Google云計算供用戶自定義組織政策增強GKE安全性

Google在其云計算推出自定義組織政策（Custom Organization Policy）功能，并且現(xiàn)在與GKE集成，用戶不需要支付額外費用就能使用。組織政策服務提供一種基于政策的方法，簡化跨Google云計算資源和項目的政策管理，使企業(yè)法遵與安全團隊，能夠對不同產(chǎn)品、環(huán)境和團隊維持一致的監(jiān)督治理。

政策是一種意圖的陳述，像是“所有集群必須被設置成自動升級”，而在Google的組織政策服務中，政策限制（Policy Constraint）用來定義意圖，而政策則是應用限制到特定的資源，像是項目或是文件夾，而現(xiàn)在推出的自定義組織政策，能夠讓用戶編寫自己定義的限制，擴展原本的組織政策服務功能。

自定義組織政策讓用戶能夠集成，并且自定義政策管理，進而跨多個服務、產(chǎn)品和團隊，維護一致的配置和安全標準，Google提到，云計算解決方案通常是許多部分的組合，要進行整體性的安全保護工作，需要多個團隊和利益關系人深入?yún)f(xié)作。

而自定義組織政策可以簡化這個過程，其提供單一框架簡單管理組織層次架構中的政策實施，組織政策支持內置政策限制，并與GKE還有其他Google云計算服務集成。GKE用戶能夠通過自定義組織政策獲得更多的靈活性，定義和執(zhí)行針對業(yè)務團隊需要的政策，而自定義組織政策的行為，就如同內置的組織政策一樣，可以集成到CI/CD工作流程，以程序代碼交付政策更改。

Google提到，雖然GKE以最佳安全實踐作為默認，提供一個可靠的基準，但是企業(yè)在審核期間，可能會須執(zhí)行特定要求以證明其安全性，此時自定義組織政策便能派上用場，而且該功能也能夠讓企業(yè)設置護欄，在遵循默認之外，還可應用企業(yè)自己的最佳實踐。

自定義組織政策這項功能不需要安裝額外的集群組件，用戶僅需要在YAML文件中自定義政策限制，并使用云計算shell層或是API，將其應用到Google云計算資源中即可，官方提到，GKE內置組織政策服務，可以減輕安全團隊管理組件生命周期的負擔，并讓管理員輕松創(chuàng)建新政策限制。

當前不少企業(yè)開始尋求政策解決方案來編寫工程標準，替開發(fā)人員設置護欄，通過自動化方法，持續(xù)將法遵與安全性設置集成到開發(fā)上游，而GKE自定義組織政策就能夠協(xié)助定義和實施GKE集群和節(jié)點池的工程標準。組織政策功能以結構化語法，使得限制和政策保持高度可讀，Google表示，這大幅減少企業(yè)開發(fā)人員入職和學習時間，同時也能縮減花費在相關文件維護工作的時間。