Freigeben über


Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure Kubernetes Service (AKS)

Die Einhaltung gesetzlicher Bestimmungen in Azure Policy umfasst von Microsoft erstellte und verwaltete Initiativendefinitionen (Integrationen) für die Compliancedomänen und Sicherheitskontrollen, die sich auf unterschiedliche Compliancestandards beziehen. Auf dieser Seite sind die Compliancedomänen und Sicherheitskontrollen für Azure Kubernetes Service (AKS) aufgeführt.

Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.

Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.

Wichtig

Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.

CIS Microsoft Azure Foundations Benchmark

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Build-Ins für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
8 Weitere Überlegungen zur Sicherheit 8.5 Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
8 Weitere Überlegungen zur Sicherheit 8.5 Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
8 Weitere Überlegungen zur Sicherheit 8.7 Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4

CMMC Level 3

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung AC.1.001 Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Zugriffssteuerung AC.1.001 Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung AC.1.002 Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Zugriffssteuerung AC.1.002 Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung AC.2.007 Verwenden Sie das Prinzip der geringsten Rechte, u. a. für bestimmte Sicherheitsfunktionen und privilegierte Konten. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung AC.2.016 Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Konfigurationsverwaltung CM.2.062 Verwenden Sie das Prinzip der geringsten Funktionen, indem Sie Organisationssysteme so konfigurieren, dass ausschließlich zentrale Funktionen bereitgestellt werden. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Konfigurationsverwaltung CM.3.068 Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Risikobewertung RM.2.143 Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
System- und Kommunikationsschutz SC.1.175 Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
System- und Kommunikationsschutz SC.3.177 Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz SC.3.183 Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
System- und Informationsintegrität SI.1.210 Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

FedRAMP High

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung AC-4 Erzwingung des Datenflusses In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
System- und Kommunikationsschutz SC-7 Schutz von Grenzen In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-7 (3) Zugriffspunkte In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-8 Vertraulichkeit und Integrität der Übertragung Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-8 (1) Kryptografischer oder alternativer physischer Schutz Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-12 Einrichtung und Verwaltung von Kryptografieschlüsseln Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz SC-28 Schutz der ruhenden Informationen Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Kommunikationsschutz SC-28 (1) Kryptografischer Schutz Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Informationsintegrität SI-2 Fehlerbehebung Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

FedRAMP Moderate

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung AC-4 Erzwingung des Datenflusses In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
System- und Kommunikationsschutz SC-7 Schutz von Grenzen In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-7 (3) Zugriffspunkte In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-8 Vertraulichkeit und Integrität der Übertragung Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-8 (1) Kryptografischer oder alternativer physischer Schutz Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-12 Einrichtung und Verwaltung von Kryptografieschlüsseln Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz SC-28 Schutz der ruhenden Informationen Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Kommunikationsschutz SC-28 (1) Kryptografischer Schutz Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Informationsintegrität SI-2 Fehlerbehebung Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

HIPAA HITRUST 9.2

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: HIPAA HITRUST 9.2. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter HIPAA HITRUST 9.2.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Berechtigungsverwaltung 1149.01c2System.9 - 01.c Die Organisation ermöglicht die gemeinsame Nutzung von Informationen, indem sie autorisierten Benutzern ermöglicht, den Zugriff eines Geschäftspartners zu bestimmen, wenn die Ermessensfreiheit, wie von der Organisation definiert, zulässig ist, und indem sie manuelle Prozesse oder automatisierte Mechanismen einsetzt, um Benutzer bei Entscheidungen über die gemeinsame Nutzung von Informationen/Zusammenarbeit zu unterstützen. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
11 Zugriffssteuerung 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Autorisierter Zugriff auf Informationssysteme Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
12 Überwachungsprotokollierung und Überwachung 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Dokumentierte Betriebsverfahren Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4

Grundwerte für vertrauliche Richtlinien für Microsoft Cloud for Sovereignty

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
SO.3: Kundenseitig verwaltete Schlüssel SO.3 Azure-Produkte müssen so konfiguriert werden, dass wenn möglich kundenseitig verwaltete Schlüssel verwendet werden. Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1

Microsoft Cloud Security Benchmark

Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.

Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Netzwerksicherheit NS-2 Schützen von Clouddiensten mit Netzwerksteuerelementen In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Privilegierter Zugriff PA-7 Folgen Sie dem Prinzip der Just Enough Administration (Prinzip der minimalen Berechtigungen) Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Datenschutz DP-3 Verschlüsseln vertraulicher Daten während der Übertragung Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
Protokollierung und Bedrohungserkennung LT-1 Funktionen für die Bedrohungserkennung aktivieren Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Protokollierung und Bedrohungserkennung LT-2 Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Protokollierung und Bedrohungserkennung LT-3 Aktivieren der Protokollierung für die Sicherheitsuntersuchung Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein 1.0.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden 4.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren 5.1.0
Status- und Sicherheitsrisikoverwaltung PV-2 Überwachen und Erzwingen sicherer Konfigurationen Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden 4.2.0
Status- und Sicherheitsrisikoverwaltung PV-6 Schnelles und automatisches Beheben von Sicherheitsrisiken Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
DevOps-Sicherheit DS-6 Erzwingen der Sicherheit von Workloads während des DevOps-Lebenszyklus Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1

NIST SP 800-171 R2

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung 3.1.3 Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz 3.13.1 Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz 3.13.10 Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz 3.13.16 Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Kommunikationsschutz 3.13.2 Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz 3.13.5 Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz 3.13.6 Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz 3.13.8 Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Informationsintegrität 3.14.1 Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung 3.4.1 Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung 3.4.2 Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0

NIST SP 800-53 Rev. 4

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung AC-3 (7) Rollenbasierte Zugriffssteuerung Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung AC-4 Erzwingung des Datenflusses In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
System- und Kommunikationsschutz SC-7 Schutz von Grenzen In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-7 (3) Zugriffspunkte In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-8 Vertraulichkeit und Integrität der Übertragung Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-8 (1) Kryptografischer oder alternativer physischer Schutz Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-12 Einrichtung und Verwaltung von Kryptografieschlüsseln Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz SC-28 Schutz der ruhenden Informationen Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Kommunikationsschutz SC-28 (1) Kryptografischer Schutz Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Informationsintegrität SI-2 Fehlerbehebung Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
System- und Informationsintegrität SI-2 (6) Entfernen älterer Software- oder Firmwareversionen Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

NIST SP 800-53 Rev. 5

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Zugriffssteuerung AC-3 (7) Rollenbasierte Zugriffssteuerung Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung AC-4 Erzwingung des Datenflusses In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Konfigurationsverwaltung CM-6 Konfigurationseinstellungen Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
System- und Kommunikationsschutz SC-7 Schutz von Grenzen In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-7 (3) Zugriffspunkte In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
System- und Kommunikationsschutz SC-8 Vertraulichkeit und Integrität von übertragenen Informationen Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-8 (1) Kryptografischer Schutz Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
System- und Kommunikationsschutz SC-12 Einrichtung und Verwaltung von Kryptografieschlüsseln Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
System- und Kommunikationsschutz SC-28 Schutz von ruhenden Informationen Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Kommunikationsschutz SC-28 (1) Kryptografischer Schutz Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
System- und Informationsintegrität SI-2 Fehlerbehebung Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
System- und Informationsintegrität SI-2 (6) Entfernen älterer Software- oder Firmwareversionen Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

NL BIO-Clouddesign

Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen C.04.3 Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen C.04.6 Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden 4.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren 5.1.0
C.04.7 Technisches Sicherheitsrisikomanagement – bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden 4.2.0
C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet C.04.7 Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
U.05.1 Datenschutz – kryptografische Maßnahmen U.05.1 Der Datentransport wird mithilfe von Kryptografie gesichert, wobei die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
U.05.2 Datenschutz – kryptografische Maßnahmen U.05.2 Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
U.05.2 Datenschutz – kryptografische Maßnahmen U.05.2 Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
U.07.1 Datentrennung – isoliert U.07.1 Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden auf kontrollierte Weise realisiert. In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
U.07.3 Datentrennung – Verwaltungsfeatures U.07.3 U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung U.09.3 Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer*innen U.10.2 Unter der Verantwortung des CSP wird Administrator*innen der Zugriff gewährt. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer U.10.3 Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
U.10.5 Zugriff auf IT-Dienste und -Daten - Kompetent U.10.5 Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
U.11.1 Cryptoservices - Richtlinie U.11.1 In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
U.11.2 Cryptoservices - Kryptografische Measures U.11.2 Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO 11770. Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
U.11.3 Cryptoservices – verschlüsselt U.11.3 Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
U.11.3 Cryptoservices – verschlüsselt U.11.3 Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. 1.0.1
U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse U.15.1 Die Verletzung der Richtlinienregeln wird vom CSP und vom CSC aufgezeichnet. Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein 1.0.0

Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft)

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
IT-Governance 1 IT Governance-1 Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
Informationen und Cybersicherheit 3.1.a Identifizierung und Klassifizierung von Informationsressourcen-3.1 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Informationen und Cybersicherheit 3.1.c Rollenbasierte Zugriffssteuerung-3.1 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Informationen und Cybersicherheit 3.1.g Trails-3.1 Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Informations- und Cybersicherheit 3.3 Sicherheitsrisikoverwaltung-3.3 Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2

Reserve Bank of India – IT-Framework für Banken v2016

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Patches/Sicherheitsrisiken und Change Management Patches/Sicherheitsrisiken und Change Management-7.7 In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit-13.2 Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Benutzerzugriffssteuerung/-verwaltung Benutzerzugriffssteuerung/-verwaltung-8.1 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4

RMIT Malaysia

Um zu überprüfen, wie die verfügbaren Azure-Richtlinienintegrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, lesen Sie Azure Policy Regulatory Compliance – RMIT Malaysia. Weitere Informationen zu diesem Compliancestandard finden Sie unter RMIT Malaysia.

Domain Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Kryptografie 10.19 Kryptografie - 10.19 Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
Zugriffssteuerung 10.54 Zugriffssteuerung: 10.54 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung 10,55 Zugriffssteuerung - 10.55 Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Zugriffssteuerung 10,55 Zugriffssteuerung - 10.55 Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Zugriffssteuerung 10,55 Zugriffssteuerung - 10.55 Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Zugriffssteuerung 10,55 Zugriffssteuerung - 10.55 Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Zugriffssteuerung 10,55 Zugriffssteuerung - 10.55 Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
Zugriffssteuerung 10.60 Zugriffssteuerung - 10.60 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung 10.61 Zugriffssteuerung: 10.61 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Zugriffssteuerung 10.62 Zugriffssteuerung - 10.62 Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Systemverwaltung für Patches und Ende der Lebensdauer 10.65 Systemverwaltung für Patches und Ende der Lebensdauer - 10.65 Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. 1.0.2
Security Operations Center (SOC) 11.17 Security Operations Center (SOC) - 11.17 In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Kontrollmaßnahmen für Cybersicherheit Anhang 5.5 Kontrollmaßnahmen für Cybersicherheit - Anhang 5.5 Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. 5.2.0
Kontrollmaßnahmen für Cybersicherheit Anhang 5.6 Kontrollmaßnahmen für Cybersicherheit - Anhang 5.6 Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Kontrollmaßnahmen für Cybersicherheit Anhang 5.6 Kontrollmaßnahmen für Cybersicherheit - Anhang 5.6 Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Kontrollmaßnahmen für Cybersicherheit Anhang 5.6 Kontrollmaßnahmen für Cybersicherheit - Anhang 5.6 Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0

Spanien ENS

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Vorschriften für die spanische ENS von Azure Policy. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CCN-STIC 884.

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Schutzmaßnahmen mp.s.3 Schutz von Diensten Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Betriebliches Framework op.exp.2 Vorgang Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
Betriebliches Framework op.exp.3 Vorgang Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
Betriebliches Framework op.exp.4 Vorgang Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
Betriebliches Framework op.exp.5 Vorgang Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
Betriebliches Framework op.exp.6 Vorgang Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Betriebliches Framework op.exp.6 Vorgang Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1
Betriebliches Framework op.exp.6 Vorgang Konfigurieren des Azure Kubernetes Service-Clusters zum Aktivieren des Defender-Profils 4.3.0
Betriebliches Framework op.exp.7 Vorgang Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Betriebsframework op.exp.8 Vorgang Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein 1.0.0
Betriebliches Framework op.mon.3 Systemüberwachung Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) 1.0.1

SWIFT CSP-CSCF v2021

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Azure-Richtliniendetails zur Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter SWIFT CSP CSCF v2021.

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
SWIFT-Umgebungsschutz 1.1 SWIFT-Umgebungsschutz In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
SWIFT-Umgebungsschutz 1.4 Einschränkung des Internetzugriffs In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. 2.0.1
Reduzieren der Angriffsoberfläche und Sicherheitsrisiken 2.1 Sicherheit des internen Datenflusses Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen 6.2 Softwareintegrität Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1
Erkennen von anomalen Aktivitäten in Systemen oder Transaktionsdatensätzen 6.5A Angriffserkennung Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden 1.0.1

System- und Organisationssteuerelemente (SOC) 2

Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“. Weitere Informationen zu diesem Compliancestandard finden Sie unter SOC 2 (System and Organization Controls, System- und Organisationskontrollen).

Domäne Steuerungs-ID Steuerungstitel Richtlinie
(Azure-Portal)
Version der Richtlinie
(GitHub)
Logische und physische Zugriffssteuerung CC6.1 Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
Logische und physische Zugriffssteuerung CC6.3 Rollenbasierter Zugriff und geringste Rechte Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. 1.0.4
Logische und physische Zugriffssteuerung CC6.6 Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
Logische und physische Zugriffssteuerung CC6.7 Beschränken des Informationsverkehrs auf autorisierte Benutzerinnen und Benutzer Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. 8.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden 4.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren 5.1.0
Logische und physische Zugriffssteuerung CC6.8 Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden 4.2.0
Systemvorgänge CC7.2 Überwachen von Systemkomponenten auf ungewöhnliches Verhalten Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein 2.0.1
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. 1.0.2
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten 9.3.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben 5.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden 6.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden 6.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden 9.3.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden 6.3.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden 6.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden 6.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden 6.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen 8.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Kubernetes-Cluster dürfen keine privilegierten Container zulassen 9.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden 4.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Kubernetes-Cluster dürfen keine Rechteausweitung zulassen 7.2.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren 5.1.0
Change Management CC8.1 Änderungen an Infrastruktur, Daten und Software Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden 4.2.0

Nächste Schritte