Compartir a través de


Controles de cumplimiento normativo de Azure Policy para Azure Kubernetes Service (AKS)

El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas (integradas) creadas y administradas por Microsoft para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad de Azure Kubernetes Service (AKS).

Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.

El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el repositorio de GitHub de Azure Policy.

Importante

Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
8 Otras consideraciones de seguridad 8.5 Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre el cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
8 Otras consideraciones de seguridad 8.5 Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
8 Otras consideraciones de seguridad 8.7 Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4

CMMC nivel 3

Para ver cómo se corresponden las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados y a los dispositivos (incluidos otros sistemas de información). Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Control de acceso AC.1.001 Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados y a los dispositivos (incluidos otros sistemas de información). Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Control de acceso AC.1.002 Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso AC.2.007 Utiliza el principio de privilegios mínimos, incluidas las cuentas con privilegios y funciones de seguridad específicas. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso AC.2.016 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Administración de la configuración CM.2.062 Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Administración de la configuración CM.3.068 Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Evaluación de riesgos RM.2.143 Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Protección del sistema y de las comunicaciones SC.1.175 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Protección del sistema y de las comunicaciones SC.3.177 Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones SC.3.183 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Integridad del sistema y de la información SI.1.210 Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

FedRAMP High

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Administración de la configuración CM-6 Valores de configuración El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración CM-6 Valores de configuración Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración CM-6 Valores de configuración Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes 8.2.0
Administración de la configuración CM-6 Valores de configuración No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración CM-6 Valores de configuración Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección física criptográfica o alternativa Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Integridad del sistema y de la información SI-2 Corrección de errores Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

FedRAMP Moderate

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-4 Aplicación del flujo de información Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Administración de la configuración CM-6 Valores de configuración El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración CM-6 Valores de configuración Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración CM-6 Valores de configuración Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes 8.2.0
Administración de la configuración CM-6 Valores de configuración No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración CM-6 Valores de configuración Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección física criptográfica o alternativa Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Integridad del sistema y de la información SI-2 Corrección de errores Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

HIPAA/HITRUST 9.2

Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Administración de privilegios 1149.01c2System.9 - 01.c Con el fin de facilitar el uso compartido de la información, la organización permite que los usuarios autorizados determinen el acceso de un asociado comercial según unos criterios definidos y el empleo de procesos manuales o mecanismos automatizados para ayudar a los usuarios a tomar decisiones de colaboración y uso compartido de la información. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
11 Control de acceso 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Acceso autorizado a sistemas de información Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
12 Registros de auditoría y supervisión 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4

Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty

Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para obtener más información sobre este estándar de cumplimiento, consulte la cartera de directivas de Microsoft Cloud for Sovereignty.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
SO.3: Claves administradas por el cliente SO.3 Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1

Pruebas comparativas de seguridad de Microsoft Cloud

El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Seguridad de redes NS-2 Servicios en la nube seguros con controles de red Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Acceso con privilegios PA-7 Seguimiento del principio Just Enough Administration (privilegio mínimo) Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Protección de datos DP-3 Cifrar los datos confidenciales en tránsito Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
registro y detección de amenazas LT-1 Habilitación de capacidades de detección de amenazas Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender 2.0.1
registro y detección de amenazas LT-2 Habilitación de la detección de amenazas para la administración de identidades y accesos Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender 2.0.1
registro y detección de amenazas LT-3 Habilitación del registro para la investigación de seguridad Los registros de recursos de Azure Kubernetes Service se deben habilitar 1.0.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático 4.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. 5.1.0
administración de posturas y vulnerabilidades PV-2 Auditoría y aplicación de configuraciones seguras Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado 4.2.0
administración de posturas y vulnerabilidades PV-6 Reparación rápida y automática de vulnerabilidades Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Seguridad de DevOps DS-6 Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1

NIST SP 800-171 R2

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso 3.1.3 Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones 3.13.1 Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones 3.13.10 Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones 3.13.16 Protege la confidencialidad de CUI en reposo. Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Protección del sistema y de las comunicaciones 3.13.2 Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones 3.13.5 Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones 3.13.6 Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones 3.13.8 Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Integridad del sistema y de la información 3.14.1 Identifica, informa y corrige los errores del sistema de manera puntual. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración 3.4.1 Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración 3.4.2 Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0

NIST SP 800-53 Rev. 4

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-3 (7) Control de acceso basado en rol Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso AC-4 Aplicación del flujo de información Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Administración de la configuración CM-6 Valores de configuración El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración CM-6 Valores de configuración Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración CM-6 Valores de configuración Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes 8.2.0
Administración de la configuración CM-6 Valores de configuración No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración CM-6 Valores de configuración Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección física criptográfica o alternativa Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Integridad del sistema y de la información SI-2 Corrección de errores Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Integridad del sistema y de la información SI-2 (6) Eliminación de versiones anteriores de software o firmware Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

NIST SP 800-53 Rev. 5

Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Control de acceso AC-3 (7) Control de acceso basado en rol Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso AC-4 Aplicación del flujo de información Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Administración de la configuración CM-6 Valores de configuración El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de la configuración CM-6 Valores de configuración Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de la configuración CM-6 Valores de configuración Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de la configuración CM-6 Valores de configuración Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de la configuración CM-6 Valores de configuración Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de la configuración CM-6 Valores de configuración Asegurarse de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes 8.2.0
Administración de la configuración CM-6 Valores de configuración No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de la configuración CM-6 Valores de configuración Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Protección del sistema y de las comunicaciones SC-7 Protección de límites Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-7 (3) Puntos de acceso Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del sistema y de las comunicaciones SC-8 Integridad y confidencialidad de transmisión Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-8 (1) Protección criptográfica Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Protección del sistema y de las comunicaciones SC-12 Establecimiento y administración de una clave criptográfica Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Protección del sistema y de las comunicaciones SC-28 Protección de la información en reposo Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Protección del sistema y de las comunicaciones SC-28 (1) Protección criptográfica Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Integridad del sistema y de la información SI-2 Corrección de errores Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Integridad del sistema y de la información SI-2 (6) Eliminación de versiones anteriores de software y firmware Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

Tema de la nube de NL BIO

Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para Tema de la nube de NL BIO. Para obtener más información sobre esta norma de cumplimiento, consulte Base de referencia de la seguridad de la información de ciberseguridad de Administración pública: Gobierno digital (digitaleoverheid.nl).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Administración técnica de vulnerabilidades C.04.3: escalas de tiempo C.04.3 Si la probabilidad de abuso y los daños esperados son altos, las revisiones se instalan no más tarde de una semana. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo C.04.6 Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático 4.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. 5.1.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado 4.2.0
C.04.7 Administración técnica de vulnerabilidades: evaluada C.04.7 Las evaluaciones de vulnerabilidades técnicas se registran y notifican. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
U.05.1 Protección de datos: medidas criptográficas U.05.1 El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
U.05.2 Protección de datos: medidas criptográficas U.05.2 Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
U.05.2 Protección de datos: medidas criptográficas U.05.2 Los datos almacenados en el servicio en nube estarán protegidos según el estado más reciente de la técnica. Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
Separación de datos de U.07.1: aislado U.07.1 El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
U.07.3 Separación de datos: características de administración U.07.3 U.07.3: los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
U.09.3 Protección contra malware: detección, prevención y recuperación U.09.3 La protección contra malware se ejecuta en diferentes entornos. Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
U.10.2 Acceso a los servicios y datos de TI: usuarios U.10.2 Bajo la responsabilidad del CSP, se concede acceso a los administradores. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
U.10.3 Acceso a los servicios y datos de TI: usuarios U.10.3 Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
U.10.5 Acceso a los servicios y datos de TI: competente U.10.5 El acceso a los servicios y datos de TI está limitado por medidas técnicas y se ha implementado. Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
U.11.1 Servicios criptográficos: directiva U.11.1 En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
U.11.2 Criptoservicios: medidas criptográficas U.11.2 En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
U.11.3 Criptoservicios: cifrado U.11.3 Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
U.11.3 Criptoservicios: cifrado U.11.3 Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host 1.0.1
U.15.1 Registro y supervisión: eventos registrados U.15.1 El CSP y el CSC registran la infracción de las reglas de directiva. Los registros de recursos de Azure Kubernetes Service se deben habilitar 1.0.0

Banco de la Reserva de la India: marco informático para NBFC

Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Gobernanza de TI 1 Gobernanza de TI-1 Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Información y ciberseguridad 3.1.a Identificación y clasificación de recursos de información-3.1 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Información y ciberseguridad 3.1.c Control de acceso basado en rol-3.1 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Información y ciberseguridad 3.1.g Senderos-3.1 Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. 2.0.1
Información y ciberseguridad 3.3 Administración de vulnerabilidades-3.3 Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2

Banco de la Reserva de la India: marco informático para bancos, v2016

Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para obtener más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Administración de cambios y revisiones y vulnerabilidades Administración de cambios y revisiones y vulnerabilidades-7.7 Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Administración y defensa ante amenazas avanzadas en tiempo real Administración y defensa ante amenazas avanzadas en tiempo real-13.2 Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. 2.0.1
Administración o control de acceso de usuarios Administración y control de acceso de usuarios-8.1 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4

RMIT Malasia

Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: RMIT Malasia. Para más información sobre este estándar de cumplimiento, vea RMIT Malasia.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Criptografía 10.19 Criptografía: 10.19 Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Control de acceso 10.54 Access Control: 10.54 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso 10,55 Access Control: 10.55 Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Control de acceso 10,55 Access Control: 10.55 Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Control de acceso 10,55 Access Control: 10.55 Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Control de acceso 10,55 Access Control: 10.55 No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Control de acceso 10,55 Access Control: 10.55 Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Control de acceso 10.60 Access Control: 10.60 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso 10.61 Access Control: 10.61 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Control de acceso 10.62 Access Control: 10.62 Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Administración del sistema de revisión y fin de ciclo de vida 10.65 Administración del sistema de revisión y fin de ciclo de vida: 10.65 Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable 1.0.2
Centro de operaciones de seguridad (SOC) 11.17 Centro de operaciones de seguridad (SOC): 11.17 Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Medidas de control sobre ciberseguridad Apéndice 5.5 Medidas de control sobre ciberseguridad: anexo 5.5 Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas 5.2.0
Medidas de control sobre ciberseguridad Apéndice 5.6 Medidas de control sobre ciberseguridad: anexo 5.6 Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Medidas de control sobre ciberseguridad Apéndice 5.6 Medidas de control sobre ciberseguridad: anexo 5.6 Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
Medidas de control sobre ciberseguridad Apéndice 5.6 Medidas de control sobre ciberseguridad: anexo 5.6 Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0

España ENS

A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Medidas de protección mp.s.3 Protección de los servicios El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Marco operativo op.exp.2 Operación Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Marco operativo op.exp.3 Operación Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Marco operativo op.exp.4 Operación Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Marco operativo op.exp.5 Operación Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Marco operativo op.exp.6 Operación Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. 2.0.1
Marco operativo op.exp.6 Operación Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1
Marco operativo op.exp.6 Operación Configurar clústeres de Azure Kubernetes Service para habilitar el perfil de Defender 4.3.0
Marco operativo op.exp.7 Operación Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Marco operativo op.exp.8 Operación Los registros de recursos de Azure Kubernetes Service se deben habilitar 1.0.0
Marco operativo op.mon.3 Supervisión del sistema Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) 1.0.1

SWIFT CSP-CSCF v2021

Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Protección del entorno SWIFT 1.1 Protección del entorno SWIFT Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Protección del entorno SWIFT 1.4 Restricción del acceso a internet Los intervalos IP autorizados deben definirse en los servicios de Kubernetes 2.0.1
Reducir la superficie expuesta a ataques y vulnerabilidades 2.1 Seguridad del flujo de datos interno Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Detectar actividad anómala en sistemas o registros de transacciones 6.2 Integridad de software Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1
Detectar actividad anómala en sistemas o registros de transacciones 6.5A Detección de intrusiones Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente 1.0.1

Controles de sistema y organización (SOC) 2

Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.

Domain Id. de control Título de control Directiva
(Azure Portal)
Versión de la directiva
(GitHub)
Controles de acceso lógicos y físicos CC6.1 Software de seguridad de acceso lógico, infraestructura y arquitecturas Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Controles de acceso lógicos y físicos CC6.3 Acceso basado en roles y privilegios mínimos Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes 1.0.4
Controles de acceso lógicos y físicos CC6.6 Medidas de seguridad contra amenazas fuera de los límites del sistema Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Controles de acceso lógicos y físicos CC6.7 Restringir el movimiento de información a usuarios autorizados Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS 8.2.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático 4.2.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Controles de acceso lógico y físico CC6.8 Evitar o detectar software no autorizado o malintencionado Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. 5.1.0
Controles de acceso lógicos y físicos CC6.8 Evitar o detectar software no autorizado o malintencionado Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado 4.2.0
Operaciones del sistema CC7.2 Supervisión de componentes del sistema para un comportamiento anómalo Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender. 2.0.1
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres 1.0.2
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes 9.3.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host 5.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos 6.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas 6.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes 9.3.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura 6.3.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas 6.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados 6.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos 6.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos 8.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software No permitir contenedores con privilegios en el clúster de Kubernetes 9.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático 4.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor 7.2.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. 5.1.0
Administración de cambios CC8.1 Cambios en la infraestructura, los datos y el software Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado 4.2.0

Pasos siguientes