تسرد تعريفات النُهج المضمنة لـ Azure Kubernetes Service
هذه الصفحة عبارة عن فهرس لتعريفات نهج Azure المضمنة لـ Azure Kubernetes Service. للحصول على مزيد من البنى الإضافية لـ Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
المبادرات
| Name | الوصف | السياسات | إصدار |
|---|---|---|---|
| [معاينة]: استخدام تكامل الصور لضمان نشر الصور الموثوق بها فقط | استخدم تكامل الصور للتأكد من أن مجموعات AKS تنشر الصور الموثوق بها فقط عن طريق تمكين وظائف تكامل الصور ونهج Azure الإضافية على مجموعات AKS. الوظيفة الإضافية لتكامل الصور والوظيفة الإضافية لنهج Azure كلاهما شرطان أساسيان لاستخدام تكامل الصورة للتحقق مما إذا كانت الصورة موقعة عند النشر. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [معاينة]: يجب أن تساعد ضمانات التوزيع في توجيه المطورين نحو أفضل الممارسات الموصى بها ل AKS | مجموعة من أفضل ممارسات Kubernetes التي توصي بها خدمة Azure Kubernetes (AKS). للحصول على أفضل تجربة، استخدم ضمانات التوزيع لتعيين مبادرة النهج هذه: https://aka.ms/aks/deployment-safeguards. تعد الوظيفة الإضافية لنهج Azure ل AKS شرطا مسبقا لتطبيق أفضل الممارسات هذه على مجموعاتك. للحصول على إرشادات حول تمكين الوظيفة الإضافية لنهج Azure، انتقل إلى aka.ms/akspolicydoc | 19 | معاينة 1.7.0 |
| معايير أساس أمان نظام مجموعة Kubernetes لأحمال العمل المستندة إلى Linux | تتضمن هذه المبادرة سياسات معايير خط الأساس لأمان مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. للحصول على إرشادات حول استخدام هذا النهج، تفضل بزيارة https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| معايير أمان مجموعة Kubernetes المقيدة لأحمال العمل المستندة إلى Linux | تتضمن هذه المبادرة سياسات المعايير المقيدة لأمان مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. للحصول على إرشادات حول استخدام هذا النهج، تفضل بزيارة https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
تعريفات النهج
Microsoft.ContainerService
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: [Image Integrity] يجب أن تستخدم مجموعات Kubernetes الصور الموقعة بواسطة العلامات فقط | استخدم الصور الموقعة بواسطة تدوين للتأكد من أن الصور تأتي من مصادر موثوق بها ولن يتم تعديلها بشكل ضار. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-integrity | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت Azure Backup Extension في مجموعات AKS | تأكد من تثبيت الحماية لملحق النسخ الاحتياطي في مجموعات AKS للاستفادة من Azure Backup. Azure Backup ل AKS هو حل آمن وسحابة لحماية البيانات الأصلية لمجموعات AKS | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين Azure Backup لمجموعات AKS | تأكد من حماية مجموعات AKS الخاصة بك عن طريق تمكين Azure Backup. Azure Backup ل AKS هو حل آمن وسحابة لحماية البيانات الأصلية لمجموعات AKS. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون المجموعات المدارة لخدمة Azure Kubernetes متكررة في المنطقة | يمكن تكوين أنظمة المجموعات المدارة لخدمة Azure Kubernetes لتكون متكررة في المنطقة أم لا. يتحقق النهج من تجمعات العقدة في نظام المجموعة ويضمن تعيين مناطق التوفر لكافة تجمعات العقد. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: لا يمكن تحرير العقد الفردية | يتعذر تحرير العقد الفردية. يجب ألا يقوم المستخدمون بتحرير العقد الفردية. الرجاء تحرير تجمعات العقدة. يمكن أن يؤدي تعديل العقد الفردية إلى إعدادات غير متناسقة وتحديات تشغيلية ومخاطر أمنية محتملة. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: نشر تكامل الصور على خدمة Azure Kubernetes | توزيع كل من تكامل الصورة والوظائف الإضافية للنهج في مجموعات Azure Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-integrity | DeployIfNotExists، معطل | 1.0.5-استعراض |
| [معاينة]: تثبيت ملحق النسخ الاحتياطي Azure في مجموعات AKS (نظام المجموعة المدارة) مع علامة معينة. | يعد تثبيت ملحق Azure Backup شرطا مسبقا لحماية مجموعات AKS الخاصة بك. فرض تثبيت ملحق النسخ الاحتياطي على جميع مجموعات AKS التي تحتوي على علامة معينة. يمكن أن يساعدك القيام بذلك في إدارة النسخ الاحتياطي لمجموعات AKS على نطاق واسع. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.0-المعاينة |
| [معاينة]: تثبيت ملحق النسخ الاحتياطي Azure في مجموعات AKS (نظام المجموعة المدارة) دون علامة معينة. | يعد تثبيت ملحق Azure Backup شرطا مسبقا لحماية مجموعات AKS الخاصة بك. فرض تثبيت ملحق النسخ الاحتياطي على جميع مجموعات AKS دون قيمة علامة معينة. يمكن أن يساعدك القيام بذلك في إدارة النسخ الاحتياطي لمجموعات AKS على نطاق واسع. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تتضمن صور حاوية مجموعة Kubernetes خطاف preStop | يتطلب أن تتضمن صور الحاوية خطاف preStop لإنهاء العمليات بأمان أثناء إيقاف تشغيل الجراب. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب ألا تتضمن صور حاوية نظام مجموعة Kubernetes أحدث علامة صورة | يتطلب عدم استخدام صور الحاوية لأحدث علامة في Kubernetes، فمن أفضل الممارسات ضمان إمكانية إعادة الإنتاج، ومنع التحديثات غير المقصودة، وتسهيل تصحيح الأخطاء والتراجع بسهولة باستخدام صور حاوية صريحة وإصدارية. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تسحب حاويات نظام مجموعة Kubernetes الصور فقط عند وجود أسرار سحب الصور | تقييد سحب صور الحاويات لفرض وجود ImagePullSecrets، ما يضمن الوصول الآمن والمخول إلى الصور داخل مجموعة Kubernetes | التدقيق، الرفض، التعطيل | 1.1.0-preview |
| [معاينة]: يجب أن تستخدم خدمات نظام مجموعة Kubernetes محددات فريدة | تأكد من أن الخدمات في Namespace لها محددات فريدة. يضمن محدد الخدمة الفريد أن كل خدمة داخل مساحة الاسم قابلة للتحديد بشكل فريد استنادا إلى معايير محددة. يقوم هذا النهج بمزامنة موارد الدخول إلى OPA عبر Gatekeeper. قبل التطبيق، تحقق من عدم تجاوز سعة ذاكرة Gatekeeper pods. تنطبق المعلمات على مساحات أسماء معينة، ولكنها تقوم بمزامنة جميع الموارد من هذا النوع عبر جميع مساحات الأسماء. حاليا في المعاينة لخدمة Kubernetes (AKS). | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يجب أن تنفذ مجموعة Kubernetes ميزانيات دقيقة لتعطل الجراب | يمنع ميزانيات تعطيل Pod الخاطئة، ما يضمن الحد الأدنى لعدد الجرابات التشغيلية. راجع وثائق Kubernetes الرسمية للحصول على التفاصيل. يعتمد على النسخ المتماثل لبيانات Gatekeeper ويتزامن مع جميع موارد الدخول التي تم تحديد نطاقها إليه في OPA. قبل تطبيق هذا النهج، تأكد من أن موارد الدخول المتزامنة لن تجهد سعة الذاكرة. على الرغم من أن المعلمات تقيم مساحات أسماء معينة، فإن جميع الموارد من هذا النوع عبر مساحات الأسماء ستتم مزامنتها. ملاحظة: قيد المعاينة حاليا لخدمة Kubernetes (AKS). | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يجب أن تقيد مجموعات Kubernetes إنشاء نوع مورد معين | يتعين عدم توزيع نوع مورد Kubernetes المحدد في مساحة اسم معينة. | التدقيق، الرفض، التعطيل | 2.2.0-معاينة |
| [معاينة]: يجب أن يكون لديك مجموعة قواعد عدم الترابط | يضمن هذا النهج جدولة الحجيرات على عقد مختلفة داخل نظام المجموعة. من خلال فرض قواعد عدم الترابط، يتم الحفاظ على التوفر حتى إذا أصبحت إحدى العقد غير متوفرة. ستستمر Pods في العمل على العقد الأخرى، ما يعزز المرونة. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: لا توجد تسميات محددة ل AKS | يمنع العملاء من تطبيق تسميات محددة ل AKS. تستخدم AKS تسميات مسبوقة kubernetes.azure.com بالإشارة إلى المكونات المملوكة ل AKS. يجب ألا يستخدم العميل هذه التسميات. |
التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: طباعة رسالة إذا تم تطبيق طفرة | البحث عن التعليقات التوضيحية للطفرة المطبقة وطباعة رسالة إذا كان هناك تعليق توضيحي. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: تصبغات تجمع النظام المحجوزة | يقيد صبغة CriticalAddonsOnly إلى تجمع النظام فقط. تستخدم AKS تلوث CriticalAddonsOnly للحفاظ على جرابات العملاء بعيدا عن تجمع النظام. يضمن فصلا واضحا بين مكونات AKS وقرون العملاء، بالإضافة إلى منع إخلاء جرابات العملاء إذا لم تتسامح مع تلوث CriticalAddonsOnly. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يقيد صبغة CriticalAddonsOnly إلى تجمع النظام فقط. | لتجنب إخلاء تطبيقات المستخدم من تجمعات المستخدمين والحفاظ على فصل المخاوف بين تجمعات المستخدم والنظام، يجب عدم تطبيق تلوث "CriticalAddonsOnly" على تجمعات المستخدمين. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين automountServiceAccountToken في مواصفات Pod في حاويات إلى خطأ. | يؤدي تعيين automountServiceAccountToken إلى false إلى زيادة الأمان عن طريق تجنب التحميل التلقائي الافتراضي للرموز المميزة لحساب الخدمة | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين حقول Kubernetes cluster container securityContext.runAsUser إلى 1000، معرف مستخدم غير جذري | يقلل من سطح الهجوم الذي تم تقديمه عن طريق تصعيد الامتيازات كمستخدم جذر في وجود ثغرات أمنية. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين حدود وحدة المعالجة المركزية لحاويات نظام مجموعة Kubernetes على القيم الافتراضية في حالة عدم وجودها. | تعيين حدود وحدة المعالجة المركزية للحاوية لمنع هجمات استنفاد الموارد في مجموعة Kubernetes. | متغير، معطل | 1.1.1 معاينة |
| [معاينة]: تعيين حدود ذاكرة حاويات نظام مجموعة Kubernetes على القيم الافتراضية في حالة عدم وجودها. | تعيين حدود ذاكرة الحاوية لمنع هجمات استنفاد الموارد في مجموعة Kubernetes. | متغير، معطل | 1.1.1 معاينة |
| [معاينة]: تعيين نوع ملف تعريف وضع الحوسبة الآمن لحاويات نظام مجموعة Kubernetes إلى RuntimeDefault إذا لم يكن موجودا. | تعيين نوع ملف تعريف وضع الحوسبة الآمن للحاويات لمنع استدعاءات النظام غير المصرح بها والمحتمل أن تكون ضارة إلى النواة من مساحة المستخدم. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين حقول حاويات مجموعة Kubernetes init securityContext.runAsUser إلى 1000، معرف مستخدم غير جذر | يقلل من سطح الهجوم الذي تم تقديمه عن طريق تصعيد الامتيازات كمستخدم جذر في وجود ثغرات أمنية. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين نوع ملف تعريف وضع الحوسبة الآمن لحاويات مجموعة Kubernetes إلى RuntimeDefault إذا لم يكن موجودا. | تعيين نوع ملف تعريف وضع الحوسبة الآمن لحاويات التهيئة لمنع استدعاءات النظام غير المصرح بها والمحتمل أن تكون ضارة إلى النواة من مساحة المستخدم. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين حقول Kubernetes cluster Pod securityContext.runAsUser إلى 1000، معرف مستخدم غير جذري | يقلل من سطح الهجوم الذي تم تقديمه عن طريق تصعيد الامتيازات كمستخدم جذر في وجود ثغرات أمنية. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين maxUnavailable pods إلى 1 لموارد PodDisruptionBudget | يضمن تعيين الحد الأقصى لقيمة الجراب غير المتوفرة إلى 1 توفر التطبيق أو الخدمة أثناء حدوث انقطاع | متغير، معطل | 1.1.0-preview |
| [معاينة]: يعين تصعيد الامتياز في مواصفات الجراب في حاويات التهيئة إلى خطأ. | يؤدي تعيين تصعيد الامتياز إلى خطأ في حاويات init إلى زيادة الأمان عن طريق منع الحاويات من السماح بتصعيد الامتيازات مثل وضع ملف set-user-ID أو set-group-ID. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين تصعيد الامتياز في مواصفات Pod إلى خطأ. | يؤدي تعيين تصعيد الامتياز إلى خطأ إلى زيادة الأمان عن طريق منع الحاويات من السماح بتصعيد الامتيازات مثل وضع ملف set-user-ID أو set-group-ID. | متغير، معطل | 1.0.0-المعاينة |
| [معاينة]: تعيين readOnlyRootFileSystem في مواصفات Pod في حاويات init إلى true إذا لم يتم تعيينه. | يؤدي تعيين readOnlyRootFileSystem إلى true إلى زيادة الأمان عن طريق منع الحاويات من الكتابة في نظام ملفات الجذر. يعمل هذا فقط لحاويات Linux. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين readOnlyRootFileSystem في مواصفات Pod إلى true إذا لم يتم تعيينه. | يؤدي تعيين readOnlyRootFileSystem إلى true إلى زيادة الأمان عن طريق منع الحاويات من الكتابة في نظام ملفات الجذر | متغير، معطل | 1.1.0-preview |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب أن تقوم مجموعات Azure Kubernetes بتعطيل SSH | يمنحك تعطيل SSH القدرة على تأمين مجموعتك وتقليل سطح الهجوم. لمعرفة المزيد، تفضل بزيارة: aka.ms/aks/disablessh | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات Azure Kubernetes واجهة تخزين الحاويات (CSI) | واجهة تخزين الحاويات (CSI) هي معيار لكشف أنظمة تخزين الملفات والكتلة العشوائية لأحمال العمل الحاوية على خدمة Azure Kubernetes. لمعرفة المزيد، https://aka.ms/aks-csi-driver | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات Azure Kubernetes خدمة إدارة المفاتيح (KMS) | استخدم خدمة إدارة المفاتيح (KMS) لتشفير البيانات السرية الثابتة في etcd لأمان مجموعة Kubernetes. تعرف على المزيد من خلال: https://aka.ms/aks/kmsetcdencryption. | المراجعة، معطلة | 1.0.0 |
| يتعين أن تستخدم نظام مجموعات Azure Kubernetes Azure CNI | Azure CNI هو شرط أساس لبعض ميزات خدمة Azure Kubernetes، بما في ذلك النهج الخاص بشبكة Azure وتجمعات عقد Windows والعقد الظاهرية الإضافية. تعرّف على المزيد من خلال: https://aka.ms/aks-azure-cni | المراجعة، معطلة | 1.0.1 |
| يتعين أن تقوم نظام مجموعات خدمة Azure Kubernetes بتعطيل أمر الاستدعاء | يمكن أن يؤدي تعطيل ميزة استدعاء الأمر إلى تحسين الأمان عن طريق تجنب تجاوز الوصول المقيد إلى الشبكة أو التحكم في الوصول المستند إلى الدور في Kubernetes | المراجعة، معطلة | 1.0.1 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes الترقية التلقائية لنظام المجموعة | يمكن أن تضمن الترقية التلقائية لنظام مجموعة AKS تحديث مجموعاتك ولا تفوت أحدث الميزات أو التصحيحات من AKS وKubernetes المصدر. تعرف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes من منظف الصور | يقوم "منظف الصور" بتعريف الصور وإزالتها بشكل تلقائي ضعيف وغير مستخدم، مما يخفف من مخاطر الصور القديمة ويقلل من الوقت اللازم لتنظيفها. تعرف على المزيد من خلال: https://aka.ms/aks/image-cleaner. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes تكامل معرف Microsoft Entra | يمكن لتكامل معرف Microsoft Entra المدار بواسطة AKS إدارة الوصول إلى المجموعات عن طريق تكوين التحكم في الوصول المستند إلى دور Kubernetes (Kubernetes RBAC) استنادا إلى هوية المستخدم أو عضوية مجموعة الدليل. تعرف على المزيد من خلال: https://aka.ms/aks-managed-aad. | المراجعة، معطلة | 1.0.2 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes الترقية التلقائية لنظام تشغيل العقدة | تتحكم الترقية التلقائية لنظام التشغيل لعقدة AKS في تحديثات أمان نظام التشغيل على مستوى العقدة. تعرف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes هوية حمل العمل | تسمح هوية حمل العمل بتعيين هوية فريدة لكل جراب Kubernetes وربطها بالموارد المحمية في Azure AD مثل Azure Key Vault، ما يتيح الوصول الآمن إلى هذه الموارد من داخل Pod. تعرف على المزيد من خلال: https://aka.ms/aks/wi. | المراجعة، معطلة | 1.0.0 |
| يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers في https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | المراجعة، معطلة | 2.0.1 |
| يجب أن يتم تعطيل طرق المصادقة المحلية في مجموعات خدمة Azure Kubernetes | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب مجموعات خدمة Azure Kubernetes الحصرية هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aks-disable-local-accounts. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين أن تستخدم نظام مجموعات خدمة Azure Kubernetes الهويات المدارة | استخدم الهويات المدارة للالتفاف حول الكيانات الخاصة بالخدمة، وتبسيط إدارة نظام المجموعة وتجنب التعقيد المطلوب لكيانات الخدمة المدارة. تعرّف على المزيد من خلال: https://aka.ms/aks-update-managed-identities | المراجعة، معطلة | 1.0.1 |
| يجب تمكين المجموعات الخاصة لخدمة Azure Kubernetes | قم بتمكين ميزة المجموعة الخاصة لمجموعة خدمة Azure Kubernetes لضمان بقاء حركة مرور الشبكة بين خادم واجهة برمجة التطبيقات وتجمعات العقد الخاصة بك على الشبكة الخاصة فقط. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| تكوين نظام مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.Defender على نظام مجموعة خدمة Azure Kubernetes، يتم نشر عامل إلى نظام المجموعة الخاص بك لجمع بيانات حدث الأمان. تعرّف على المزيد عن Microsoft Defender لـ Cosmos DB: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists، معطل | 4.2.0 |
| تكوين تثبيت ملحق Flux على مجموعة Kubernetes | تثبيت ملحق Flux على مجموعة Kubernetes لتمكين نشر "fluxconfigurations" في نظام المجموعة | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مصدر المستودع والبيانات السرية في KeyVault | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من المستودع المحدد. يتطلب هذا التعريف مستودع SecretKey مخزنًا في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وشهادة HTTPS CA | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف شهادة HTTPS CA. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git والبيانات السرية لـ HTTPS | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف بيانات سرية مفتاح HTTPS مخزنًا في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وبيانات سرية محلية | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف بيانات سرية المصادقة المحلية المخزنة في مجموعة Kubernetes. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وبيانات سرية SSH | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف البيانات السرية لمفتاح خاص لـ SSH في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git العام | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. هذا التعريف لا يتطلب معلومات سرية. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع مصدر مستودع Flux v2 محدد باستخدام البيانات السرية المحلية | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من المستودع المحدد. يتطلب هذا التعريف بيانات سرية المصادقة المحلية المخزنة في مجموعة Kubernetes. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة باستخدام المعلومات السرية لـ HTTPS | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. يتطلب هذا التعريف مستخدم HTTPS والمعلومات السرية للمفتاح المخزنة في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة بدون استخدام معلومات سرية | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. هذا التعريف لا يتطلب معلومات سرية. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة باستخدام معلومات سرية لـ SSH | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. يتطلب هذا التعريف المعلومات السرية لمفتاح خاص لـ SSH في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين Microsoft Entra ID المتكامل Azure Kubernetes Service Clusters مع وصول مجموعة المسؤولين المطلوب | تأكد من تحسين أمان نظام المجموعة من خلال التحكم مركزيا في وصول المسؤول إلى مجموعات AKS المتكاملة لمعرف Microsoft Entra. | DeployIfNotExists، معطل | 2.1.0 |
| تكوين الترقية التلقائية لنظام تشغيل العقدة على نظام مجموعة Azure Kubernetes | استخدم الترقية التلقائية لنظام التشغيل Node للتحكم في تحديثات أمان نظام التشغيل على مستوى العقدة لمجموعات Azure Kubernetes Service (AKS). لمزيد من المعلومات، تفضل بزيارة https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists، معطل | 1.0.1 |
| النشر - تكوين إعدادات التشخيص لخدمة Azure Kubernetes لتسجيل مساحة عمل Analytics | ينشر إعدادات التشخيص لخدمة Azure Kubernetes لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 3.0.0 |
| نشر الوظيفة الإضافية لنهج Azure في مجموعات خدمة Azure Kubernetes | استخدم وظيفة Azure Policy الإضافية لإدارة حالة الامتثال لمجموعات Azure Kubernetes Service (AKS) وإعداد التقارير عنها. لمزيد من المعلومات، انظر https://aka.ms/akspolicydoc. | DeployIfNotExists، معطل | 4.1.0 |
| نشر منظف الصور على خدمة Azure Kubernetes | نشر Image Cleaner على مجموعات Azure Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-cleaner | DeployIfNotExists، معطل | 1.0.4 |
| نشر الصيانة المخطط لها لجدولة الترقيات والتحكم فيها لنظام مجموعة Azure Kubernetes Service (AKS) | تسمح لك الصيانة المخطط لها بجدولة نوافذ الصيانة الأسبوعية لإجراء التحديثات وتقليل تأثير حمل العمل. بمجرد جدولتها، تحدث الترقيات فقط أثناء النافذة التي حددتها. تعرّف على المزيد من خلال: https://aka.ms/aks/planned-maintenance | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تعطيل استدعاء الأمر على نظام مجموعات خدمة Azure Kubernetes | يمكن أن يؤدي تعطيل استدعاء الأمر إلى تحسين الأمان بواسطة رفض استدعاء الوصول إلى الأمر إلى نظام المجموعة | DeployIfNotExists، معطل | 1.2.0 |
| تأكد من أن حاويات نظام مجموعة بها مجسات استعداد أو حيوية تم تكوينها | تفرض هذه السياسة أن جميع البودات بها تحقيقات جاهزية و/ أو حيوية تم تكوينها. يمكن أن تكون الأنواع الخاصة بالفحص أي من tcpSocket وhttpGet وexec. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. للحصول على إرشادات حول استخدام هذا النهج، تفضل بزيارة https://aka.ms/kubepolicydoc. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم حاويات مجموعة Kubernetes واجهات sysctl محظورة | يجب ألا تستخدم الحاويات واجهات sysctl محظورة في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes فقط ProcMountType المسموح بها | يمكن للحاويات الجرابية فقط استخدام ProcMountTypes المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.1 |
| يتعين أن تستخدم حاويات نظام المجموعة Kubernetes نهج السحب المسموح به فحسب | تقييد النهج الخاص بسحب الحاويات لفرض الحاويات لاستخدام الصور المسموح بها في عمليات التوزيع فحسب | التدقيق، الرفض، التعطيل | 3.1.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes ملفات تعريف seccomp المسموح بها فقط | يمكن للحاويات الجرابية فقط استخدام ملفات تعريف seccomp المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم وحدات التخزين FlexVolume الجرابية الخاصة بمجموعة Kubernetes برامج التشغيل المسموح بها فقط | يجب أن تستخدم وحدات تخزين FlexVolumeالجرابية برامج التشغيل المسموح بها فقط في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.1 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم جرابات وحاويات مجموعات Kubernetes خيارات SELinux المسموح بها فقط | يجب أن تستخدم الجرابات والحاويات خيارات SELinux المسموح بها فقط في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم جرابات مجموعات Kubernetes أنواع وحدات التخزين المسموح بها فقط | لا يمكن للجرابات سوى استخدام أنواع وحدات التخزين المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستخدم جرابات مجموعات Kubernetes تسميات محددة | استخدم التسميات المحددة لتحديد الجرابات في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تستخدم خدمات مجموعة Kubernetes عناوين IP الخارجية المسموح بها فقط | استخدم عناوين IP الخارجية المسموح بها لتجنب الهجوم المحتمل (CVE-2020-8554) في مجموعة Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يتعين ألا تستخدم نظام مجموعة Kubernetes البودات المجردة | حظر استخدام البودات المجردة. لن تتم إعادة جدولة البودات المجردة في حالة تعطل العقدة. يتعين إدارة البودات بواسطة التوزيع أو Replicset أو Daemonset أو المهام | التدقيق، الرفض، التعطيل | 2.1.0 |
| يتعين ألا تتجاوز حاويات Windows لنظام مجموعة Kubernetes الالتزام الزائد لوحدة المعالجة المركزية والذاكرة | يتعين أن تكون طلبات موارد حاوية Windows أقل أو مساوية لحد الموارد أو غير محددة لتجنب الإفراط في الالتزام. في حالة كانت ذاكرة Windows مزودة بطريقة زائدة، فستعالج الصفحات في القرص - والتي يمكن أن تؤدي إلى إبطاء الأداء - بدلا من إنهاء الحاوية مع نفاد الذاكرة | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب ألا تعمل حاويات Windows لنظام مجموعة Kubernetes ك ContainerAdministrator | منع استخدام ContainerAdministrator كمستخدم لتنفيذ عمليات الحاوية لحاويات أو حاويات Windows. تهدف هذه التوصية إلى تحسين أمان عقد Windows. لمزيد من المعلومات، راجع https://kubernetes.io/docs/concepts/windows/intro/ . | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين تشغيل حاويات Windows لنظام مجموعة Kubernetes فحسب مع مستخدم معتمد ومجموعة مستخدم المجال | تحكم في المستخدم الذي يمكن أن تستخدمه بودات التخزين والحاويات التي تعمل بنظام التشغيل Windows للتشغيل في نظام مجموعة Kubernetes. هذه التوصية جزء من سياسات أمان Pod على عقد Windows والتي تعمل على تحسين أمان بيئات Kubernetes الخاصة بك. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.1.0 |
| يجب أن تضمن مجموعات Kubernetes استخدام دور مسؤول نظام المجموعة فقط عند الحاجة | يوفر الدور 'cluster-admin' صلاحيات واسعة النطاق على البيئة ويجب استخدامه فقط حيث ومتى لزم الأمر. | المراجعة، معطلة | 1.0.0 |
| يجب أن تقلل مجموعات Kubernetes من استخدام حرف البدل في دور الدور والكتلة | يمكن أن يكون استخدام أحرف البدل '*' خطرا أمنيا لأنه يمنح أذونات واسعة قد لا تكون ضرورية لدور معين. إذا كان الدور يحتوي على أذونات كثيرة جدا، فمن المحتمل أن يتم إساءة استخدامه من قبل مهاجم أو مستخدم مخترق للحصول على وصول غير مصرح به إلى الموارد في نظام المجموعة. | المراجعة، معطلة | 1.0.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن لا تسمح مجموعات Kubernetes بأذونات تحرير نقطة النهاية لـ ClusterRole/system:التجميع إلى التحرير | ClusterRole/system: التجميع إلى التحرير ينبغي أن لا تسمح أذونات تحرير نقطة النهاية بسببCVE-2021-25740، Endpoint & EndpointSlice أذونات تسمح إعادة توجيه عبر مساحة الاسم، https://github.com/kubernetes/kubernetes/issues/103675. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | المراجعة، معطلة | 3.1.0 |
| المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يتعين ألا تستخدم نظام مجموعات Kubernetes إمكانيات أمان معينة | يجب منع إمكانات الأمان المحددة في مجموعات Kubernetes لمنع الامتيازات غير الممنوحة على مورد Pod. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.1.0 |
| يجب أن تستخدم مجموعات Kubernetes برنامج تشغيل Container Storage Interface (CSI) StorageClass | واجهة تخزين الحاويات (CSI) هي معيار عرض كتلة عشوائية وأنظمة لتخزين ملفات أحمال العمل موضوعة بحاويات على Kubernetes. يجب إهمال StorageClass للتزويد داخل الشجرة منذ إصدار AKS 1.21. لمعرفة المزيد، https://aka.ms/aks-csi-driver | التدقيق، الرفض، التعطيل | 2.2.0 |
| يجب أن تستخدم مجموعات Kubernetes موازنات التحميل الداخلية | استخدم موازنات التحميل الداخلية لإتاحة خدمة Kubernetes فقط للتطبيقات التي تعمل في نفس الشبكة الافتراضية مثل مجموعة Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يتعين أن تحتوي موارد Kubernetes على تعليقات توضيحية مطلوبة | تأكد من إرفاق التعليقات التوضيحية المطلوبة على نوع مورد Kubernetes معين لعملية تحسين إدارة الموارد لموارد Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | التدقيق، الرفض، التعطيل | 3.1.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| ينبغي تمكين سجلات الموارد في Azure Kubernetes Service | يمكن أن تساعد سجلات موارد Azure Kubernetes Service في إعادة إنشاء مسارات الأنشطة عند التحقيق في حوادث الأمان. تمكينه للتأكد من وجود السجلات عند الحاجة | AuditIfNotExists، معطل | 1.0.0 |
| يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.
التعاون معنا على GitHub
يمكن العثور على مصدر هذا المحتوى على GitHub حيث يمكنك أيضاً إضافة مشاكل وطلبات سحب ومراجعتها. للحصول على معلومات إضافية، اطلع على دليل المساهم لدينا.
Azure Kubernetes Service
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ