Definiciones integradas de Azure Policy para Azure Kubernetes Service
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure Kubernetes Service. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Iniciativas
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Uso de la directiva de integridad de imagen para garantizar que solo se implementen imágenes de confianza | Use la integridad de la imagen para garantizar que los clústeres de AKS implementen solo imágenes de confianza habilitando la integridad de la imagen y los complementos de Azure Policy en clústeres de AKS. El complemento de integridad de la imagen y el complemento de Azure Policy son requisitos previos para usar la integridad de la imagen para comprobar si la imagen está firmada tras la implementación. Para más información, visite https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Versión preliminar]: las medidas de seguridad para implementación deben guiar a los desarrolladores para que sigan los procedimientos recomendados de AKS | Colección de procedimientos recomendados de Kubernetes recomendados por Azure Kubernetes Service (AKS). Para obtener la mejor experiencia, use las medidas de seguridad de implementación para asignar esta iniciativa de directiva: https://aka.ms/aks/deployment-safeguards. El complemento de Azure Policy para AKS es un requisito previo para aplicar estos procedimientos recomendados a los clústeres. Para obtener instrucciones sobre cómo habilitar el complemento de Azure Policy, vaya a aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Estándares de referencia de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux | Esta iniciativa incluye las directivas para los estándares de referencia de seguridad de pods de clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Estándares restringidos de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux | Esta iniciativa incluye las directivas para los estándares restringidos de seguridad de pods de clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definiciones de directiva
Microsoft.ContainerService
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: [Integridad de la imagen] Los clústeres de Kubernetes solo deben usar imágenes firmadas por notación | Utilice imágenes firmadas por notación para asegurarse de que provengan de fuentes confiables y no se modifiquen maliciosamente. Para más información, visite https://aka.ms/aks/image-integrity | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: La extensión de Azure Backup debe instalarse en clústeres de AKS | Asegúrese de instalar la protección de la extensión de copia de seguridad en los clústeres de AKS para usar Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Backup debe estar habilitado para los clústeres de AKS | Asegúrese de proteger los clústeres de AKS habilitando Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: los clústeres administrados de Azure Kubernetes Service deben ser clústeres con redundancia de zona | Los clústeres administrados de Azure Kubernetes Service se pueden configurar para que tengan redundancia de zona o no. La directiva comprueba los grupos de nodos del clúster y garantiza que las zonas de disponibilidad estén establecidas para todos los grupos de nodos. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: No se pueden editar nodos individuales | No se pueden editar nodos individuales. Los usuarios no deben editar nodos individuales. Edite los grupos de nodos. La modificación de nodos individuales puede provocar configuraciones incoherentes, desafíos operativos y posibles riesgos de seguridad. | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Implementar integridad de imagen en AKS | Implemente la integridad de la imagen y los clústeres de Azure Kubernetes de complementos de directiva. Para más información, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
| [Versión preliminar]: Instale la extensión de Azure Backup en clústeres de AKS (clúster administrado) con una etiqueta determinada. | La instalación de la extensión de Azure Backup es un requisito previo para proteger los clústeres de AKS. Aplique la instalación de la extensión de copia de seguridad en todos los clústeres de AKS que contengan una etiqueta determinada. Esto puede ayudarle a administrar la copia de seguridad de clústeres de AKS a escala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Instale la extensión de Azure Backup en clústeres de AKS (clúster administrado) sin una etiqueta determinada. | La instalación de la extensión de Azure Backup es un requisito previo para proteger los clústeres de AKS. Aplique la instalación de la extensión de copia de seguridad en todos los clústeres de AKS sin un valor de etiqueta determinado. Esto puede ayudarle a administrar la copia de seguridad de clústeres de AKS a escala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Vista previa]: Las imágenes de contenedor de clúster de Kubernetes deben incluir la tecla para colgar y descolgar preStop | Requiere que las imágenes de contenedor incluyan un enlace preStop para finalizar correctamente los procesos durante los apagados del pod. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vista previa]: Las imágenes de contenedor del clúster de Kubernetes no deberían incluir la etiqueta de imagen más reciente | Requiere que las imágenes de contenedor no usen la etiqueta más reciente de Kubernetes; se trata de un procedimiento recomendado para garantizar la reproducibilidad, evitar actualizaciones no deseadas y facilitar la depuración y reversiones mediante imágenes de contenedor explícitas y con versión. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los contenedores de clúster de Kubernetes solo deben extraer imágenes cuando haya secretos de extracción de imágenes presentes | Restricción de extracciones de imágenes de los contenedores para exigir la presencia de ImagePullSecrets, que garantiza el acceso seguro y autorizado a las imágenes de un clúster de Kubernetes | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: los servicios de clúster de Kubernetes deben usar selectores únicos | Asegúrese de que los servicios en un espacio de nombres tengan selectores únicos. Un selector de servicio único garantiza que cada servicio en un espacio de nombres sea identificable de forma única en función de criterios específicos. Esta directiva sincroniza los recursos de entrada en OPA mediante Gatekeeper. Antes de aplicarla, compruebe que no se superará la capacidad de memoria de pods de Gatekeeper. Los parámetros se aplican a espacios de nombres específicos, pero sincroniza todos los recursos de ese tipo en todos los espacios de nombres. Actualmente está en versión preliminar para Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: el clúster de Kubernetes debe implementar presupuestos de interrupciones de pods precisos | Evita los presupuestos defectuosos de interrupción de pods, lo que garantiza un número mínimo de pods operativos. Consulta la documentación oficial de Kubernetes para más información. Se basa en la replicación de datos de Gatekeeper y sincroniza todos los recursos de entrada con ese ámbito en OPA. Antes de aplicar esta directiva, asegúrate de que los recursos de entrada sincronizados no restringen la capacidad de memoria. Aunque los parámetros evalúan espacios de nombres específicos, se sincronizarán todos los recursos de ese tipo entre espacios de nombres. Nota: Actualmente está en versión preliminar para Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Los clústeres de Kubernetes deben restringir la creación del tipo de recurso especificado | Dado el tipo de recurso de Kubernetes no se debe implementar en un determinado espacio de nombres. | Audit, Deny, Disabled | 2.2.0-preview |
| [Versión preliminar]: Conjunto de reglas antiafinidad imprescindible | Esta directiva garantiza que los pods estén programados en distintos nodos del clúster. Al aplicar reglas de antiafinidad, la disponibilidad se mantiene incluso si uno de los nodos deja de estar disponible. Los pods seguirán ejecutándose en otros nodos, lo que mejorará la resistencia. | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Sin etiquetas específicas AKS | Impide que los clientes apliquen etiquetas específicas de AKS. AKS usa etiquetas precedidas por kubernetes.azure.com para indicar componentes que son propiedad de AKS. El cliente no debe usar estas etiquetas. |
Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Marcas del grupo del sistema reservado | Restringe la intolerancia CriticalAddonsOnly solo al grupo del sistema. AKS usa la intolerancia CriticalAddonsOnly para mantener los pods del cliente alejados del grupo de sistemas. Garantiza una separación clara entre los componentes de AKS y los pods del cliente, al igual que evita que los pods del cliente se expulsen si no toleran la intolerancia CriticalAddonsOnly. | Audit, Deny, Disabled | 1.1.1-preview |
| [Vista previa]: Restringe la etiqueta CriticalAddonsOnly solo al grupo del sistema. | Para evitar la expulsión de aplicaciones de usuario de grupos de usuarios y mantener la separación de problemas entre los grupos de usuarios y del sistema, la intolerancia "CriticalAddonsOnly" no se debe aplicar a grupos de usuarios. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece los límites de CPU de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes. | Establecimiento de límites de CPU de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. | Mutar, Deshabilitado | 1.1.1-preview |
| [Vista previa]: Establece los límites de la memoria de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes. | Establecimiento de límites de memoria de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. | Mutar, Deshabilitado | 1.1.1-preview |
| [Vista previa]: Establece los pods maxUnavailable en 1 para los recursos PodDisruptionBudget | Establecer el valor máximo de pods no disponibles en 1 garantiza que la aplicación o el servicio estén disponibles durante una interrupción | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod en los contenedores de inicialización si no se establece. | Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz. Esto solo funciona para contenedores de Linux. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod si no se establece. | Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz | Mutar, Deshabilitado | 1.1.0-preview |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| Los clústeres de Azure Kubernetes deben habilitar Container Storage Interface (CSI) | La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Azure Kubernetes Service. Para obtener más información, https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes deben habilitar el Servicio de administración de claves (KMS) | Use el Servicio de administración de claves (KMS) para cifrar los datos secretos en reposo en etcd con el fin de proteger el clúster de Kubernetes. Más información en: https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes deben usar Azure CNI | Azure CNI es un requisito previo para algunas características de Azure Kubernetes Service, incluidas las directivas de red de Azure, los grupos de nodos de Windows y el complemento de nodos virtuales. Más información en: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben deshabilitar la invocación de comandos | Deshabilitar la invocación de comandos puede mejorar la seguridad, puesto que evita la omisión del acceso restringido a la red o el control de acceso basado en roles de Kubernetes | Audit, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del clúster | La actualización automática del clúster de AKS puede asegurarse de que los clústeres estén actualizados y no pierda las características o revisiones más recientes de AKS y Kubernetes ascendentes. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar Image Cleaner | Image Cleaner realiza la identificación y eliminación automáticas de imágenes vulnerables y sin usar, lo que mitiga el riesgo de imágenes obsoletas y reduce el tiempo necesario para limpiarlas. Más información en: https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar la integración de Microsoft Entra ID | La integración de Microsoft Entra ID administrada por AKS puede administrar el acceso a los clústeres mediante la configuración del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes) en función de la identidad de un usuario o la pertenencia a grupos de directorios. Más información en: https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del nodo | La actualización automática del sistema operativo del nodo de AKS controla las actualizaciones de seguridad del sistema operativo de nivel de nodo. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar la identidad de carga de trabajo | La identidad de carga de trabajo permite asignar una identidad única a cada pod de Kubernetes y asociarla a recursos protegidos de Azure AD, como Azure Key Vault, lo que permite el acceso seguro a estos recursos desde el pod. Más información en: https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| Los clústeres de Azure Kubernetes Service deben tener los métodos de autenticación local deshabilitados | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los clústeres de Azure Kubernetes Service deben exigir exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben usar identidades administradas | Use identidades administradas para encapsular entidades de servicio, simplificar la administración de clústeres y evitar la complejidad necesaria para las entidades de servicio administradas. Más información en: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| Los clústeres privados de Azure Kubernetes Service deben estar habilitados | Habilite la característica de clúster privado para el clúster de Azure Kubernetes Service a fin de asegurarse de que el tráfico de red entre el servidor de API y los grupos de nodos permanece solo en la red privada. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. | Audit, Disabled | 1.0.2 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | AuditIfNotExists, Disabled | 1.0.1 |
| Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| Configurar clústeres de Azure Kubernetes Service para habilitar el perfil de Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.Defender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Obtenga más información sobre Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Configurar la instalación de la extensión Flux en el clúster de Kubernetes | Instalar la extensión Flux en el clúster de Kubernetes para habilitar la implementación de "fluxconfigurations" en el clúster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el origen y los secretos del cubo en KeyVault | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere un objeto SecretKey de cubo almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y el certificado de entidad de certificación de HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un certificado de entidad de certificación HTTPS. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada HTTPS almacenada en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos SSH | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada SSH almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT público | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con el origen de cubo de Flux v2 especificado mediante secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos HTTPS | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere que los secretos de usuario y clave de HTTPS estén almacenados en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada sin secretos | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos SSH | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere un secreto de clave privada SSH en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Azure Kubernetes Service integrados de Microsoft Entra ID con el acceso de grupo de administración necesario | Asegúrese de mejorar la seguridad del clúster mediante un control centralizado del acceso de administrador a los clústeres de AKS integrados de Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurar la actualización automática del sistema operativo de nodo en el clúster de Azure Kubernetes | Usar la actualización automática del sistema operativo de nodo para controlar las actualizaciones de seguridad del sistema operativo de nivel de nodo de los clústeres de Azure Kubernetes Service (AKS). Para más información, visite https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Implementación: configure las opciones de diagnóstico de Azure Kubernetes Service en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Azure Kubernetes Service para transmitir los registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Implementación del complemento de Azure Policy en los clústeres de Azure Kubernetes Service | Use el complemento de Azure Policy para administrar e informar sobre el estado de cumplimiento de los clústeres de Azure Kubernetes Service (AKS). Para obtener más información, vea https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Implementar Image Cleaner en Azure Kubernetes Service | Implementar Image Cleaner en clústeres de Azure Kubernetes. Para más información, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Implemente el mantenimiento planificado para programar y controlar las actualizaciones del clúster de Azure Kubernetes Service (AKS) | El mantenimiento planeado permite programar ventanas de mantenimiento semanales para realizar actualizaciones y minimizar el impacto en la carga de trabajo. Una vez se programen, las actualizaciones ocurren solo durante la ventana que se seleccionó. Más información en: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Deshabilitar la invocación de comandos en los clústeres de Azure Kubernetes Service | Si deshabilita la invocación de comandos, puede mejorar la seguridad al rechazar el acceso de invoke-command al clúster | DeployIfNotExists, Disabled | 1.2.0 |
| Asegúrese de que los contenedores de clúster tienen configurados sondeos de comprobación o ejecución | Esta directiva exige que todos los pods tengan configurados sondeos de preparación o ejecución. Los sondeos pueden ser cualquiera de tipo tcpSocket, httpGet y exec. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los contenedores de clúster de Kubernetes no deben usar interfaces sysctl prohibidas | Los contenedores no deben usar interfaces sysctl prohibidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar el tipo ProcMountType permitido | Los contenedores de pods solo pueden usar tipos ProcMountType permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar la directiva de extracción permitida | Restrinja la directiva de extracción de los contenedores para exigir que los contenedores solo usen imágenes permitidas en implementaciones. | Audit, Deny, Disabled | 3.1.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de seccomp permitidos | Los contenedores de pods solo pueden usar perfiles de seccomp permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los volúmenes FlexVolume del pod de clúster de Kubernetes solo deben usar controladores permitidos | Los volúmenes FlexVolume del pod solo deben usar controladores permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los pods y contenedores de los clústeres de Kubernetes solo deben usar opciones de SELinux permitidas | Los pods y contenedores solo deben usar opciones de SELinux permitidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar tipos de volumen permitidos | Los pods solo pueden usar tipos de volúmenes permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Los pods del clúster de Kubernetes deben usar etiquetas especificadas | Use las etiquetas especificadas para identificar los pods en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas | Use direcciones IP externas permitidas para evitar un ataque potencial (CVE-2020-8554) en un clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| El clúster de Kubernetes no debe usar pods desnudos | Bloquee el uso de pods desnudos. Los pods desnudos no se volverán a programar en caso de error de nodo. Los pods deben administrarse mediante Deployment, Replicset, DaemonSet o Jobs | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben sobreasignar la CPU y la memoria | Las solicitudes de recursos de contenedores de Windows deben ser menores o iguales que el límite de recursos o no estar especificados para evitar sobreasignaciones. Si la memoria de Windows está sobreaprovisionada, procesará las páginas en el disco, lo que puede ralentizar el rendimiento, en lugar de terminar el contenedor con memoria insuficiente. | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben ejecutarse como ContainerAdministrator | Evite el uso de ContainerAdministrator como usuario para ejecutar los procesos de contenedor para pods o contenedores de Windows. Esta recomendación está pensada para mejorar la seguridad de los nodos Windows. Para obtener más información, consulta https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Los contenedores de Windows del clúster de Kubernetes solo deben ejecutarse con un grupo de usuarios de dominio y usuario aprobado | Controle el usuario que los contenedores y pods de Windows pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods sobre los nodos de Windows, que están pensadas para mejorar la seguridad de los entornos de Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes deben asegurarse de que el rol de administrador del clúster solo se usa cuando sea necesario | El rol "administrador de clústeres" proporciona potencias de gran alcance sobre el entorno y solo se debe usar cuando sea necesario y cuando sea necesario. | Audit, Disabled | 1.0.0 |
| Los clústeres de Kubernetes deben minimizar el uso de caracteres comodín en el rol y en el rol de clúster | El uso de caracteres comodín ("*") puede ser un riesgo de seguridad porque concede permisos amplios que pueden no ser necesarios para un rol específico. Si un rol tiene demasiados permisos, podría ser abusado por un atacante o un usuario comprometido para obtener acceso no autorizado a los recursos del clúster. | Audit, Disabled | 1.0.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los clústeres de Kubernetes no deben permitir permisos de edición de puntos de conexión de ClusterRole/System:aggregate-to-edit | ClusterRole/system:aggregate-to-edit no debe permitir permisos de edición de puntos de conexión debido a CVE-2021-25740, los permisos Endpoint & EndpointSlice permiten el reenvío entre espacios de nombres, https://github.com/kubernetes/kubernetes/issues/103675. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar funcionalidades de seguridad específicas | Evite las funcionalidades de seguridad específicas en los clústeres de Kubernetes para impedir los privilegios no concedidos en el recurso de pod. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes deben usar el controlador StorageClass de Container Storage Interface (CSI) | La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Kubernetes. El aprovisionador en árbol StorageClass debería estar en desuso desde la versión 1.21 de AKS. Para obtener más información, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Los clústeres de Kubernetes deben usar equilibradores de carga internos | Use equilibradores de carga internos para que un servicio de Kubernetes sea accesible solo para las aplicaciones que se ejecutan en la misma red virtual que el clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los recursos Kubernetes deben tener las anotaciones necesarias | Asegúrese de que las anotaciones necesarias están asociadas en un tipo de recurso de Kubernetes determinado para mejorar la administración de recursos en los recursos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| Los registros de recursos de Azure Kubernetes Service se deben habilitar | Los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear trazos de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario | AuditIfNotExists, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.