Controles de cumplimiento normativo de Azure Policy para Azure Kubernetes Service (AKS)
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas (integradas) creadas y administradas por Microsoft para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad de Azure Kubernetes Service (AKS).
Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 8 Otras consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| 8 Otras consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
CMMC nivel 3
Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, los procesos que actúan en nombre de los usuarios autorizados y los dispositivos (incluidos otros sistemas de información). | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados y a los dispositivos (incluidos otros sistemas de información). | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Control de acceso | AC.2.007 | Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Administración de la configuración | CM.2.062 | Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST 9.2
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración de privilegios | 1149.01c2System.9 - 01.c | Con el fin de facilitar el uso compartido de la información, la organización permite que los usuarios autorizados determinen el acceso de un asociado comercial según unos criterios definidos y el empleo de procesos manuales o mecanismos automatizados para ayudar a los usuarios a tomar decisiones de colaboración y uso compartido de la información. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| 11 Control de acceso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Acceso autorizado a sistemas de información | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| 12 Registros de auditoría y supervisión | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para obtener más información sobre este estándar de cumplimiento, consulte la cartera de directivas de Microsoft Cloud for Sovereignty.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| SO.3: Claves administradas por el cliente | SO.3 | Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
Pruebas comparativas de seguridad de Microsoft Cloud
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.1.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | 9.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | 5.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.1.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | 9.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.1.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.1.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | No permitir contenedores con privilegios en el clúster de Kubernetes | 9.1.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 7.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | 9.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | 5.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.1.1 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | 9.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.1.1 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.1.1 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | No permitir contenedores con privilegios en el clúster de Kubernetes | 9.1.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 7.1.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración técnica de vulnerabilidades C.04.3: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | 9.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | 5.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.1.1 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | 9.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.1.1 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.1.1 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | 6.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | No permitir contenedores con privilegios en el clúster de Kubernetes | 9.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | 4.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 7.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | 5.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | 4.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.1.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y ha sido implementado. | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.1.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.1.0 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| U.11.3 Criptoservicios: cifrado | U.11.3 | Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Los registros de recursos de Azure Kubernetes Service se deben habilitar | 1.0.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Gobernanza de TI | 1 | Gobernanza de TI-1 | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Información y ciberseguridad | 3.1.a | Identificación y clasificación de recursos de información-3.1 | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Información y ciberseguridad | 3.1.c | Control de acceso basado en rol-3.1 | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
| Información y ciberseguridad | 3.1.g | Senderos-3.1 | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. | 2.0.1 |
| Información y ciberseguridad | 3.3 | Administración de vulnerabilidades-3.3 | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
Banco de la Reserva de la India: marco informático para bancos, v2016
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Domain | Id. de control | Título de control | Directiva (Azure Portal) |
Versión de la directiva (GitHub) |
|---|---|---|---|---|
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades-7.7 | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 | |
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.2 | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. | 2.0.1 | |
| Administración o control de acceso de usuarios | Administración y control de acceso de usuarios-8.1 | El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | 1.0.3 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
Azure Kubernetes Service
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de