Předdefinované definice azure Policy pro Kubernetes s podporou Azure Arc
Tato stránka je indexem předdefinovaných definic zásad azure Policy pro Kubernetes s podporou Azure Arc. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Kubernetes s podporou Azure Arc
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
[Preview]: Rozšíření Azure Backup by mělo být nainstalované v clusterech AKS. | Zajistěte ochranu instalace rozšíření zálohování v clusterech AKS pro využití služby Azure Backup. Azure Backup pro AKS je zabezpečené a cloudové nativní řešení ochrany dat pro clustery AKS. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Konfigurace clusterů Kubernetes s podporou Azure Arc pro instalaci rozšíření Microsoft Defender for Cloud | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, zakázáno | 7.3.0-preview |
[Preview]: Nainstalujte rozšíření Azure Backup v clusterech AKS (spravovaný cluster) s danou značkou. | Instalace rozšíření Azure Backup je předpokladem pro ochranu clusterů AKS. Vynucujte instalaci rozšíření zálohování ve všech clusterech AKS obsahujících danou značku. Díky tomu můžete spravovat zálohování clusterů AKS ve velkém měřítku. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Preview]: Nainstalujte rozšíření Azure Backup do clusterů AKS (spravovaný cluster) bez dané značky. | Instalace rozšíření Azure Backup je předpokladem pro ochranu clusterů AKS. Vynucujte instalaci rozšíření zálohování ve všech clusterech AKS bez konkrétní hodnoty značky. Díky tomu můžete spravovat zálohování clusterů AKS ve velkém měřítku. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Preview]: Clustery Kubernetes by měly omezit vytváření daného typu prostředku. | Daný typ prostředku Kubernetes by neměl být nasazen v určitém oboru názvů. | Audit, Odepřít, Zakázáno | 2.3.0-preview |
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. | Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | AuditIfNotExists, zakázáno | 1.1.0 |
Clustery Kubernetes s podporou Služby Azure Arc by měly být nakonfigurované s oborem služby Azure Arc Private Link. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Audit, Odepřít, Zakázáno | 1.0.0 |
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Open Service Mesh. | Rozšíření Open Service Mesh poskytuje všechny standardní možnosti sítě služeb pro zabezpečení, správu provozu a pozorovatelnost aplikačních služeb. Další informace najdete tady: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Strimzi Kafka. | Rozšíření Strimzi Kafka poskytuje operátorům instalaci Kafka pro vytváření datových kanálů v reálném čase a streamovaných aplikací s možnostmi zabezpečení a pozorovatelnosti. Další informace najdete tady: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Konfigurace clusterů Kubernetes s podporou Azure Arc pro instalaci rozšíření Azure Policy | Nasaďte rozšíření služby Azure Policy pro Azure Arc, abyste zajistili vynucení ve velkém měřítku a chránili clustery Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace clusterů Kubernetes s podporou Služby Azure Arc pro použití oboru služby Azure Arc Private Link | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním serverů s podporou Služby Azure Arc na obor služby Azure Arc Private Link, který je nakonfigurovaný s privátním koncovým bodem, se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/arc/privatelink. | Upravit, zakázáno | 1.0.0 |
Konfigurace instalace rozšíření Flux v clusteru Kubernetes | Instalace rozšíření Flux v clusteru Kubernetes za účelem povolení nasazení fluxconfigurations v clusteru | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí zdroje kbelíku a tajných kódů ve službě KeyVault | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje kontejner SecretKey uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a certifikátu CERTIFIKAČNÍ autority HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje certifikát certifikační autority HTTPS. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč HTTPS uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů SSH | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí veřejného úložiště Git | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes se zadaným zdrojem kontejneru Flux v2 pomocí místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajné kódy uživatele a klíče HTTPS uložené ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps bez tajných kódů | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů SSH | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Ujistěte se, že kontejnery clusteru mají nakonfigurované testy připravenosti nebo aktivity. | Tato zásada vynucuje, aby všechny pody měly nakonfigurované testy připravenosti nebo aktivity. Typy sond můžou být libovolné z tcpSocket, httpGet a exec. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.3.0 |
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Kontejnery clusteru Kubernetes by neměly používat zakázaná rozhraní sysctl. | Kontejnery by neměly používat zakázaná rozhraní sysctl v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
Kontejnery clusteru Kubernetes by měly používat pouze povolený typ ProcMountType. | Kontejnery podů můžou v clusteru Kubernetes používat pouze povolené typy ProcMountTypes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
Kontejnery clusteru Kubernetes by měly používat jenom povolené zásady vyžádání změn. | Omezení zásad vyžádání replikace kontejnerů tak, aby vynucovaly kontejnery tak, aby používaly pouze povolené image v nasazeních | Audit, Odepřít, Zakázáno | 3.2.0 |
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily seccomp. | Kontejnery podů můžou používat pouze povolené profily seccomp v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
Svazky clusteru Kubernetes Pod FlexVolume by měly používat pouze povolené ovladače. | Svazky Pod FlexVolume by měly používat pouze povolené ovladače v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Pody a kontejnery clusteru Kubernetes by měly používat pouze povolené možnosti SELinuxu | Pody a kontejnery by měly používat pouze povolené možnosti SELinux v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Pody clusteru Kubernetes by měly používat pouze povolené typy svazků. | Pody můžou používat pouze povolené typy svazků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Pody clusteru Kubernetes by měly používat zadané popisky. | Pomocí zadaných popisků identifikujte pody v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
Clusterové služby Kubernetes by měly používat jenom povolené externí IP adresy. | Použijte povolené externí IP adresy, abyste se vyhnuli potenciálnímu útoku (CVE-2020-8554) v clusteru Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
Cluster Kubernetes by neměl používat nahé pody. | Zablokujte používání nahých podů. V případě selhání uzlu nebudou přeplánované nahé pody. Pody by měly být spravovány nasazením, replicitou, procesem démon nebo úlohami. | Audit, Odepřít, Zakázáno | 2.2.0 |
Kontejnery clusteru Kubernetes pro Windows by neměly přepočítat procesor a paměť. | Požadavky na prostředky kontejneru Windows by měly být menší nebo rovny limitu prostředků nebo nezadané, aby se zabránilo nadměrnému omezení. Pokud je paměť Systému Windows nadměrně zřízená, zpracuje stránky na disku – což může zpomalit výkon – místo ukončení kontejneru s nedostatkem paměti. | Audit, Odepřít, Zakázáno | 2.2.0 |
Kontejnery clusteru Kubernetes pro Windows by neměly běžet jako ContainerAdministrator | Zabráníte použití ContainerAdministratoru jako uživatel ke spouštění procesů kontejneru pro pody nebo kontejnery Windows. Toto doporučení je určené ke zlepšení zabezpečení uzlů Windows. Další informace naleznete v tématu https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Odepřít, Zakázáno | 1.2.0 |
Kontejnery clusteru Kubernetes s Windows by se měly spouštět jenom se schválenými uživateli a doménovými skupinami uživatelů. | Řídí uživatele, kterého mohou pody a kontejnery Windows používat ke spuštění v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů na uzlech Windows, které mají zlepšit zabezpečení prostředí Kubernetes. | Audit, Odepřít, Zakázáno | 2.2.0 |
Pody clusteru Kubernetes pro Windows by neměly spouštět kontejnery HostProcess. | Zabránění přístupu k uzlu Windows pomocí prviledged. Toto doporučení je určené ke zlepšení zabezpečení uzlů Windows. Další informace naleznete v tématu https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Odepřít, Zakázáno | 1.0.0 |
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Clustery Kubernetes by neměly povolovat oprávnění pro úpravy koncového bodu role clusteru nebo system:aggregate-to-edit | Role clusteru/system:aggregate-to-edit by neměly umožňovat oprávnění k úpravám koncového bodu kvůli CVE-2021-25740, oprávnění koncového bodu a koncového boduSlice umožňují předávání mezi obory názvů. https://github.com/kubernetes/kubernetes/issues/103675 Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, zakázáno | 3.2.0 |
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
Clustery Kubernetes by neměly používat konkrétní možnosti zabezpečení. | Zabraňte konkrétním možnostem zabezpečení v clusterech Kubernetes, aby se zabránilo nechtěným oprávněním k prostředku podu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
Clustery Kubernetes by měly používat třídu StorageClass ovladače Container Storage Interface (CSI). | CSI (Container Storage Interface) je standard pro zpřístupnění libovolných blokových a souborových systémů úložišť kontejnerizovaným úlohám v Kubernetes. Třída StorageClass ve stromu by měla být zastaralá, protože AKS verze 1.21. Další informace https://aka.ms/aks-csi-driver | Audit, Odepřít, Zakázáno | 2.3.0 |
Prostředky Kubernetes by měly mít požadované poznámky | Ujistěte se, že jsou požadované poznámky připojené k danému typu prostředku Kubernetes, aby se zlepšila správa prostředků vašich prostředků Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.2.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.