Ad esempio, puoi utilizzare i seguenti pacchetti di criteri:
- Applica molti degli stessi requisiti di PodSecurityPolicies, ma con la possibilità di controllare la configurazione prima di applicarla e assicurandoti che eventuali modifiche ai criteri non interferiscano con l'esecuzione dei carichi di lavoro.
- Utilizza vincoli compatibili con Anthos Service Mesh per verificare la conformità delle vulnerabilità e delle best practice di sicurezza del tuo mesh.
- Applica best practice generali alle risorse del cluster per rafforzare la tua strategia di sicurezza. Questo bundle viene utilizzato anche nella funzionalità Prova prima di acquistare di Policy Controller, per consentirti di provare questo insieme di criteri di base on demand senza costi aggiuntivi.
Panoramica dei bundle Policy Controller fornisce ulteriori dettagli e un elenco dei pacchetti di criteri attualmente disponibili.
Vincoli
Policy Controller applica la conformità dei cluster utilizzando oggetti chiamati vincoli. Puoi pensare ai vincoli come ai "componenti di base" dei criteri. Ogni vincolo definisce una modifica specifica all'API Kubernetes consentita o non consentita nel cluster a cui viene applicato. Puoi impostare criteri per bloccare attivamente le richieste API non conformi o controllare la configurazione dei tuoi cluster e segnalare le violazioni. In ogni caso, puoi visualizzare i messaggi di avviso con i dettagli della violazione che si è verificata in un cluster. Con queste informazioni è possibile risolvere i problemi. Ad esempio, puoi utilizzare i seguenti vincoli individuali:
- Richiedi che ogni spazio dei nomi abbia almeno un'etichetta. Ad esempio, puoi utilizzare questo vincolo per monitorare in modo accurato il consumo delle risorse quando utilizzi la misurazione dell'utilizzo di GKE.
- Limita i repository da cui è possibile estrarre una determinata immagine container. Questo vincolo garantisce che qualsiasi tentativo di pull dei container da origini sconosciute venga negato, proteggendo i cluster dall'esecuzione di software potenzialmente dannoso.
- Stabilisci se un container può essere eseguito in modalità con privilegi. Questo vincolo controlla la possibilità per qualsiasi container di abilitare la modalità con privilegi, in modo da controllare quali container (se presenti) possono essere eseguiti con un criterio senza limitazioni.
Questi sono solo alcuni dei vincoli forniti nella libreria dei modelli di vincolo inclusa in Policy Controller. che contiene numerosi criteri che consentono di applicare le best practice e limitare i rischi. Se hai bisogno di una maggiore personalizzazione oltre a quelle disponibili nella libreria dei modelli di vincolo, puoi anche creare modelli di vincolo personalizzati.
I vincoli possono essere applicati direttamente ai tuoi cluster utilizzando l'API Kubernetes oppure distribuiti a un set di cluster da un'origine centralizzata, ad esempio un repository Git, utilizzando Config Sync.
Passaggi successivi
- Prova Policy Controller senza costi aggiuntivi.
- Installa Policy Controller.
- Scopri di più sui pacchetti di criteri.
- Applicare pacchetti di criteri