Integrierte Azure Policy-Definitionen für Azure Kubernetes Service
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Kubernetes Service. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Initiativen
Name | BESCHREIBUNG | Richtlinien | Version |
---|---|---|---|
[Vorschau]: Verwenden der Imageintegrität, um sicherzustellen, dass nur vertrauenswürdige Images bereitgestellt werden | Verwenden Sie Imageintegrität, um sicherzustellen, dass AKS-Cluster nur vertrauenswürdige Images bereitstellen, indem Sie die Imageintegrität und Azure Policy-Add-Ons in AKS-Clustern aktivieren. Das Imageintegritäts-Add-On und das Azure Policy-Add-On sind beide für die Verwendung der Imageintegrität erforderlich, um bei der Bereitstellung zu überprüfen, ob das Image signiert ist. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
[Vorschau]: Schutzmaßnahmen für die Bereitstellung sollen Entwickler*innen zu den in AKS empfohlenen bewährten Methoden leiten | Eine Sammlung von bewährten Methoden für Kubernetes, die vom Azure Kubernetes Service (AKS) empfohlen werden. Am besten verwenden Sie Schutzmaßnahmen für die Bereitstellung, um diese Richtlinieninitiative zuzuweisen: https://aka.ms/aks/deployment-safeguards. Eine Voraussetzung für die Anwendung dieser bewährten Methoden auf Ihre Cluster ist das Azure Policy-Add-On für AKS. Anweisungen zum Aktivieren des Azure Policy-Add-Ons finden Sie unter aka.ms/akspolicydoc | 20 | 1.9.0-Preview |
Grundlegende Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads | Diese Initiative enthält die Richtlinien für die grundlegenden Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
Sicherheitsstandards für Kubernetes-Clusterpods für Linux-basierte Workloads | Diese Initiative enthält die Richtlinien für die eingeschränkten Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Richtliniendefinitionen
Microsoft.ContainerService
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: [Bildintegrität] Kubernetes-Cluster dürfen nur Bilder verwenden, die mit Notation signiert sind | Verwenden Sie mit Notation signierte Bilder, um sicherzustellen, dass Bilder aus vertrauenswürdigen Quellen stammen und nicht böswillig geändert werden. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | Audit, Disabled | 1.1.0-preview |
[Vorschau]: Die Azure Backup-Erweiterung sollte in AKS-Clustern installiert sein. | Stellen Sie den Schutz dadurch sicher, dass die Sicherungserweiterung in Ihren AKS-Clustern installiert ist, um Azure Backup zu nutzen. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Azure Backup sollte für AKS-Cluster aktiviert sein. | Stellen Sie den Schutz Ihrer AKS-Cluster sicher, indem Sie Azure Backup aktivieren. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Verwaltete Azure Kubernetes-Servicecluster sollten zonenredundant sein | Verwaltete Azure Kubernetes-Servicecluster können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Die Richtlinie überprüft die Knotenpools im Cluster und stellt sicher, dass Verfügbarkeitszonen für alle Knotenpools festgelegt werden. | Audit, Deny, Disabled | 1.0.0-preview |
[Vorschau]: Einzelne Knoten können nicht bearbeitet werden | Einzelne Knoten können nicht bearbeitet werden. Benutzer*innen sollten einzelne Knoten nicht bearbeiten. Bearbeiten Sie Knotenpools. Das Ändern einzelner Knoten kann zu inkonsistenten Einstellungen, betrieblichen Herausforderungen und potenziellen Sicherheitsrisiken führen. | Audit, Deny, Disabled | 1.3.0-preview |
[Vorschau]: Bereitstellen der Imageintegrität in Azure Kubernetes Service | Stellen Sie sowohl das Imageintegritäts-Add-On als auch das Policy-Add-On in Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | DeployIfNotExists, Disabled | 1.0.5-preview |
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) mit einem bestimmten Tag | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern, die ein bestimmtes Tag enthalten. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) ohne ein bestimmtes Tag | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern ohne einen bestimmten Tagwert. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Kubernetes-Cluster-Containermages müssen den preStop-Hook enthalten | Erfordert, dass Containerimages einen PreStop-Hook enthalten, um Prozesse während des Herunterfahrens von Pods ordnungsgemäß zu beenden. | Audit, Deny, Disabled | 1.1.0-preview |
[Vorschau]: Kubernetes-Cluster-Containerimages sollten nicht das neueste Imagetag enthalten | Erfordert, dass Containerimages nicht das neueste Tag in Kubernetes verwenden. Es empfiehlt sich, die Reproduzierbarkeit sicherzustellen, unbeabsichtigte Updates zu verhindern und das Debuggen und Rollbacks mithilfe expliziter Containerimages und Containerimages mit Versionsangabe zu vereinfachen. | Audit, Deny, Disabled | 1.1.0-preview |
[Vorschau]: Kubernetes-Clustercontainer sollten nur Images pullen, wenn Geheimnisse für das Pullen von Images vorhanden sind | Schränkt das Pullen von Images durch den Container ein, um das Vorhandensein von ImagePullSecrets zu erzwingen und damit einen sicheren und autorisierten Zugriff auf Images in einem Kubernetes-Cluster sicherzustellen | Audit, Deny, Disabled | 1.2.0-preview |
[Vorschau]: Kubernetes-Clusterdienste sollten eindeutige Selektoren verwenden | Stellen Sie sicher, dass Dienste in einem Namespace eindeutige Selektoren haben. Eine eindeutige Dienstauswahl stellt sicher, dass jeder Dienst innerhalb eines Namespace basierend auf bestimmten Kriterien eindeutig identifizierbar ist. Diese Richtlinie synchronisiert eingehende Ressourcen über Gatekeeper in OPA. Prüfen Sie vor der Anwendung, ob die Speicherkapazität von Gatekeeper-Pods nicht überschritten wird. Parameter gelten für bestimmte Namespaces, synchronisiert aber alle Ressourcen dieses Typs in allen Namespaces. Derzeit in der Vorschau für Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.2.0-preview |
[Vorschau]: Kubernetes-Cluster sollte präzise Budgets für die Unterbrechung von Pods implementieren | Verhindert fehlerhafte Pod-Unterbrechungsbudgets und stellt so eine minimale Anzahl betriebsbereiter Pods sicher. Details dazu finden Sie in der offiziellen Kubernetes-Dokumentation. Basiert auf der Gatekeeper-Datenreplikation und synchronisiert alle eingehenden Ressourcen, die darauf aufgeteilt sind, in OPA. Stellen Sie vor der Anwendung dieser Richtlinie sicher, dass die synchronisierten Eingangsressourcen Ihre Speicherkapazität nicht belasten. Obwohl Parameter bestimmte Namespaces auswerten, werden alle Ressourcen dieser Art in allen Namespaces synchronisiert. Hinweis: Derzeit in der Vorschau für Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.3.0-preview |
[Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. | Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. | Audit, Deny, Disabled | 2.3.0-preview |
[Vorschau]: Antiaffinitätsregeln müssen festgelegt sein | Diese Richtlinie stellt sicher, dass Pods auf verschiedenen Knoten innerhalb des Clusters geplant werden. Durch das Erzwingen von Antiaffinitätsregeln wird die Verfügbarkeit auch dann beibehalten, wenn einer der Knoten nicht mehr verfügbar ist. Pods werden weiterhin auf anderen Knoten ausgeführt, wodurch die Resilienz verbessert wird. | Audit, Deny, Disabled | 1.2.0-preview |
[Vorschau]: Ändern von K8s-Containern zum Löschen aller Funktionen | Ändert „securityContext.capabilities.drop“ zum Hinzufügen unter „ALL“. Dadurch werden alle Funktionen für k8s-Linux-Container gelöscht. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau]: Ändern von K8s-Init-Containern zum Löschen aller Funktionen | Ändert „securityContext.capabilities.drop“ zum Hinzufügen unter „ALL“. Dadurch werden alle Funktionen für k8s-Linux-Init-Container gelöscht. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau]: Keine spezifischen AKS-Bezeichnungen | Verhindert, dass Kunden AKS-spezifische Bezeichnungen anwenden. AKS verwendet Bezeichnungen mit dem Präfix kubernetes.azure.com , um AKS-eigene Komponenten zu kennzeichnen. Der Kunde sollte diese Bezeichnungen nicht verwenden. |
Audit, Deny, Disabled | 1.2.0-preview |
[Vorschau]: Verhindert, dass Container als Stamm ausgeführt werden, indem „runAsNotRoot“ auf „true“ festgelegt wird. | Das Festlegen von runAsNotRoot auf „true“ erhöht die Sicherheit, indem Container daran gehindert werden, als Stamm ausgeführt zu werden. | Mutieren, deaktiviert | 1.0.0-preview |
[Vorschau]: Verhindert, dass init-Container als Stamm ausgeführt werden, indem „runAsNotRoot“ auf „true“ festgelegt wird. | Das Festlegen von runAsNotRoot auf „true“ erhöht die Sicherheit, indem Container daran gehindert werden, als Stamm ausgeführt zu werden. | Mutieren, deaktiviert | 1.0.0-preview |
[Vorschau:] Gibt eine Nachricht aus, wenn eine Mutation angewandt wird | Sucht nach den angewandten Mutationsanmerkungen und gibt eine Nachricht aus, wenn eine Anmerkung vorhanden ist. | Audit, Disabled | 1.1.0-preview |
[Vorschau]: Reservierte Systempool-Taints | Beschränkt den CriticalAddonsOnly-Taint auf nur den Systempool. AKS verwendet den CriticalAddonsOnly-Taint, um Kunden-Pods vom Systempool fernzuhalten. Sie sorgt für eine klare Trennung zwischen AKS-Komponenten und Kunden-Pods, und verhindert, dass Kunden-Pods entfernt werden, wenn sie den CriticalAddonsOnly-Taint nicht tolerieren. | Audit, Deny, Disabled | 1.2.0-preview |
[Vorschau]: Beschränkt den CriticalAddonsOnly-Taint nur auf den Systempool. | Um die Entfernung von Benutzer-Apps aus Benutzerpools zu vermeiden und die Trennung von Bedenken zwischen den Benutzer- und Systempools aufrechtzuerhalten, sollte der Taint „CriticalAddonsOnly“ nicht auf Benutzerpools angewendet werden. | Mutieren, deaktiviert | 1.2.0-preview |
[Vorschau:] Legt automountServiceAccountToken in der Podspezifikation in Containern auf „false“ fest. | Das Festlegen von automountServiceAccountToken auf „false“ erhöht die Sicherheit, indem die standardmäßige automatische Bereitstellung von Dienstkontotoken vermieden wird. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clustercontainern auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.0.0-preview |
[Vorschau]: Legt CPU-Grenzwerte für Kubernetes-Clustercontainer auf Standardwerte fest, falls keine Grenzwerte vorhanden sind. | Um Ressourcenauslastungsgsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für die Container-CPU festgelegt. | Mutieren, deaktiviert | 1.2.0-preview |
[Vorschau]: Legt CPU-Grenzwerte für Kubernetes-Clustercontainer auf Standardwerte fest, falls keine Grenzwerte vorhanden sind. | Um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für den Containerarbeitsspeicher festgelegt. | Mutieren, deaktiviert | 1.2.0-preview |
[Vorschau:] Legt den Profiltyp für den sicheren Berechnungsmodus von Kubernetes-Clustercontainern auf RuntimeDefault fest, falls nicht vorhanden. | Festlegen des Profiltyps für den sicheren Berechnungsmodus für Container, um nicht autorisierte und potenziell schädliche Systemaufrufe an den Kernel aus dem Benutzerbereich zu verhindern. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clusterstartcontainern auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.0.0-preview |
[Vorschau:] Legt den Profiltyp für den sicheren Berechnungsmodus von Kubernetes-Clusterstartcontainern auf RuntimeDefault fest, falls nicht vorhanden. | Festlegen des Profiltyps für den sicheren Computermodus für Startcontainer, um nicht autorisierte und potenziell schädliche Systemaufrufe an den Kernel aus dem Benutzerbereich zu verhindern. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clusterpods auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.0.0-preview |
[Vorschau]: Legt maxUnavailable-Pods auf 1 für PodDisruptionBudget-Ressourcen fest | Durch das Festlegen des maximal nicht verfügbaren Pod-Werts auf 1 wird sichergestellt, dass Ihre Anwendung oder Ihr Dienst während einer Unterbrechung verfügbar ist | Mutieren, deaktiviert | 1.2.0-preview |
[Vorschau:] Legt die Berechtigungseskalation in der Podspezifikation in Startcontainern auf „false“ fest. | Das Festlegen der Berechtigungseskalation auf „false“ in Startcontainern erhöht die Sicherheit, indem Container die Berechtigungseskalation verhindern, z. B. über set-user-ID oder set-group-ID im Dateimodus. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau:] Legt die Berechtigungseskalation in der Podspezifikation auf „false“ fest. | Das Festlegen der Berechtigungseskalation auf „false“ erhöht die Sicherheit, indem Container die Berechtigungseskalation verhindern, z. B. über set-user-ID oder set-group-ID im Dateimodus. | Mutieren, deaktiviert | 1.1.0-preview |
[Vorschau]: Legt readOnlyRootFileSystem in der Pod-Spezifikation in Init-Containern auf „true“ fest, wenn es nicht festgelegt ist. | Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben. Dies funktioniert nur mit Linux-Containern. | Mutieren, deaktiviert | 1.2.0-preview |
[Vorschau]: Legt readOnlyRootFileSystem in der Pod-Spezifikation auf „true“ fest, wenn es nicht festgelegt ist. | Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben | Mutieren, deaktiviert | 1.2.0-preview |
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
Azure Kubernetes-Cluster sollten SSH deaktivieren | Durch die Deaktivieren von SSH können Sie Ihren Cluster sichern und die Angriffsfläche reduzieren. Weitere Informationen finden Sie unter: aka.ms/aks/disablessh | Audit, Disabled | 1.0.0 |
Azure Kubernetes-Cluster sollten Container Storage Interface (CSI) aktivieren. | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Azure Kubernetes Service. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
Azure Kubernetes-Cluster sollten den Schlüsselverwaltungsdienst (Key Management Service, KMS) aktivieren | Verwenden Sie den Schlüsselverwaltungsdienst (Key Management Service, KMS), um ruhende Geheimnisdaten in etcd für die Kubernetes-Clustersicherheit zu verschlüsseln. Weitere Informationen finden Sie unter https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
Azure Kubernetes-Cluster sollten Azure CNI verwenden | Azure CNI ist eine Voraussetzung für einige Azure Kubernetes Service-Funktionen, einschließlich Azure-Netzwerkrichtlinien, Windows-Knotenpools und Add-Ons für virtuelle Knoten. Weitere Informationen finden Sie unter: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service-Cluster sollten den Befehlsaufruf deaktivieren | Das Deaktivieren von Befehlsaufrufen kann die Sicherheit erhöhen, da die Umgehung des eingeschränkten Netzwerkzugriffs oder der rollenbasierten Zugriffssteuerung von Kubernetes vermieden wird. | Audit, Disabled | 1.0.1 |
Azure Kubernetes Service-Cluster sollten das automatische Upgrade von Clustern aktivieren | Das automatische Upgrade von AKS-Clustern kann sicherstellen, dass Ihre Cluster auf dem neuesten Stand sind und Sie die neuesten AKS-Features oder Patches von AKS und der Upstreamversion von Kubernetes nicht verpassen. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
Azure Kubernetes-Dienstcluster sollten Image Cleaner aktivieren | Image Cleaner führt die automatische Erkennung und Entfernung von anfälligen und unbenutzten Images durch, sodass das Risiko veralteter Images verringert und die Zeit für das Bereinigen reduziert wird. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
In Azure Kubernetes Service-Clustern sollte die Microsoft Entra ID-Integration aktiviert sein | Die von AKS verwaltete Microsoft Entra ID-Integration kann den Zugriff auf die Cluster verwalten, indem die rollenbasierte Zugriffssteuerung von Kubernetes (Kubernetes RBAC) basierend auf der Identität oder Verzeichnisgruppenmitgliedschaft von Benutzer*innen konfiguriert wird. Weitere Informationen finden Sie unter https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
Azure Kubernetes-Dienstcluster sollten das automatische Upgrade des Knotenbetriebssystems aktivieren | Das automatische Upgrade des AKS-Knotens steuert Betriebssystem-Sicherheitsupdates auf Knotenebene. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
Azure Kubernetes Service-Cluster sollten die Workloadidentität aktivieren | Die Workloadidentität ermöglicht es, jedem Kubernetes-Pod eine eindeutige Identität zuzuweisen und sie mit durch Azure AD geschützten Ressourcen wie Azure Key Vault zu verknüpfen, was den sicheren Zugriff auf diese Ressourcen innerhalb des Pods ermöglicht. Weitere Informationen finden Sie unter https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.AzureDefender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
Für Azure Kubernetes Service-Cluster sollten lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure Kubernetes Service-Cluster ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
Azure Kubernetes Service-Cluster sollten verwaltete Identitäten verwenden | Verwenden Sie verwaltete Identitäten, um Dienstprinzipale zu umschließen, die Clusterverwaltung zu vereinfachen und die Komplexität zu vermeiden, die für verwaltete Dienstprinzipale erforderlich ist. Weitere Informationen finden Sie unter: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
Private Azure Kubernetes Service-Cluster müssen aktiviert sein | Aktivieren Sie das Feature für private Cluster für Ihren Azure Kubernetes Service-Cluster, um den Netzwerkdatenverkehr zwischen Ihrem API-Server und Ihren Knotenpools auf das private Netzwerk zu beschränken. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
Konfigurieren des Azure Kubernetes Service-Clusters zum Aktivieren des Defender-Profils | Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.Defender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Erfahren Sie mehr über Microsoft Defender für Container: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.3.0 |
Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster | Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket-SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein privates SSH-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition müssen HTTPS-Benutzer und -Schlüsselgeheimnisse in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition muss ein Geheimnis für einen privaten SSH-Schlüssel in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Mit Microsoft Entra ID integrierte Azure Kubernetes Service-Cluster mit erforderlichem Administratorgruppenzugriff konfigurieren | Stellen Sie sicher, dass Sie die Clustersicherheit verbessern, indem Sie den Administratorzugriff auf die in Microsoft Entra ID integrierten AKS-Cluster zentral steuern. | DeployIfNotExists, Disabled | 2.1.0 |
Konfigurieren des automatischen Upgrades des Knotenbetriebssystems auf Azure Kubernetes Cluster | Verwenden Sie das automatische Upgrade des Node OS, um Betriebssystem-Sicherheitsupdates auf Knotenebene von Azure Kubernetes Service (AKS)-Clustern zu steuern. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
Bereitstellen: Diagnoseeinstellungen für Azure Kubernetes Service in Log Analytics-Arbeitsbereich konfigurieren | Hiermit werden die Diagnoseeinstellungen für Azure Kubernetes Service bereitgestellt, um Ressourcenprotokolle an einen Log Analytics-Arbeitsbereich zu streamen. | DeployIfNotExists, Disabled | 3.0.0 |
Azure Policy-Add-On für Azure Kubernetes Service-Cluster bereitstellen | Verwenden Sie das Azure Policy-Add-On, um den Konformitätsstatus Ihrer AKS-Cluster (Azure Kubernetes Service) zu verwalten und zu melden. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
Bereitstellen von Image Cleaner auf Azure Kubernetes Service | Stellen Sie Image Cleaner auf Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | DeployIfNotExists, Disabled | 1.0.4 |
Bereitstellen der geplanten Wartung zum Planen und Steuern von Upgrades für Ihren Azure Kubernetes Service (AKS)-Cluster | Mit der geplanten Wartung können Sie wöchentliche Wartungsfenster planen, um Updates durchzuführen und die Auswirkungen auf Workloads zu minimieren. Nach der Planung werden Upgrades nur noch während des festgelegten Zeitfensters durchgeführt. Weitere Informationen finden Sie unter: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Deaktivieren des Befehlsaufrufs in Azure Kubernetes Service-Clustern | Das Deaktivieren des Befehlsaufrufs kann die Sicherheit erhöhen, da der Befehlsaufrufzugriff auf den Cluster abgelehnt wird. | DeployIfNotExists, Disabled | 1.2.0 |
Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind | Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.3.0 |
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden | Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. | Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden | Audit, Deny, Disabled | 3.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden | Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Kubernetes-Clusterpods und -container dürfen nur zulässige SELinux-Optionen verwenden. | Hiermit wird sichergestellt, dass Pods und Container nur zugelassene SELinux-Optionen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden | Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden | Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. | Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
Kubernetes-Cluster sollten keine Naked Pods verwenden | Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. | Audit, Deny, Disabled | 2.3.0 |
Windows-Container in Kubernetes-Clustern sollten CPU und Arbeitsspeicher nicht überlasten | Windows-Containerressourcenanforderungen müssen höchstens dem Ressourcenlimit entsprechen oder nicht angegeben sein, um einen übermäßigen Commit zu vermeiden. Wenn der Windows-Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger, anstatt den Container mit dem Fehler „Nicht genügend Arbeitsspeicher“ zu beenden. Dies kann die Leistung beeinträchtigen. | Audit, Deny, Disabled | 2.2.0 |
Windows-Container in Kubernetes-Clustern sollten nicht als ContainerAdministrator ausgeführt werden. | Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer*in zum Ausführen der Containerprozesse für Windows-Pods oder -Container. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.2.0 |
Windows-Container in Kubernetes-Clustern dürfen nur mit genehmigten Benutzer- und Domänenbenutzergruppen ausgeführt werden | Steuern Sie den Benutzer, mit dem Windows-Pods und -Container in einem Kubernetes-Cluster ausgeführt werden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien auf Windows-Knoten, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. | Audit, Deny, Disabled | 2.2.0 |
Kubernetes-Cluster-Windows-Pods sollten keine HostProcess-Container ausführen | Verhindern Sie den privilegierten Zugriff auf den Windows-Knoten. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.0.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Kubernetes-Cluster sollten sicherstellen, dass die Rolle „Clusteradministrator*in“ nur bei Bedarf verwendet wird | Die Rolle „Clusteradministrator*in“ bietet umfassende Befugnisse über die Umgebung und sollte nur bei Bedarf verwendet werden. | Audit, Disabled | 1.1.0 |
Kubernetes-Cluster sollten die Verwendung von Platzhaltern in Rollen und Clusterrollen minimieren | Die Verwendung des Platzhalterzeichens „*“ kann ein Sicherheitsrisiko darstellen, da es umfassende Berechtigungen gewährt, die für eine bestimmte Rolle möglicherweise nicht erforderlich sind. Wenn eine Rolle über zu viele Berechtigungen verfügt, kann sie von Angreifer*innen oder kompromittierten Benutzer*innen missbraucht werden, um nicht autorisierten Zugriff auf Ressourcen im Cluster zu erhalten. | Audit, Disabled | 1.1.0 |
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit | ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.2.0 |
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden | Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
Kubernetes-Cluster müssen interne Lastenausgleichsmodule verwenden | Hiermit wird über interne Lastenausgleichsmodule sichergestellt, dass eine Kubernetes Service-Instanz nur für Anwendungen zugänglich sind, die im selben virtuellen Netzwerk wie der Kubernetes-Cluster ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben | Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | Azure Kubernetes Service-Ressourcenprotokolle können bei der Untersuchung von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. | AuditIfNotExists, Disabled | 1.0.0 |
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. | Audit, Disabled | 1.0.4 |
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Azure Kubernetes Service