En esta página se explica qué es Policy Controller y cómo puedes usarlo para asegurarte de que tus clústeres y cargas de trabajo de Kubernetes se ejecuten de forma segura y conforme.
Esta página está dirigida a administradores de TI, operadores y especialistas en seguridad que definen soluciones de TI y arquitecturas de sistemas de acuerdo con la estrategia de la empresa, y que se aseguran de que todos los recursos que se ejecutan en la plataforma en la nube cumplan los requisitos de cumplimiento de la organización proporcionando y manteniendo la automatización para auditar o aplicar. Para obtener más información sobre los roles habituales y las tareas de ejemplo a las que hacemos referencia en el contenido, consulta Roles y tareas habituales de los usuarios de GKE. Google Cloud
Policy Controller permite aplicar políticas programables en tus clústeres de Kubernetes. Estas políticas actúan como medidas de protección y pueden ayudarte a aplicar las prácticas recomendadas, la seguridad y la gestión del cumplimiento de tus clústeres y tu flota. Policy Controller, que se basa en el proyecto de código abierto Gatekeeper de Open Policy Agent, está totalmente integrado con Google Cloud, incluye un panel de control integrado para la observabilidad y ofrece una biblioteca completa de políticas predefinidas para controles de cumplimiento y seguridad habituales.
Ventajas de Policy Controller
- Integrado con: Google Cloud los administradores de la plataforma pueden instalar Policy Controller mediante la consola Google Cloud , Terraform o la interfaz de línea de comandos de Google Cloud en cualquier clúster conectado a su flota. Policy Controller funciona con otrosGoogle Cloud servicios, como Config Sync, métricas y Cloud Monitoring.
- Admite varios puntos de aplicación: además de la auditoría y el control de admisión de tu clúster, Policy Controller puede habilitar opcionalmente un enfoque de cambio a la izquierda para analizar y detectar los cambios que no cumplan las políticas antes de aplicarlos.
- Paquetes de políticas predefinidos: Policy Controller incluye una biblioteca completa de políticas predefinidas para controles de cumplimiento y seguridad habituales. Esto incluye tanto los paquetes de políticas como la biblioteca de plantillas de restricciones.
- Admite políticas personalizadas: si necesitas personalizar las políticas más allá de lo que ofrece la biblioteca de plantillas de restricciones, Policy Controller también permite desarrollar plantillas de restricciones personalizadas.
- Observabilidad integrada: Policy Controller incluye un Google Cloud panel de control de la consola, que ofrece una vista general del estado de todas las políticas aplicadas a tu flota (incluidos los clústeres no registrados). En el panel de control, puede consultar el estado del cumplimiento y de las medidas para solucionar problemas, así como recibir recomendaciones para resolver las infracciones de las políticas.
Paquetes de políticas
Puede usar paquetes de políticas para aplicar varias restricciones agrupadas en un tema específico de Kubernetes, seguridad o cumplimiento. Por ejemplo, puede usar los siguientes paquetes de políticas:
- Cumple muchos de los mismos requisitos que PodSecurityPolicies, pero con la ventaja añadida de poder auditar tu configuración antes de aplicarla, lo que asegura que los cambios en las políticas no interrumpan las cargas de trabajo en ejecución.
- Usa restricciones compatibles con Cloud Service Mesh para auditar el cumplimiento de las vulnerabilidades de seguridad y las prácticas recomendadas de tu malla.
- Aplica prácticas recomendadas generales a los recursos de tu clúster para reforzar tu posición de seguridad.
En el resumen de los paquetes de Policy Controller se ofrece más información y una lista de los paquetes de políticas disponibles actualmente.
Restricciones
Policy Controller aplica el cumplimiento de tus clústeres mediante objetos denominados restricciones. Las restricciones son los "componentes básicos" de las políticas. Cada restricción define un cambio específico en la API de Kubernetes que se permite o no en el clúster al que se aplica. Puedes definir políticas para bloquear activamente las solicitudes de API que no cumplan los requisitos o auditar la configuración de tus clústeres e informar de las infracciones. En cualquier caso, puede ver mensajes de advertencia con detalles sobre la infracción que se ha producido en un clúster. Con esa información, puedes solucionar los problemas. Por ejemplo, puedes usar las siguientes restricciones individuales:
- Cada espacio de nombres debe tener al menos una etiqueta. Esta restricción se puede usar para asegurar un seguimiento preciso del consumo de recursos al usar la medición de uso de GKE, por ejemplo.
- Restringe los repositorios de los que se puede extraer una imagen de contenedor determinada. Esta restricción asegura que se deniegue cualquier intento de extraer contenedores de fuentes desconocidas, lo que protege a tus clústeres de ejecutar software potencialmente malicioso.
- Controla si un contenedor puede ejecutarse en modo privilegiado. Esta restricción controla la capacidad de cualquier contenedor para habilitar el modo privilegiado, lo que te permite controlar qué contenedores (si los hay) pueden ejecutarse con una política sin restricciones.
Estas son solo algunas de las restricciones que se proporcionan en la biblioteca de plantillas de restricciones incluida en Policy Controller. Esta biblioteca contiene numerosas políticas que puedes usar para aplicar las prácticas recomendadas y limitar los riesgos. Si necesitas más opciones de personalización de las que ofrece la biblioteca de plantillas de restricciones, también puedes crear plantillas de restricciones personalizadas.
Las restricciones se pueden aplicar directamente a los clústeres mediante la API de Kubernetes o se pueden distribuir a un conjunto de clústeres desde una fuente centralizada, como un repositorio de Git, mediante Config Sync.
Siguientes pasos
- Instala Policy Controller.
- Consulta información sobre los paquetes de políticas.
- Aplicar paquetes de políticas