Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page est un index de Azure Policy définitions de stratégie intégrées pour Azure Kubernetes Service. Pour obtenir des Azure Policy supplémentaires intégrées pour d’autres services, consultez Azure Policy définitions intégrées.
Le nom de chaque définition de stratégie intégrée est lié à la définition de stratégie dans le portail Azure. Utilisez le lien dans la colonne Version pour afficher la source sur le dépôt Azure Policy GitHub.
Initiatives
| Nom | Descriptif | Stratégies | Version |
|---|---|---|---|
| [préversion] : utilisez l’intégrité de l’image pour vous assurer que seules les images approuvées sont déployées | Utilisez l’intégrité de l’image pour garantir que les clusters AKS déploient uniquement des images approuvées en activant l’intégrité des images et Azure Policy Add-Ons sur les clusters AKS. L’intégrité de l’image Add-On et les Azure Policy Add-On sont des conditions préalables à l’utilisation de l’intégrité de l’image pour vérifier si l’image est signée lors du déploiement. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [préversion] : le cluster Kubernetes doit suivre les recommandations de contrôle de sécurité du benchmark Kubernetes Center for Internet Security (CIS) | Cette initiative inclut les stratégies pour la recommandation de sécurité pour le benchmark CIS (Center for Internet Security) Kubernetes, vous pouvez utiliser cette initiative pour rester conforme au benchmark CIS Kubernetes. Pour plus d’informations sur la conformité CIS, visitez : https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-aperçu |
| les protections Déploiement doivent aider les développeurs à adopter les meilleures pratiques recommandées par AKS | Collection de bonnes pratiques Kubernetes recommandées par Azure Kubernetes Service (AKS). Pour une expérience optimale, utilisez les mesures de sécurité de déploiement pour attribuer cette initiative de stratégie : https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On pour AKS est un prérequis pour appliquer ces meilleures pratiques à vos clusters. Pour obtenir des instructions sur l’activation du module complémentaire Azure Policy, accédez à aka.ms/akspolicydoc | 27 | 3.0.0 |
| Kubernetes normes de base de référence de sécurité des pods de cluster pour les charges de travail Linux | Cette initiative comprend les stratégies pour les normes de référence liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes des normes restreintes de sécurité des pods de cluster pour les charges de travail Linux | Cette initiative comprend les stratégies pour les normes restreintes liées à la sécurité du pod de cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Définitions de stratégies
Microsoft. ContainerService
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Aperçu] : [Intégrité de l'image] Les clusters Kubernetes ne doivent utiliser que des images signées par notation | Utilisez des images signées par notation pour garantir que les images proviennent de sources fiables et ne seront pas modifiées de manière malveillante. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | Audit, Désactivé | 1.1.0-preview |
| [préversion] : Sauvegarde Azure extension doit être installée dans des clusters AKS | Vérifiez l’installation de la protection de l’extension de sauvegarde dans vos clusters AKS pour tirer parti de Sauvegarde Azure. Sauvegarde Azure pour AKS est une solution de protection des données natives sécurisée et cloud pour les clusters AKS | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Sauvegarde Azure doit être activé pour les clusters AKS | Assurez-vous de la protection de vos clusters AKS en activant Sauvegarde Azure. Sauvegarde Azure pour AKS est une solution de protection des données natives sécurisée et cloud pour les clusters AKS. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : Azure Kubernetes Service clusters managés doivent être redondants interzone | Azure Kubernetes Service clusters managés peuvent être configurés pour être redondants interzones ou non. La stratégie vérifie les pools de nœuds dans le cluster et garantit que les zones de disponibilité sont définies pour tous les pools de nœuds. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [préversion] : Déployer l’intégrité de l’image sur Azure Kubernetes Service | Déployez à la fois l’intégrité de l’image et la stratégie Add-Ons Azure clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/aks/image-integrity | DeployIfNotExists, Désactivé | 1.2.0-preview |
| L’installation de l’extension Sauvegarde Azure est une condition préalable à la protection de vos clusters AKS. Appliquez l’installation de l’extension de sauvegarde sur tous les clusters AKS contenant une balise donnée. Cela peut vous aider à gérer la sauvegarde des clusters AKS à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.0-preview | |
| [préversion] : installez l’extension Sauvegarde Azure dans les clusters AKS (cluster managé) sans balise. | L’installation de l’extension Sauvegarde Azure est une condition préalable à la protection de vos clusters AKS. Appliquez l’installation de l’extension de sauvegarde sur tous les clusters AKS sans valeur de balise particulière. Cela peut vous aider à gérer la sauvegarde des clusters AKS à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : les conteneurs de cluster Kubernetes doivent utiliser uniquement les interfaces sysctl autorisées | Les conteneurs doivent utiliser uniquement les interfaces sysctl autorisées dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : le cluster Kubernetes doit implémenter des budgets d’interruption de pod exacts | Empêche les budgets d’interruption de pods défaillants et veille donc à un nombre minimal de pods opérationnels. Reportez-vous à la documentation officielle de Kubernetes pour obtenir des détails. S’appuie sur la réplication des données Gatekeeper et synchronise toutes les ressources Deployment, StatefulSet et PodDisruptionBudget limitées à celle-ci dans OPA. Avant d’appliquer cette stratégie, assurez-vous que les ressources synchronisées ne vont pas forcer votre capacité de mémoire. Toutes les ressources de ces types entre les espaces de noms sont synchronisées. Remarque : actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.3.1-preview |
| [Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné | Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. | Audit, Refuser, Désactivé | 2.3.0-preview |
| [Préversion] : Empêche les conteneurs d’être exécutés en tant que racines en définissant runAsNotRoot sur true. | La définition de runAsNotRoot sur true augmente la sécurité en empêchant l’exécution de conteneurs en tant que racines. | Muter, Désactivé | 1.1.0-preview |
| [Préversion] : Empêche les conteneurs init d’être exécutés en tant que racines en définissant runAsNotRoot sur true. | La définition de runAsNotRoot sur true augmente la sécurité en empêchant l’exécution de conteneurs en tant que racines. | Muter, Désactivé | 1.1.0-preview |
| [Préversion] : définit les champs securityContext.runAsUser du conteneur du cluster Kubernetes sur 1 000, un identifiant utilisateur non-racine | Réduit la surface d'attaque liée à l'élévation des privilèges en tant qu'utilisateur racine en cas de vulnérabilités de sécurité. | Muter, Désactivé | 1.1.0-preview |
| [Préversion] : définit le type de profil du mode de calcul sécurisé des conteneurs de cluster Kubernetes sur RuntimeDefault, s’il n’est pas déjà défini. | Définir le type de profil du mode de calcul sécurisé pour les conteneurs empêche les appels système non autorisés et potentiellement dangereux depuis l'espace utilisateur vers le noyau. | Muter, Désactivé | 1.2.0-preview |
| [Préversion] : définit les champs securityContext.runAsUser des conteneurs init du cluster Kubernetes sur 1 000, un identifiant utilisateur non-racine | Réduit la surface d'attaque liée à l'élévation des privilèges en tant qu'utilisateur racine en cas de vulnérabilités de sécurité. | Muter, Désactivé | 1.1.0-preview |
| [Préversion] : définit le type de profil du mode de calcul sécurisé des conteneurs init du cluster Kubernetes sur RuntimeDefault, s’il n’est pas déjà défini. | Définir le type de profil du mode de calcul sécurisé pour les conteneurs init empêche les appels système non autorisés et potentiellement dangereux depuis l'espace utilisateur vers le noyau. | Muter, Désactivé | 1.2.0-preview |
| [Préversion] : définit les champs securityContext.runAsUser du pod du cluster Kubernetes sur 1 000, un identifiant utilisateur non-racine | Réduit la surface d'attaque liée à l'élévation des privilèges en tant qu'utilisateur racine en cas de vulnérabilités de sécurité. | Muter, Désactivé | 1.1.0-preview |
| [Préversion] : définit l’élévation des privilèges dans la spécification de pod des conteneurs init sur false. | La définition de l’élévation des privilèges sur false dans les conteneurs init améliore la sécurité en empêchant les conteneurs d’autoriser l’élévation des privilèges, par exemple via les modes de fichiers set-user-ID ou set-group-ID. | Muter, Désactivé | 1.2.0-preview |
| [Préversion] : définit l’élévation des privilèges dans la spécification de pod sur false. | La définition de l’élévation des privilèges sur false améliore la sécurité en empêchant les conteneurs d’autoriser l’élévation des privilèges, par exemple via les modes de fichiers set-user-ID ou set-group-ID. | Muter, Désactivé | 1.2.0-preview |
| [préversion] : définit UnhealthyPodEvictionPolicy sur « AlwaysAllow » | Définit UnhealthyPodEvictionPolicy du budget d’interruption de pod sur « AlwaysAllow » pour permettre l’expulsion même de pods défectueux lors de l’administration du cluster | Muter, Désactivé | 1.1.0-preview |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Azure Clusters Kubernetes doivent désactiver SSH | Désactiver SSH vous permet de sécuriser votre cluster et de réduire la surface d’attaque. Pour en savoir plus, rendez-vous sur : aka.ms/aks/disablessh | Audit, Désactivé | 1.0.0 |
| Azure Clusters Kubernetes doivent activer l’interface de stockage de conteneur (CSI) | L’interface de stockage de conteneur (CSI) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Azure Kubernetes Service. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Désactivé | 1.0.0 |
| Azure Clusters Kubernetes doivent activer le service de gestion des clés (KMS) | Pour la sécurité du cluster Kubernetes, utilisez le service de gestion de clés (KMS) pour chiffrer les données secrètes au repos dans etcd. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/kmsetcdencryption. | Audit, Désactivé | 1.1.0 |
| Azure Clusters Kubernetes doivent utiliser Azure CNI | Azure CNI est un prérequis pour certaines fonctionnalités Azure Kubernetes Service, notamment les stratégies réseau Azure, les pools de nœuds Windows et le module complémentaire de nœuds virtuels. Plus d’informations sur : https://aka.ms/aks-azure-cni | Audit, Désactivé | 1.0.1 |
| Azure Kubernetes Service clusters doivent être membres d’un Azure Kubernetes Fleet Manager. | Détectez et signalez les clusters AKS qui ne sont pas membres d’un Azure Kubernetes Fleet Manager. Pour en savoir plus, visitez https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent désactiver l’appel de commande | La désactivation de l’appel de commande peut améliorer la sécurité en évitant le contournement de l’accès réseau restreint ou du contrôle d’accès en fonction du rôle Kubernetes | Audit, Désactivé | 1.0.1 |
| Azure Kubernetes Service Clusters doivent activer la mise à niveau automatique du cluster | La mise à niveau automatique de clusters AKS vous permet d’être certain que vos clusters seront à jour et incluront les fonctionnalités ou correctifs les plus récents d’AKS et de Kubernetes en amont. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent activer Image Cleaner | Image Cleaner effectue automatiquement l'identification et la suppression des images vulnérables et inutilisées, ce qui atténue le risque d'images obsolètes et réduit le temps nécessaire à leur nettoyage. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/image-cleaner. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent activer l’intégration Microsoft Entra ID | L'intégration de Microsoft Entra ID managée par AKS peut gérer l'accès aux clusters en configurant le contrôle d'accès en fonction du rôle Kubernetes (Kubernetes RBAC) en fonction de l'identité ou de l'appartenance au groupe d'annuaires d'un utilisateur. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-managed-aad. | Audit, Désactivé | 1.0.2 |
| Azure Kubernetes Service Clusters doivent activer la mise à niveau automatique du système d’exploitation de nœud | La mise à niveau automatique du système d'exploitation du nœud AKS contrôle les mises à jour de sécurité du système d'exploitation au niveau du nœud. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service Clusters doivent activer l’identité de charge de travail | L’identité de charge de travail permet d’attribuer une identité unique à chaque pod Kubernetes et de l’associer à Azure ressources protégées par AD telles que Azure Key Vault, ce qui permet un accès sécurisé à ces ressources à partir du pod. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/wi. | Audit, Désactivé | 1.0.0 |
| Azure Kubernetes Service clusters doivent avoir Defender profil activé | Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Lorsque vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter des données d’événement de sécurité. En savoir plus sur Microsoft Defender pour les conteneurs dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Désactivé | 2.0.1 |
| Azure Kubernetes Service Clusters doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les clusters Azure Kubernetes Service nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-disable-local-accounts. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Kubernetes Service Clusters doivent utiliser des identités managées | Utilisez des identités managées pour contourner les principaux de service, simplifier la gestion du cluster et éviter la complexité requise pour les principaux de service managés. Plus d’informations sur : https://aka.ms/aks-update-managed-identities | Audit, Désactivé | 1.0.1 |
| Azure Kubernetes Service Clusters privés doivent être activés | Activez la fonctionnalité de cluster privé pour votre cluster Azure Kubernetes Service afin de garantir que le trafic réseau entre votre serveur API et vos pools de nœuds reste sur le réseau privé uniquement. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Policy module complémentaire pour Kubernetes Service (AKS) doit être installé et activé sur vos clusters | Azure Policy module complémentaire pour Kubernetes Service (AKS) étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des protections sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
| Azure l’exécution d’images conteneur doit avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Both des systèmes d’exploitation et des disques de données dans Azure Kubernetes Service clusters doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Impossible de modifier des nœuds individuels | Impossible de modifier des nœuds individuels. Les utilisateurs ne doivent pas modifier des nœuds individuels. Modifiez les pools de nœuds. La modification de nœuds individuels peut entraîner des paramètres incohérents, des problèmes opérationnels et des risques de sécurité éventuels. | Audit, Refuser, Désactivé | 1.3.1 |
| Configurer les clusters AKS pour joindre automatiquement les Azure Kubernetes Fleet Manager | Détectez et vérifiez que les clusters AKS rejoignent un Azure Kubernetes Fleet Manager donné. Si vous le souhaitez, sélectionnez une balise de recherche pour spécifier le groupe de mises à jour de flotte à joindre. Pour en savoir plus, visitez https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Azure Kubernetes Service clusters pour activer Defender profil | Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Lorsque vous activez SecurityProfile. Defender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données des événements de sécurité. En savoir plus sur Microsoft Defender pour les conteneurs : https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Désactivé | 4.3.0 |
| Configurer l’installation de l’extension Flux sur un cluster Kubernetes | Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite un Bucket SecretKey stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé privée SSH stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’utilisateur et de clé HTTPS stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configure Microsoft Entra ID clusters intégrés Azure Kubernetes Service avec accès requis au groupe d’administration | Veillez à améliorer la sécurité des clusters en régissent de manière centralisée l’accès administrateur aux clusters AKS intégrés Microsoft Entra ID. | DeployIfNotExists, Désactivé | 2.1.0 |
| Mise à niveau automatique du système d’exploitation du nœud de configuration sur Azure cluster Kubernetes | Utilisez la mise à niveau automatique du système d’exploitation de nœud pour contrôler les mises à jour de sécurité du système d’exploitation au niveau du nœud des clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Désactivé | 1.2.0 |
| Deploy - Configurer les paramètres de diagnostic pour Azure Kubernetes Service sur Log Analytics espace de travail | Déploie les paramètres de diagnostic de Azure Kubernetes Service pour diffuser en continu les journaux de ressources vers un espace de travail Log Analytics. | DeployIfNotExists, Désactivé | 3.0.0 |
| Deploy Azure Policy Add-on to Azure Kubernetes Service clusters | Utilisez Azure Policy module complémentaire pour gérer et signaler l’état de conformité de vos clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://aka.ms/akspolicydoc. | DeployIfNotExists, Désactivé | 4.2.0 |
| Deploy Image Cleaner sur Azure Kubernetes Service | Déployez Image Cleaner sur Azure clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/aks/image-cleaner | DeployIfNotExists, Désactivé | 1.2.0 |
| Deploy Schedule Maintenance to schedule and control upgrades for your Azure Kubernetes Service (AKS) cluster | La maintenance planifiée vous permet de planifier des fenêtres de maintenance hebdomadaire pour effectuer des mises à jour et réduire l’impact sur les charges de travail. Une fois planifiées, les mises à jour se produisent uniquement pendant la fenêtre que vous avez sélectionnée. Plus d’informations sur : https://aka.ms/aks/planned-maintenance | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.1.0 |
| Disable Command Invoke on Azure Kubernetes Service clusters | La désactivation de l’appel de commande peut améliorer la sécurité en rejetant l’accès invoke-command au cluster | DeployIfNotExists, Désactivé | 1.2.0 |
| Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées | Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.3.0 |
| Les images conteneur de cluster Kubernetes doivent inclure le hook de préStop | Nécessite que les images conteneur incluent un hook de préStop pour terminer correctement les processus pendant les arrêts de pod. | Audit, Refuser, Désactivé | 1.1.1 |
| Les images conteneur de cluster Kubernetes ne doivent pas inclure la dernière balise d’image | Nécessite que les images conteneur n’utilisent pas la dernière balise dans Kubernetes. Cela est recommandé pour garantir la reproductibilité, empêcher les mises à jour involontaires et faciliter le débogage et la restauration à l’aide d’images conteneur explicites et avec version. | Audit, Refuser, Désactivé | 2.0.1 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
| Les demandes de ressources processeur et mémoire des conteneurs de cluster Kubernetes doivent être définies | Appliquez les demandes de ressources de processeur et de mémoire du conteneur pour vous assurer que le nœud planifié a des ressources requises. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les conteneurs de cluster Kubernetes ne doivent pas partager d’espaces de noms hôtes | Empêchez les conteneurs de pods de partager l’espace de noms d’ID de processus hôte, l’espace de noms IPC hôte et l’espace de noms du réseau hôte dans un cluster Kubernetes. Cette recommandation s’aligne sur les normes de sécurité des pods Kubernetes pour les espaces de noms d’hôte et fait partie de CIS 5.2.1, 5.2.2 et 5.2.3 qui sont destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 6.0.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites | Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.2.0 |
| Les conteneurs de cluster Kubernetes doivent extraire uniquement des images lorsque des secrets d’extraction d’image sont présents | Restreindre les tirages d’image des conteneurs pour appliquer la présence d’ImagePullSecrets, afin de garantir un accès sécurisé et autorisé aux images au sein d’un cluster Kubernetes | Audit, Refuser, Désactivé | 1.3.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé | Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
| Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée | Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements | Audit, Refuser, Désactivé | 3.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés | Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.2.0 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.3.0 |
| Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés | Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.2.0 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.3.0 |
| Les pods et conteneurs de cluster Kubernetes doivent respecter les normes de sécurité SELinux | Cette stratégie applique les normes de sécurité des pods Kubernetes pour les options SELinux. En mode PSS, les champs « utilisateur » et « rôle » doivent être vides, et le champ « type » doit être l’une des valeurs autorisées. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 8.0.0 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés | Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.2.0 |
| Les pods de cluster Kubernetes ne doivent utiliser que le réseau hôte approuvé et la liste des ports | Limitez l’accès des pods au réseau hôte et aux ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie de CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes et s’aligne sur les normes de sécurité des pods (PSS) pour hostPorts. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 7.0.0 |
| Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées | Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.2.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
| Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées | Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.2.0 |
| Les services de cluster Kubernetes doivent utiliser des sélecteurs uniques | Vérifiez que les services d’un espace de noms ont des sélecteurs uniques. Un sélecteur de service unique veille à ce que chaque service au sein d’un espace de noms est uniquement identifiable selon des critères spécifiques. Cette stratégie synchronise les ressources de service en OPA via Gatekeeper. Avant l’application, vérifiez que la capacité de mémoire des pods Gatekeeper n’est pas dépassée. Les paramètres s’appliquent à des espaces de noms spécifiques, mais toutes les ressources de ce type sont synchronisées dans l’ensemble des espaces de noms. Est actuellement en préversion pour Kubernetes Service (AKS). | Audit, Refuser, Désactivé | 1.2.2 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Le cluster Kubernetes ne doit pas utiliser de pods nus | Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs | Audit, Refuser, Désactivé | 2.3.1 |
| Kubernetes cluster Windows conteneurs ne doivent pas dépasser le processeur et la mémoire | Windows demandes de ressources de conteneur doivent être inférieures ou égales à la limite de ressources ou non spécifiées pour éviter tout dépassement de charge. Si Windows mémoire est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances au lieu de terminer le conteneur avec une mémoire insuffisante | Audit, Refuser, Désactivé | 2.2.0 |
| Kubernetes cluster Windows conteneurs ne doivent pas s’exécuter en tant que ContainerAdministrator | Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur pour Windows pods ou conteneurs. Cette recommandation vise à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Refuser, Désactivé | 1.2.0 |
| Kubernetes cluster Windows conteneurs ne doivent s’exécuter qu’avec un groupe d’utilisateurs et d’utilisateurs de domaine approuvé | Contrôlez l’utilisateur qui Windows pods et conteneurs peuvent être utilisés pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité pod sur les nœuds Windows qui sont destinés à améliorer la sécurité de vos environnements Kubernetes. | Audit, Refuser, Désactivé | 2.2.0 |
| Kubernetes Windows pods ne doivent pas exécuter de conteneurs HostProcess | Empêcher l’accès privilégié au nœud Windows. Cette recommandation vise à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette fonctionnalité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | Audit, Refuser, Désactivé | 9.0.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.2.0 |
| Les clusters Kubernetes doivent s’assurer que le rôle Administrateur de cluster est utilisé uniquement si nécessaire | Le rôle « Administrateur de cluster » fournit des pouvoirs étendus sur l’environnement et doit être utilisé uniquement quand et si nécessaire. | Audit, Désactivé | 1.1.0 |
| Les clusters Kubernetes doivent réduire l’utilisation de caractères génériques dans le rôle et le rôle de cluster | L’utilisation de caractères génériques « * » peut être un risque de sécurité, car elle accorde des autorisations étendues qui peuvent ne pas être nécessaires pour un rôle spécifique. Si un rôle a trop d’autorisations, il peut être utilisé de manière abusive par un attaquant ou un utilisateur compromis pour obtenir un accès non autorisé aux ressources du cluster. | Audit, Désactivé | 1.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 8.0.0 |
| Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740. Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Désactivé | 3.2.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques | N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.2.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.2.0 |
| Les clusters Kubernetes doivent spécifier des règles de ressource d’entrée d’hôte | Veillez à spécifier des règles de ressource d’entrée d’hôte pour empêcher l’exposition involontaire des services back-end à un accès non autorisé. Cette stratégie évalue les ressources d’entrée Kubernetes pour s’assurer que chaque règle a un champ hôte spécifié. | Audit, Refuser, Désactivé | 1.1.0-preview |
| Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Refuser, Désactivé | 2.3.0 |
| Les clusters Kubernetes doivent utiliser des équilibreurs de charge internes | Utilisez un équilibreur de charge interne pour rendre un service Kubernetes accessible uniquement aux applications qui s’exécutent dans le même réseau virtuel que le cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
| Les ressources Kubernetes doivent avoir les annotations requises | Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.2.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Doit avoir des règles d’anti-affinité ou des contraintes de répartition de topologie définies | Cette stratégie veille à ce que les pods soient planifiés sur divers nœuds au sein du cluster. En appliquant des règles d’anti-affinité ou des contraintes de répartition de pod, la disponibilité est maintenue même si l’un des nœuds devient indisponible. Les pods continuent de s’exécuter sur d’autres nœuds, ce qui améliore ainsi la résilience. | Audit, Refuser, Désactivé | 1.2.2 |
| Muter le conteneur K8s pour supprimer toutes les fonctionnalités | Mute securityContext.capabilities.drop pour l’ajouter dans « ALL ». Cela supprime toutes les fonctionnalités des conteneurs Linux K8s | Muter, Désactivé | 1.2.1 |
| Désactiver le conteneur Init K8s pour supprimer toutes les fonctionnalités | Mute securityContext.capabilities.drop pour l’ajouter dans « ALL ». Cela supprime toutes les fonctionnalités des conteneurs init Linux K8s | Muter, Désactivé | 1.2.1 |
| Aucune étiquette spécifique AKS | Empêche les clients d’appliquer des étiquettes spécifiques à AKS. AKS utilise des étiquettes précédées de kubernetes.azure.com pour indiquer les composants appartenant à AKS. Le client ne doit pas utiliser ces étiquettes. |
Audit, Refuser, Désactivé | 1.2.1 |
| Imprime un message si une mutation est appliquée | Recherche les annotations de mutation appliquées et affiche un message si l’annotation existe. | Audit, Désactivé | 1.2.1 |
| Taints de pool de systèmes réservés | Limite l’altération CriticalAddonsOnly au pool système uniquement. AKS utilise l’altération CriticalAddonsOnly pour garder les pods du client hors de portée du pool système. Elle veille à une séparation nette entre les composants d’AKS et les pods des clients et empêche également l’exclusion de ces derniers s’ils n’acceptent pas l’altération CriticalAddonsOnly. | Audit, Refuser, Désactivé | 1.2.1 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | les journaux de ressources de Azure Kubernetes Service peuvent aider à recréer des pistes d'activité lors de l'examen des incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists, Désactivé | 1.0.0 |
| Limite la teinte CriticalAddonsOnly au seul pool système. | Pour éviter l’éviction d’applications utilisateur des pools d’utilisateurs et maintenir la séparation des problèmes entre les pools utilisateur et système, la teinte « CriticalAddonsOnly » ne doit pas être appliquée aux pools d’utilisateurs. | Muter, Désactivé | 1.3.1 |
| Role-Based Access Control (RBAC) doit être utilisé sur Kubernetes Services | Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez Role-Based Access Control (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. | Audit, Désactivé | 1.1.0 |
| Définit automountServiceAccountToken dans la spécification pod dans les conteneurs sur false. | Définir automountServiceAccountToken sur false améliore la sécurité en empêchant le montage automatique des jetons de compte de service par défaut. | Muter, Désactivé | 1.2.1 |
| Définit les limites du processeur des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas de non-présence. | Définir des limites du processeur de conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. | Muter, Désactivé | 1.3.1 |
| Définit les limites de mémoire des conteneurs de cluster Kubernetes sur les valeurs par défaut en cas de non-présence. | Définir des limites de mémoire de conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. | Muter, Désactivé | 1.3.1 |
| Définit les pods maxUnavailables sur 1 pour les ressources PodDisruptionBudget | Définir la valeur maximale de votre pod indisponible sur 1 garantit que votre application ou service est disponible pendant une interruption | Muter, Désactivé | 1.3.1 |
| Définit readOnlyRootFileSystem dans les conteneurs init dans les conteneurs init sur true s’il n’est pas défini. | Définir readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine. Cela fonctionne uniquement pour les conteneurs Linux. | Muter, Désactivé | 1.3.1 |
| Définit readOnlyRootFileSystem dans la spécification Pod sur true s’il n’est pas défini. | Définir readOnlyRootFileSystem sur true augmente la sécurité en empêchant les conteneurs d’écrire dans le système de fichiers racine | Muter, Désactivé | 1.3.1 |
| Disques et cachetemps pour les pools de nœuds d’agent dans Azure Kubernetes Service clusters doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
Étapes suivantes
- Consultez les compléments intégrés sur le dépôt Azure Policy GitHub.
- Passez en revue la structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.