Halaman ini menjelaskan apa yang dimaksud dengan Pengontrol Kebijakan dan bagaimana Anda dapat menggunakannya untuk membantu memastikan cluster Kubernetes dan workload Kubernetes Anda berjalan dengan aman dan sesuai standar cara.
Halaman ini ditujukan untuk admin IT, Operator, dan Spesialis keamanan yang mendefinisikan solusi IT dan arsitektur sistem sesuai dengan strategi perusahaan, dan memastikan bahwa semua sumber daya yang berjalan di dalam platform cloud memenuhi persyaratan kepatuhan organisasi dengan menyediakan dan memelihara otomatisasi untuk mengaudit atau menerapkannya. Untuk mempelajari lebih lanjut tentang peran umum dan contoh tugas yang kami rujuk dalam konten Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise yang umum.
Pengontrol Kebijakan memungkinkan penerapan dan penerapan kebijakan yang dapat diprogram untuk cluster Kubernetes Anda. Kebijakan ini berfungsi sebagai pengaman dan dapat membantu dengan praktik terbaik, keamanan, dan pengelolaan kepatuhan cluster Anda serta perangkat seluler. Berdasarkan open source, Buka Pemilah Komunikasi Agen Kebijakan project, Pengontrol Kebijakan terintegrasi sepenuhnya dengan Google Cloud, memiliki dasbor bawaan, untuk kemampuan observasi, dan dilengkapi dengan library lengkap berisi kebijakan bawaan untuk kontrol kepatuhan dan keamanan yang umum.
Pengontrol Kebijakan tersedia dengan lisensi edisi Google Kubernetes Engine (GKE) Enterprise.
Manfaat Pengontrol Kebijakan
- Terintegrasi dengan Google Cloud: Admin platform dapat menginstal Pengontrol Kebijakan dengan menggunakan konsol Google Cloud, menggunakan Terraform, atau menggunakan Google Cloud CLI di yang terhubung ke fleet Anda. Pengontrol Kebijakan bekerja sama dengan Layanan Google Cloud seperti Sinkronisasi Konfigurasi, metrik, dan Cloud Monitoring.
- Mendukung beberapa titik penegakan: Selain audit dan untuk cluster Anda, Pengontrol Kebijakan juga dapat mengaktifkan geser-kiri menganalisis dan menemukan perubahan yang tidak mematuhi kebijakan sebelum aplikasi.
- Paket kebijakan bawaan: Pengontrol Kebijakan dilengkapi dengan library lengkap kebijakan bawaan untuk kontrol kepatuhan dan keamanan umum. Ini sertakan keduanya Kebijakan paket, yang dibuat dan dikelola oleh Google, serta library template batasan.
- Mendukung kebijakan kustom: Jika penyesuaian kebijakan diperlukan selain yang tersedia menggunakan library template batasan, Pengontrol Kebijakan juga mendukung pengembangan template batasan kustom.
- Kemampuan observasi bawaan: Pengontrol Kebijakan mencakup konsol Google Cloud dasbor, yang memberikan ringkasan status semua kebijakan yang diterapkan pada perangkat Anda (termasuk cluster yang tidak terdaftar). Dari dasbor, lihat kepatuhan dan penegakan untuk membantu Anda memecahkan masalah, dan memberikan opini rekomendasi untuk menyelesaikan pelanggaran kebijakan.
Paket kebijakan
Anda dapat menggunakan paket kebijakan untuk menerapkan sejumlah batasan yang dikelompokkan berdasarkan tema standar, keamanan, atau kepatuhan Kubernetes tertentu. Ini paket kebijakan dibuat dan dikelola oleh Google dan karenanya siap digunakan untuk Anda gunakan tanpa harus menulis kode apa pun. Misalnya, Anda dapat menggunakan paket kebijakan berikut:
- Terapkan banyak persyaratan yang sama dengan PodSecurityPolicies, tetapi dengan kemampuan tambahan untuk mengaudit konfigurasi Anda sebelum menerapkannya, memastikan bahwa perubahan kebijakan tidak mengganggu beban kerja yang sedang berjalan.
- Menggunakan batasan yang kompatibel dengan Cloud Service Mesh ke mengaudit kepatuhan kerentanan keamanan mesh Anda dan praktik.
- Menerapkan praktik terbaik umum ke resource cluster untuk membantu memperkuat postur keamanan Anda.
Ringkasan paket Pengontrol Kebijakan memberikan detail selengkapnya dan daftar paket kebijakan yang saat ini tersedia.
Batasan
Pengontrol Kebijakan menerapkan cluster Anda kepatuhan menggunakan objek yang disebut batasan yang ada. Anda dapat menganggap batasan sebagai "elemen penyusun" kebijakan. Setiap batasan menentukan perubahan spesifik pada Kubernetes API yang diizinkan atau tidak diizinkan di cluster yang menerapkannya. Anda dapat menetapkan kebijakan ke secara aktif memblokir permintaan API yang tidak mematuhi kebijakan atau audit konfigurasi project cluster dan melaporkan pelanggaran. Dalam kedua kasus tersebut, Anda dapat melihat pesan peringatan yang menyediakan informasi mengenai pelanggaran yang terjadi pada cluster. Dengan informasi itu, Anda dapat memperbaiki masalah. Misalnya, Anda dapat menggunakan batasan:
- Setiap namespace harus memiliki setidaknya satu label. Batasan ini dapat digunakan untuk memastikan pelacakan resource yang akurat saat menggunakan Pengukuran Penggunaan GKE, misalnya.
- Membatasi repositori tempat image container tertentu dapat diambil. Batasan ini memastikan setiap upaya untuk mengambil container dari sumber tidak dikenal ditolak, sehingga melindungi cluster Anda agar tidak menjalankan tindakan {i>software<i}.
- Mengontrol apakah container dapat berjalan dalam mode hak istimewa atau tidak. Batasan ini mengontrol kemampuan penampung untuk mengaktifkan hak istimewa yang memberi Anda kontrol atas container mana (jika ada) yang dapat dijalankan kebijakan yang tidak dibatasi.
Ini hanyalah beberapa batasan yang diberikan dalam template batasan library disertakan dengan Pengontrol Kebijakan. Library ini berisi berbagai kebijakan yang dapat Anda gunakan untuk membantu menerapkan praktik terbaik dan membatasi risiko. Jika Anda memerlukan lebih banyak penyesuaian selain yang tersedia di library template batasan, Anda juga dapat membuat batasan khusus template.
Batasan bisa diterapkan langsung ke cluster Anda menggunakan Kubernetes API. atau didistribusikan ke serangkaian cluster dari sumber terpusat, seperti repositori Git, dengan menggunakan Sinkronisasi Konfigurasi.