Définitions intégrées Azure Policy pour Kubernetes avec Azure Arc
Cette page est un index des définitions de stratégie intégrées Azure Policy pour Kubernetes avec Azure Arc. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy pour d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Kubernetes compatible avec Azure Arc
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : l’extension Sauvegarde Azure doit être installée dans des clusters AKS | Vérifiez l’installation de la protection de l’extension de sauvegarde dans vos clusters AKS pour tirer parti de Sauvegarde Azure. La sauvegarde Azure pour AKS est une solution de protection des données sécurisée et native cloud pour les clusters AKS | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer des clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné | Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. | Audit, Refuser, Désactivé | 2.2.0-preview |
| L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc | L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les clusters Kubernetes prenant en charge Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters Kubernetes avec Azure Arc doivent avoir l'extension Azure Policy installée | L’extension Open Service Mesh fournit toutes les fonctionnalités de maillage de service standard pour la sécurité, la gestion du trafic et l’observabilité des services d’application. En savoir plus ici ! https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| L’extension Strimzi Kafka doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Kafka Strimzi permet aux opérateurs d’installer Kafka pour créer des pipelines de données en temps réel et des applications de diffusion en continu avec des fonctionnalités de sécurité et d’observabilité. Pour plus d’informations : https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Configurer les clusters Kubernetes avec Azure Arc pour installer l’extension Azure Policy | Déployez l'extension d’Azure Policy pour Azure Arc afin de fournir des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des clusters Kubernetes prenant en charge Azure Arc pour utiliser une étendue de liaison privée Azure Arc | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. | Modifier, Désactivé | 1.0.0 |
| Configurer l’installation de l’extension Flux sur un cluster Kubernetes | Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite une SecretKey Bucket stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux | Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition exige que les secrets d’utilisateur et de clé HTTPS soient stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH | Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées | Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.2.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites | Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé | Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.1 |
| Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée | Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements | Audit, Refuser, Désactivé | 3.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés | Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés | Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs et pods de cluster Kubernetes doivent utiliser uniquement des options SELinux autorisées | Les pods et les conteneurs ne doivent utiliser que des options SELinux autorisées dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés | Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées | Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées | Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Le cluster Kubernetes ne doit pas utiliser de pods nus | Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas surengager le processeur et la mémoire | Les requêtes de ressources de conteneur Windows doivent être inférieures ou égales à la limite de ressources ou non spécifiées afin d’éviter les sollicitations excessives. Si la mémoire Windows est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances, au lieu d’arrêter le conteneur avec une mémoire insuffisante | Audit, Refuser, Désactivé | 2.1.0 |
| Les conteneurs Windows de cluster Kubernetes ne doivent pas s’exécuter en tant que ContainerAdministrator | Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur pour les pods ou conteneurs Windows. Cette recommandation est destinée à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Refuser, Désactivé | 1.1.0 |
| Les conteneurs Windows du cluster Kubernetes ne doivent s’exécuter qu’avec un utilisateur et un groupe d’utilisateurs de domaine approuvés | Contrôlez l’utilisateur que les pods et conteneurs Windows peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité des nœuds Windows destinées à améliorer la sécurité de vos environnements Kubernetes. | Audit, Refuser, Désactivé | 2.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740. Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Désactivé | 3.1.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques | N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver | Audit, Refuser, Désactivé | 2.2.0 |
| Les ressources Kubernetes doivent avoir les annotations requises | Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 3.1.0 |
Étapes suivantes
- Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub.
- Consultez la Structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.