Řízení dodržování právních předpisů Azure Policy pro Službu Azure Kubernetes Service (AKS)
Dodržování právních předpisů v Azure Policy poskytuje definice iniciativ (integrované) vytvořené a spravované Microsoftem pro domény dodržování předpisů a kontrolní mechanismy zabezpečení související s různými standardy dodržování předpisů. Tato stránka obsahuje seznam domén dodržování předpisů a kontrolních mechanismů zabezpečení služby Azure Kubernetes Service (AKS).
Předdefinované prvky pro ovládací prvek zabezpečení můžete přiřadit jednotlivě, aby vaše prostředky Azure vyhovovaly konkrétnímu standardu.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zásad zobrazte zdroj v úložišti Azure Policy na GitHubu.
Důležité
Každý ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit soulad s kontrolou. Často ale není mezi ovládacím prvek a jednou nebo více zásadami shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné zásady. Tím se nezajistí, že plně vyhovujete všem požadavkům ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi dodržování právních předpisů azure Policy pro tyto standardy dodržování předpisů se můžou v průběhu času měnit.
Srovnávací test CIS Microsoft Azure Foundations 1.1.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Srovnávací test CIS Microsoft Azure Foundations 1.1.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 8 Další aspekty zabezpečení | 8.5 | Povolení řízení přístupu na základě role (RBAC) ve službě Azure Kubernetes Services | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
Srovnávací test CIS Microsoft Azure Foundations 1.3.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů pro Azure Policy – srovnávací test CIS Microsoft Azure Foundations 1.3.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 8 Další aspekty zabezpečení | 8.5 | Povolení řízení přístupu na základě role (RBAC) ve službě Azure Kubernetes Services | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
Srovnávací test CIS Microsoft Azure Foundations 1.4.0
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro CIS verze 1.4.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 8 Další aspekty zabezpečení | 8.7 | Povolení řízení přístupu na základě role (RBAC) ve službě Azure Kubernetes Services | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
CMMC level 3
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – CMMC úrovně 3. Další informace o této normě dodržování předpisů najdete v tématu Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Řízení přístupu | AC.2.007 | Používejte princip nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Řízení přístupu | AC.2.016 | Řízení toku CUI v souladu se schválenými autorizací. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Správa konfigurace | CM.2.062 | Použití principu nejnižší funkčnosti konfigurací organizačních systémů tak, aby poskytovaly pouze základní možnosti. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Posouzení rizik | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| System and Communications Protection | SC.3.177 | Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI. | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Integrita systému a informací | SI.1.210 | Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
FedRAMP vysoké úrovně
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High.
FedRAMP Moderate
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – FedRAMP Moderate. Další informace o této normě dodržování předpisů najdete v tématu FedRAMP Moderate.
HIPAA HITRUST 9.2
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – HIPAA HITRUST 9.2. Další informace o této normě dodržování předpisů naleznete v tématu HIPAA HITRUST 9.2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Správa oprávnění | 1149.01c2System.9 - 01.c | Organizace usnadňuje sdílení informací tím, že oprávněným uživatelům umožní určit přístup obchodního partnera, pokud je podle vlastního uvážení povoleno, jak je definováno organizací, a pomocí ručních procesů nebo automatizovaných mechanismů, které uživatelům pomáhají při rozhodování o sdílení informací a spolupráci. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| 11 Řízení přístupu | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autorizovaný přístup k informačním systémům | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| 12 Protokolování auditu a monitorování | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Zdokumentované provozní postupy | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
Důvěrné zásady standardních hodnot suverenity pro Microsoft Cloud for Sovereignty
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů azure Policy pro důvěrné zásady standardních hodnot suverenity MCfS. Další informace o tomto standardu dodržování předpisů najdete v portfoliu zásad suverenity společnosti Microsoft Cloud.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| SO.3 – Klíče spravované zákazníkem | SO.3 | Produkty Azure musí být nakonfigurované tak, aby používaly klíče spravované zákazníkem, pokud je to možné. | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
Srovnávací test zabezpečení cloudu Microsoftu
Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Pokud chcete zjistit, jak se tato služba kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na soubory mapování srovnávacích testů zabezpečení Azure.
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů azure Policy – srovnávací test zabezpečení cloudu Microsoftu.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Zabezpečení sítě | NS-2 | Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| Privilegovaný přístup | PA-7 | Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění) | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Ochrana dat | DP-3 | Šifrování citlivých dat během přenosu | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| Protokolování a detekce hrozeb | LT-1 | Povolení možností detekce hrozeb | Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | 2.0.1 |
| Protokolování a detekce hrozeb | LT-2 | Povolení detekce hrozeb pro správu identit a přístupu | Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | 2.0.1 |
| Protokolování a detekce hrozeb | LT-3 | Povolení protokolování pro šetření zabezpečení | Protokoly prostředků ve službě Azure Kubernetes Service by měly být povolené. | 1.0.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | 1.0.2 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | 9.2.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | 5.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | 6.1.1 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | 6.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | 9.2.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | 6.2.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | 6.1.1 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | 6.1.1 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | 8.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | 9.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | 4.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | 7.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | 5.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-2 | Auditování a vynucování zabezpečených konfigurací | Clustery Kubernetes by neměly používat výchozí obor názvů. | 4.1.0 |
| Správa stavu a ohrožení zabezpečení | PV-6 | Rychlá a automatická náprava ohrožení zabezpečení | Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | 1.0.1 |
| Zabezpečení DevOps | DS-6 | Vynucování zabezpečení úloh v průběhu životního cyklu DevOps | Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | 1.0.1 |
NIST SP 800-171 R2
Informace o tom, jak se dostupné integrované služby Azure Policy mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800–171 R2. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| System and Communications Protection | 3.13.10 | Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
| System and Communications Protection | 3.13.16 | Ochrana důvěrnosti CUI v klidovém stavu. | Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | 1.0.1 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| System and Communications Protection | 3.13.8 | Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud nejsou jinak chráněny alternativními fyzickými bezpečnostními opatřeními. | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| Integrita systému a informací | 3.14.1 | Umožňuje včas identifikovat, hlásit a opravit chyby systému. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | 1.0.2 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | 9.2.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | 5.1.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | 6.1.1 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | 6.1.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | 9.2.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | 6.2.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | 6.1.1 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | 6.1.1 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | 8.1.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | 9.1.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | 7.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | 1.0.2 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | 9.2.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | 5.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | 6.1.1 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | 6.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | 9.2.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | 6.2.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | 6.1.1 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | 6.1.1 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | 8.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | 9.1.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | 7.1.0 |
NIST SP 800-53 Rev. 4
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 4. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 5. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 5.
Motiv NL BIO Cloud
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy v tématu NL BIO Cloud. Další informace o této normě dodržování předpisů najdete v tématu Zabezpečení zabezpečení informací podle směrného plánu – digitální státní správa (digitaleoverheid.nl).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| C.04.3 Technické správa ohrožení zabezpečení - Časové osy | C.04.3 | Pokud je pravděpodobnost zneužití a očekávané poškození obě vysoké, opravy se nainstalují nejpozději do týdne. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| C.04.6 Technické správa ohrožení zabezpečení - Časové osy | C.04.6 | Technické nedostatky je možné napravit včas prováděním správy oprav. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | 1.0.2 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | 9.2.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | 5.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | 6.1.1 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | 6.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | 9.2.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | 6.2.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | 6.1.1 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | 6.1.1 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | 6.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | 8.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | 9.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | 4.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | 7.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Clustery Kubernetes by neměly používat výchozí obor názvů. | 4.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| Ochrana dat U.05.1 – Kryptografické míry | U.05.1 | Přenos dat je zabezpečený pomocí kryptografie, kde je správa klíčů prováděna samotným CSC, pokud je to možné. | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | 1.0.1 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| Oddělení dat u.07.3 – Funkce správy | U.07.3 | U.07.3 – Oprávnění k zobrazení nebo úpravě dat CSC a/nebo šifrovacích klíčů jsou udělena řízeným způsobem a používají se protokolovaná. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| U.11.1 Cryptoservices - Zásady | U.11.1 | V kryptografické politice byly propracovany alespoň předměty v souladu s BIO. | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| U.11.2 Cryptoservices – kryptografické míry | U.11.2 | V případě certifikátů PKIoverheid se pro správu klíčů používají požadavky PKIoverheid. V jiných situacích použijte ISO11770. | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | 1.0.1 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Protokoly prostředků ve službě Azure Kubernetes Service by měly být povolené. | 1.0.0 |
Reserve Bank of India - IT Framework for NBFC
Pokud chcete zkontrolovat, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Reserve Bank of India – IT Framework pro NBFC. Další informace o této normě dodržování předpisů naleznete v tématu Reserve Bank of India - IT Framework for NBFC.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Zásady správného řízení IT | 0 | Zásady správného řízení IT–1 | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
| Informace a zabezpečení kyberzločince | 3.1.a | Identifikace a klasifikace informačních prostředků-3.1 | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Informace a zabezpečení kyberzločince | 3.1.c | Řízení přístupu na základě role -3.1 | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
| Informace a zabezpečení kyberzločince | 3.1.g | Stezky-3.1 | Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | 2.0.1 |
| Informace a zabezpečení kyberzločince | 3.3 | Správa ohrožení zabezpečení -3.3 | Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | 1.0.2 |
Reserve Bank of India IT Framework for Banks v2016
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – RBI ITF Banks v2016. Další informace o této normě dodržování předpisů najdete v tématu RBI ITF Banks v2016 (PDF).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Oprava / Správa chyb zabezpečení a změn | Oprava / ohrožení zabezpečení a správa změn -7.7 | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 | |
| Pokročilá správa v reálném čase | Advanced Real-Timethreat Defenseand Management-13.2 | Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | 2.0.1 | |
| Řízení uživatelských přístupů / správa | Řízení přístupu uživatelů / Správa-8.1 | Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | 1.0.3 |
RMIT Malajsie
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů Azure Policy – RMIT Malajsie. Další informace o této normě dodržování předpisů naleznete v tématu RMIT Malajsie.
Španělsko ENS
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro Španělsko ENS. Další informace o této normě dodržování předpisů najdete v tématu CCN-STIC 884.
SWIFT CSP-CSCF v2021
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v podrobnostech o dodržování právních předpisů azure Policy pro SWIFT CSP-CSCF v2021. Další informace o této normě dodržování předpisů najdete v tématu SWIFT CSP CSCF v2021.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Ochrana prostředí SWIFT | 1,1 | Ochrana prostředí SWIFT | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| Ochrana prostředí SWIFT | 1.4 | Omezení přístupu k internetu | Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | 2.0.1 |
| Omezení prostoru pro útoky a ohrožení zabezpečení | 2.1 | Interní zabezpečení Tok dat | Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | 8.1.0 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6,2 | Integrita softwaru | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
| Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.5A | Detekce neoprávněných vniknutí | Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | 1.0.1 |
Ovládací prvky systému a organizace (SOC) 2
Pokud si chcete projít, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro system and organization controls (SOC) 2. Další informace o této normě dodržování předpisů naleznete v tématu System and Organization Controls (SOC) 2.
Další kroky
- Přečtěte si další informace o dodržování právních předpisů azure Policy.
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.