Définitions intégrées d’Azure Policy pour Azure Kubernetes Service
Cette page constitue un index des définitions de stratégie intégrées d’Azure Policy pour Azure Kubernetes Service. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Initiatives
| Nom | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Utiliser l’intégrité des images pour garantir que seules des images approuvées sont déployées | Utilisez Image Integrity pour garantir que les clusters AKS déploient uniquement des images fiables en activant les modules complémentaires Image Integrity et Azure Policy sur les clusters AKS. Image Integrity Add-On et Azure Policy Add-On sont tous deux des conditions préalables à l’utilisation d’Image Integrity pour vérifier si l’image est signée lors du déploiement. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Préversion] : Les mesures de sécurité de déploiement doivent aider les développeurs à suivre les meilleures pratiques recommandées par AKS | Un ensemble de bonnes pratiques Kubernetes recommandées par Azure Kubernetes Service (AKS). Pour une expérience optimale, utilisez les mesures de sécurité de déploiement pour attribuer cette initiative de stratégie : https://aka.ms/aks/deployment-safeguards. Le module complémentaire Azure Policy pour AKS est un prérequis pour appliquer ces meilleures pratiques à vos clusters. Pour obtenir des instructions sur l’activation du module complémentaire Azure Policy, accédez à aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Normes de référence liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux | Cette initiative comprend les stratégies pour les normes de référence liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Normes restreintes liées à la sécurité du pod de cluster Kubernetes pour les charges de travail basées sur Linux | Cette initiative comprend les stratégies pour les normes restreintes liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Définitions de stratégies
Microsoft.ContainerService
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Aperçu] : [Intégrité de l'image] Les clusters Kubernetes ne doivent utiliser que des images signées par notation | Utilisez des images signées par notation pour garantir que les images proviennent de sources fiables et ne seront pas modifiées de manière malveillante. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | Audit, Désactivé | 1.0.0-preview |
| [Préversion] : l’extension Sauvegarde Azure doit être installée dans des clusters AKS | Vérifiez l’installation de la protection de l’extension de sauvegarde dans vos clusters AKS pour tirer parti de Sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Sauvegarde Azure doit être activé pour les clusters AKS | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les clusters managés Azure Kubernetes Service doivent être redondants interzone | Les clusters managés Azure Kubernetes Service peuvent être configurés pour être redondants interzones ou non. La stratégie vérifie les pools de nœuds dans le cluster et garantit que les zones de disponibilité sont définies pour tous les pools de nœuds. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Aperçu] : impossible de modifier des nœuds individuels | Impossible de modifier des nœuds individuels. Les utilisateurs ne doivent pas modifier des nœuds individuels. Modifiez les pools de nœuds. La modification de nœuds individuels peut entraîner des paramètres incohérents, des problèmes opérationnels et des risques de sécurité éventuels. | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : déployer l’intégrité des images sur Azure Kubernetes Service | Déployez les clusters Azure Kubernetes d’intégrité de l’image et de modules complémentaires de stratégie. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | DeployIfNotExists, Désactivé | 1.0.5-preview |
| [Préversion] : les images conteneur de cluster Kubernetes doivent inclure le hook de préStop | Nécessite que les images conteneur incluent un hook de préStop pour terminer correctement les processus pendant les arrêts de pod. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les images conteneur de cluster Kubernetes ne doivent pas inclure la dernière balise d’image | Exige que les images conteneur n’utilisent pas la dernière balise dans Kubernetes, il est recommandé de garantir la reproductibilité, d’empêcher les mises à jour involontaires et de faciliter le débogage et la restauration plus faciles à l’aide d’images conteneur explicites et avec version. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : les conteneurs de cluster Kubernetes doivent tirer des images uniquement quand des secrets de tirage d’image sont présents | Restreindre les tirages d’image des conteneurs pour appliquer la présence d’ImagePullSecrets, afin de garantir un accès sécurisé et autorisé aux images au sein d’un cluster Kubernetes | Audit, Refuser, Désactivé | 1.1.0-preview |
| [Préversion] : les services de cluster Kubernetes doivent utiliser des sélecteurs uniques | Vérifiez que les services d’un espace de noms ont des sélecteurs uniques. Un sélecteur de service unique veille à ce que chaque service au sein d’un espace de noms est uniquement identifiable selon des critères spécifiques. Cette stratégie synchronise des ressources d’entrée dans un Open Policy Agent (OPA) via Gatekeeper. Avant l’application, vérifiez que la capacité de mémoire des pods Gatekeeper n’est pas dépassée. Les paramètres s’appliquent à des espaces de noms spécifiques, mais toutes les ressources de ce type sont synchronisées dans l’ensemble des espaces de noms. Est actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : le cluster Kubernetes doit implémenter des budgets d’interruption de pod exacts | Empêche les budgets d’interruption de pods défaillants et veille donc à un nombre minimal de pods opérationnels. Reportez-vous à la documentation officielle de Kubernetes pour obtenir des détails. S’appuie sur la réplication des données Gatekeeper et synchronise toutes les ressources d’entrée qui s’y étendent dans un OPA. Avant d’appliquer cette stratégie, veillez à ce que les ressources d’entrée synchronisées ne surchargent pas la capacité de votre mémoire. Bien que les paramètres évaluent des espaces de noms spécifiques, toutes les ressources de ce genre dans les espaces de noms se synchronisent. Remarque : est actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné | Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. | Audit, Refuser, Désactivé | 2.2.0-preview |
| [Aperçu] : doit avoir un ensemble de règles anti-affinité | Cette stratégie veille à ce que les pods soient planifiés sur divers nœuds au sein du cluster. L’application de règles d’anti-affinité permet de maintenir la disponibilité, même en cas d’indisponibilité de l’un de ces nœuds. Les pods continuent de s’exécuter sur d’autres nœuds, ce qui améliore ainsi la résilience. | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Aperçu] : Pas d'étiquettes spécifiques à AKS | Empêche les clients d’appliquer des étiquettes spécifiques à AKS. AKS utilise des étiquettes précédées de kubernetes.azure.com pour indiquer les composants appartenant à AKS. Le client ne doit pas utiliser ces étiquettes. |
Audit, Refuser, Désactivé | 1.1.1-preview |
| [Aperçu] : rejets de pool de systèmes réservés | Limite l’altération CriticalAddonsOnly au pool système uniquement. AKS utilise l’altération CriticalAddonsOnly pour garder les pods du client hors de portée du pool système. Elle veille à une séparation nette entre les composants d’AKS et les pods des clients et empêche également l’exclusion de ces derniers s’ils n’acceptent pas l’altération CriticalAddonsOnly. | Audit, Refuser, Désactivé | 1.1.1-preview |
| [Préversion] : limite la teinte CriticalAddonsOnly au pool système. | Pour éviter l’éviction des applications utilisateur des pools d’utilisateurs et maintenir la séparation des problèmes entre les pools utilisateur et système, la teinte « CriticalAddonsOnly » ne doit pas être appliquée aux pools d’utilisateurs. | Muter, désactivé | 1.1.0-preview |
| [Préversion] : définit les limites du processeur des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas de non-présence ou de dépassement des limites. | Définition des limites du processeur de conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. | Muter, désactivé | 1.1.0-preview |
| [Préversion] : définit les limites de mémoire des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas de non-présence ou de dépassement des limites. | Définition des limites de mémoire du conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. | Muter, désactivé | 1.1.0-preview |
| [Préversion] : définit les pods maxUnavailables sur 1 pour les ressources PodDisruptionBudget | Définir la valeur maximale de votre pod indisponible sur 1 garantit que votre application ou service est disponible pendant une interruption | Muter, désactivé | 1.1.0-preview |
| [Préversion] : définit readOnlyRootFileSystem dans les conteneurs init sur true si elle n’est pas définie. | La définition de readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine. Cela fonctionne uniquement pour les conteneurs Linux. | Muter, désactivé | 1.1.0-preview |
| [Préversion] : définit readOnlyRootFileSystem dans la spécification Pod sur true s’il n’est pas défini. | La définition de readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine | Muter, désactivé | 1.1.0-preview |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Les clusters Azure Kubernetes doivent activer Container Storage Interface (CSI) | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Azure Kubernetes Service. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes doivent activer le Service de gestion de clés (KMS) | Pour la sécurité du cluster Kubernetes, utilisez le service de gestion de clés (KMS) pour chiffrer les données secrètes au repos dans etcd. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/kmsetcdencryption. | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes doivent utiliser Azure CNI | Azure CNI est un prérequis pour certaines fonctionnalités de Azure Kubernetes Service, notamment les stratégies réseau Azure, les pools de nœuds Windows et le module complémentaire de nœuds virtuels. Plus d’informations sur : https://aka.ms/aks-azure-cni | Audit, Désactivé | 1.0.1 |
| Les clusters Azure Kubernetes Service doivent désactiver l’appel de commande | La désactivation de l’appel de commande peut améliorer la sécurité en évitant le contournement de l’accès réseau restreint ou du contrôle d’accès en fonction du rôle Kubernetes | Audit, Désactivé | 1.0.1 |
| Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du cluster | La mise à niveau automatique de clusters AKS vous permet d’être certain que vos clusters seront à jour et incluront les fonctionnalités ou correctifs les plus récents d’AKS et de Kubernetes en amont. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Désactivé | 1.0.0 |
| Les clusters d’Azure Kubernetes Service doivent activer Image Cleaner | Image Cleaner effectue automatiquement l'identification et la suppression des images vulnérables et inutilisées, ce qui atténue le risque d'images obsolètes et réduit le temps nécessaire à leur nettoyage. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/image-cleaner. | Audit, Désactivé | 1.0.0 |
| Les clusters Azure Kubernetes Service doivent activer l’intégration de Microsoft Entra ID | L’intégration de Microsoft Entra ID gérée par AKS peut gérer l’accès aux clusters en configurant le contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes) selon l’identité d’un utilisateur ou l’appartenance à un groupe d’annuaires. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-managed-aad. | Audit, Désactivé | 1.0.2 |
| Les clusters d’Azure Kubernetes Service doivent activer la mise à niveau automatique du système d'exploitation du nœud | La mise à niveau automatique du système d'exploitation du nœud AKS contrôle les mises à jour de sécurité du système d'exploitation au niveau du nœud. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent activer l’identité de charge de travail | L’identité de charge de travail permet d’attribuer une identité unique à chaque pod Kubernetes et de l’associer à des ressources protégées par Azure AD telles qu’Azure Key Vault, ce qui permet un accès sécurisé à ces ressources à partir du pod. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/wi. | Audit, Désactivé | 1.0.0 |
| Le profil Defender doit être activé sur les clusters Azure Kubernetes Service | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Désactivé | 2.0.1 |
| Les méthodes d’authentification locale doivent être désactivées pour les clusters Azure Kubernetes Service | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les clusters Azure Kubernetes Service nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-disable-local-accounts. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clusters Azure Kubernetes Service doivent utiliser des identités managées | Utilisez des identités managées pour contourner les principaux de service, simplifier la gestion du cluster et éviter la complexité requise pour les principaux de service managés. Plus d’informations sur : https://aka.ms/aks-update-managed-identities | Audit, Désactivé | 1.0.1 |
| Les clusters privés Azure Kubernetes Service doivent être activés | Activez la fonctionnalité de cluster privé pour votre cluster Azure Kubernetes Service pour vous assurer que le trafic réseau entre votre serveur d’API et vos pools de nœuds reste sur le réseau privé uniquement. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Configurer les clusters Azure Kubernetes Service pour activer le profil Defender | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.Defender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Désactivé | 4.1.0 |
| Configurer l’installation de l’extension Flux sur un cluster Kubernetes | Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite une SecretKey Bucket stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition exige que les secrets d’utilisateur et de clé HTTPS soient stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Azure Kubernetes Service intégrés à Microsoft Entra ID avec l’accès au groupe d’administration nécessaire | Veillez à améliorer la sécurité des clusters en régissant de manière centralisée l’accès administratif aux clusters AKS intégrés à Microsoft Entra ID. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer la mise à niveau automatique du système d'exploitation du nœud sur le cluster Azure Kubernetes | Utilisez la mise à niveau automatique du système d’exploitation du nœud pour contrôler les mises à jour de sécurité du système d’exploitation au niveau du nœud des clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Désactivé | 1.0.1 |
| Déployer - Configurer les paramètres de diagnostic d’Azure Kubernetes Service dans l’espace de travail Log Analytics | Déploie les paramètres de diagnostic d’Azure Kubernetes Service pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics. | DeployIfNotExists, Désactivé | 3.0.0 |
| Déployer l’extension Azure Policy sur les clusters Azure Kubernetes Service | Utilisez l’extension Azure Policy pour gérer et signaler l’état de conformité de vos clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://aka.ms/akspolicydoc. | DeployIfNotExists, Désactivé | 4.1.0 |
| Déployer Image Cleaner sur le Azure Kubernetes Service | Déployez Image Cleaner sur les clusters Azure Kubernetes. Pour plus d’informations, consultez https://aka.ms/aks/image-cleaner | DeployIfNotExists, Désactivé | 1.0.4 |
| Déployer la maintenance planifiée pour planifier et contrôler les mises à niveau de votre cluster Azure Kubernetes Service (AKS) | La maintenance planifiée vous permet de planifier des fenêtres de maintenance hebdomadaire pour effectuer des mises à jour et réduire l’impact sur les charges de travail. Une fois planifiées, les mises à jour se produisent uniquement pendant la fenêtre que vous avez sélectionnée. Plus d’informations sur : https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Désactiver l’appel de commande sur les clusters Azure Kubernetes Service | La désactivation de l’appel de commande peut améliorer la sécurité en rejetant l’accès invoke-command au cluster | DeployIfNotExists, Désactivé | 1.2.0 |
| Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées | Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.2.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites | Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé | Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.1 |
| Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée | Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements | Audit, Refuser, Désactivé | 3.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés | Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés | Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs et pods de cluster Kubernetes doivent utiliser uniquement des options SELinux autorisées | Les pods et les conteneurs ne doivent utiliser que des options SELinux autorisées dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés | Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées | Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées | Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Le cluster Kubernetes ne doit pas utiliser de pods nus | Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas surengager le processeur et la mémoire | Les requêtes de ressources de conteneur Windows doivent être inférieures ou égales à la limite de ressources ou non spécifiées afin d’éviter les sollicitations excessives. Si la mémoire Windows est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances, au lieu d’arrêter le conteneur avec une mémoire insuffisante | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas s’exécuter en tant que ContainerAdministrator | Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur pour les pods ou conteneurs Windows. Cette recommandation est destinée à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Refuser, Désactivé | 1.1.0 |
| Les conteneurs Windows du cluster Kubernetes ne doivent s’exécuter qu’avec un utilisateur et un groupe d’utilisateurs de domaine approuvés | Contrôlez l’utilisateur que les pods et conteneurs Windows peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité des nœuds Windows destinées à améliorer la sécurité de vos environnements Kubernetes. | Audit, Refuser, Désactivé | 2.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes doivent s’assurer que le rôle Administrateur de cluster est utilisé uniquement si nécessaire | Le rôle « Administrateur de cluster » fournit des pouvoirs étendus sur l’environnement et doit être utilisé uniquement quand et si nécessaire. | Audit, Désactivé | 1.0.0 |
| Les clusters Kubernetes doivent réduire l’utilisation de caractères génériques dans le rôle et le rôle de cluster | L’utilisation de caractères génériques « * » peut être un risque de sécurité, car elle accorde des autorisations étendues qui peuvent ne pas être nécessaires pour un rôle spécifique. Si un rôle a trop d’autorisations, il peut être utilisé de manière abusive par un attaquant ou un utilisateur compromis pour obtenir un accès non autorisé aux ressources du cluster. | Audit, Désactivé | 1.0.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740. Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Désactivé | 3.1.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques | N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Refuser, Désactivé | 2.2.0 |
| Les clusters Kubernetes doivent utiliser des équilibreurs de charge internes | Utilisez un équilibreur de charge interne pour rendre un service Kubernetes accessible uniquement aux applications qui s’exécutent dans le même réseau virtuel que le cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les ressources Kubernetes doivent avoir les annotations requises | Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.1.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | Les journaux de ressources d’Azure Kubernetes Service permettent de recréer des traçages d’activité durant l’investigation d’incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists, Désactivé | 1.0.0 |
| Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.