Azure Policy szabályozási megfelelőségi vezérlők az Azure Kubernetes Service -hez (AKS)
Az Azure Policy szabályozási megfelelősége a Microsoft által létrehozott és felügyelt kezdeményezési definíciókat (beépítetteket) biztosít a különböző megfelelőségi szabványokhoz kapcsolódó megfelelőségi tartományokhoz és biztonsági vezérlőkhöz. Ez a lap az Azure Kubernetes Service (AKS) megfelelőségi tartományait és biztonsági vezérlőit sorolja fel.
A biztonsági vezérlők beépített funkcióit külön-külön rendelheti hozzá, hogy az Azure-erőforrások megfeleljenek az adott szabványnak.
Az egyes beépített szabályzatdefiníciók címe az Azure Portal szabályzatdefiníciójára hivatkozik. A Szabályzatverzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Fontos
Minden vezérlő egy vagy több Azure Policy-definícióhoz van társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget . A vezérlők és egy vagy több szabályzat között azonban gyakran nincs egy-az-egyhez vagy teljes egyezés. Így az Azure Policy-ban való megfelelőség csak magukra a szabályzatokra vonatkozik. Ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A vezérlők és az Azure Policy szabályozási megfelelőségi definíciói közötti társítások idővel változhatnak.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségét – CIS Microsoft Azure Foundations Benchmark 1.1.0. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmarkban talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| 8 Egyéb biztonsági szempontok | 8.5 | Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségét – CIS Microsoft Azure Foundations Benchmark 1.3.0. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmarkban talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| 8 Egyéb biztonsági szempontok | 8.5 | Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségi adatait a CIS 1.4.0-s verzióhoz. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmarkban talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| 8 Egyéb biztonsági szempontok | 8.7 | Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
CMMC 3. szint
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségét – CMMC 3. szintű. Erről a megfelelőségi szabványról további információt a kiberbiztonsági érettségi modell tanúsítványában (CMMC) talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Hozzáférés-vezérlés | AC.1.001 | Korlátozza az információs rendszerek hozzáférését a jogosult felhasználókhoz, a jogosult felhasználók nevében eljáró folyamatokhoz és eszközökhöz (beleértve az egyéb információs rendszereket is). | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Hozzáférés-vezérlés | AC.1.001 | Korlátozza az információs rendszerek hozzáférését a jogosult felhasználókhoz, a jogosult felhasználók nevében eljáró folyamatokhoz és eszközökhöz (beleértve az egyéb információs rendszereket is). | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Hozzáférés-vezérlés | AC.1.002 | Korlátozza az információs rendszer hozzáférését azokhoz a tranzakciókhoz és függvényekhez, amelyek végrehajtására jogosult felhasználók jogosultak. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Hozzáférés-vezérlés | AC.1.002 | Korlátozza az információs rendszer hozzáférését azokhoz a tranzakciókhoz és függvényekhez, amelyek végrehajtására jogosult felhasználók jogosultak. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Hozzáférés-vezérlés | AC.2.007 | Alkalmazza a minimális jogosultság elvét, beleértve az adott biztonsági függvényeket és a kiemelt fiókokat is. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Hozzáférés-vezérlés | AC.2.016 | A CUI folyamatának szabályozása a jóváhagyott engedélyekkel összhangban. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Konfigurációkezelés | CM.2.062 | Alkalmazza a minimális funkcionalitás elvét úgy, hogy a szervezeti rendszereket úgy konfigurálja, hogy csak az alapvető képességeket biztosítsa. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Konfigurációkezelés | CM.3.068 | A nem alapvető programok, függvények, portok, protokollok és szolgáltatások használatának korlátozása, letiltása vagy megakadályozása. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Kockázatértékelés | RM.2.143 | A biztonsági rések elhárítása a kockázatértékelésekkel összhangban. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| System and Communications Protection | SC.1.175 | A kommunikáció (azaz a szervezeti rendszerek által továbbított vagy fogadott információk) figyelése, ellenőrzése és védelme a szervezeti rendszerek külső határain és legfontosabb belső határain. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| System and Communications Protection | SC.3.177 | A CUI titkosságának védelme érdekében FIPS által ellenőrzött titkosítást használjon. | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
| System and Communications Protection | SC.3.183 | Alapértelmezés szerint tiltsa le a hálózati kommunikáció forgalmát, és engedélyezze a hálózati kommunikációs forgalmat kivétel szerint (azaz az összes megtagadása, a kivétel szerinti engedélyezés). | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Rendszer- és információintegritás | SI.1.210 | Az információs és információs rendszer hibáinak azonosítása, jelentése és javítása időben. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
FedRAMP High
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási megfelelőség – FedRAMP High című témakört. Erről a megfelelőségi szabványról további információt a FedRAMP High című témakörben talál.
FedRAMP Moderate
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelősége – FedRAMP Moderate című témakört. Erről a megfelelőségi szabványról további információt a FedRAMP Moderate című témakörben talál.
HIPAA HITRUST 9.2
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségét – HIPAA HITRUST 9.2. A megfelelőségi szabványról további információt a HIPAA HITRUST 9.2-ben talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Jogosultságkezelés | 1149.01c2System.9 – 01.c | A szervezet azáltal segíti elő az információmegosztást, hogy lehetővé teszi az arra jogosult felhasználók számára, hogy meghatározzák az üzleti partner hozzáférését, ha a szervezet által meghatározott belátási jog engedélyezett, és manuális folyamatokat vagy automatizált mechanizmusokat alkalmazva segítsék a felhasználókat az információmegosztási/együttműködési döntések meghozatalában. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| 11 Hozzáférés-vezérlés | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Engedélyezett hozzáférés az információs rendszerekhez | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| 12 Naplózás és figyelés | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumentált üzemeltetési eljárások | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
A Microsoft Cloud for Sovereignty alapkonfigurációs bizalmas szabályzatai
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségi adatait az MCfS-szuverenitás alapkonfigurációs bizalmas szabályzataihoz. Erről a megfelelőségi szabványról további információt a Microsoft Cloud for Sovereignty Policy portfóliójában talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| SO.3 – Ügyfél által kezelt kulcsok | SO.3 | Az Azure-termékeket úgy kell konfigurálni, hogy lehetőség szerint ügyfél által felügyelt kulcsokat használjanak. | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
Microsoft Cloud Security Benchmark
A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. Az Azure Security Benchmark leképezési fájljaiból megtudhatja, hogy ez a szolgáltatás hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét.
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy beépített beépített funkciói hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási megfelelőség – Microsoft felhőbiztonsági benchmark című témakört.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Hálózati biztonság | NS-2 | Felhőszolgáltatások védelme hálózati vezérlőkkel | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| Emelt szintű hozzáférés | PA-7 | A Just Enough Administration (legkisebb jogosultsági alapelv) követése | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Data Protection | DP-3 | Bizalmas adatok titkosítása átvitel közben | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Naplózás és fenyegetésészlelés | LT-1 | Fenyegetésészlelési képességek engedélyezése | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | 2.0.1 |
| Naplózás és fenyegetésészlelés | LT-2 | Fenyegetésészlelés engedélyezése identitás- és hozzáférés-kezeléshez | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | 2.0.1 |
| Naplózás és fenyegetésészlelés | LT-3 | Naplózás engedélyezése biztonsági vizsgálathoz | Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | 1.0.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | 4.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | 5.1.0 |
| Állapot- és biztonságirés-kezelés | PV-2 | Biztonságos konfigurációk naplózása és kényszerítése | A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | 4.1.0 |
| Állapot- és biztonságirés-kezelés | PV-6 | Biztonsági rések gyors és automatikus elhárítása | A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | 1.0.1 |
| DevOps Security | DS-6 | A számítási feladatok biztonságának érvényesítése a DevOps teljes életciklusa során | A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | 1.0.1 |
NIST SP 800-171 R2
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – NIST SP 800-171 R2 című témakört. A megfelelőségi szabványról további információt az NIST SP 800-171 R2-ben talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Hozzáférés-vezérlés | 3.1.3 | A CUI folyamatának szabályozása a jóváhagyott engedélyekkel összhangban. | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| System and Communications Protection | 3.13.1 | A kommunikáció (azaz a szervezeti rendszerek által továbbított vagy fogadott információk) figyelése, ellenőrzése és védelme a szervezeti rendszerek külső határain és legfontosabb belső határain. | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| System and Communications Protection | 3.13.10 | A szervezeti rendszerekben alkalmazott titkosítási kulcsok létrehozása és kezelése. | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
| System and Communications Protection | 3.13.16 | A CUI inaktív állapotban lévő bizalmasságának védelme. | Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | 1.0.1 |
| System and Communications Protection | 3.13.2 | Architektúraterveket, szoftverfejlesztési technikákat és rendszermérnöki alapelveket alkalmazhat, amelyek elősegítik a hatékony információbiztonságot a szervezeti rendszereken belül. | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| System and Communications Protection | 3.13.5 | Alhálózatok implementálása nyilvánosan elérhető rendszerösszetevőkhöz, amelyek fizikailag vagy logikailag elkülönülnek a belső hálózatoktól. | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| System and Communications Protection | 3.13.6 | Alapértelmezés szerint tiltsa le a hálózati kommunikáció forgalmát, és engedélyezze a hálózati kommunikációs forgalmat kivétel szerint (azaz az összes megtagadása, a kivétel szerinti engedélyezés). | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| System and Communications Protection | 3.13.8 | Kriptográfiai mechanizmusokat implementálhat a CUI jogosulatlan közzétételének megakadályozására az átvitel során, kivéve, ha más módon alternatív fizikai biztosítékok védik. | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Rendszer- és információintegritás | 3.14.1 | A rendszerhibák időben történő azonosítása, jelentése és javítása. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| Konfigurációkezelés | 3.4.1 | A szervezeti rendszerek alapkonfigurációinak és készleteinek (beleértve a hardvert, a szoftvereket, a belső vezérlőprogramokat és a dokumentációt) létrehozása és karbantartása a megfelelő rendszerfejlesztési életciklus során. | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| Konfigurációkezelés | 3.4.2 | Biztonsági konfigurációs beállítások létrehozása és kikényszerítése a szervezeti rendszerekben alkalmazott informatikai termékekhez. | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
NIST SP 800-53 Rev. 4
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – NIST SP 800-53 Rev. 4 című cikket. További információ erről a megfelelőségi szabványról: NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – NIST SP 800-53 Rev. 5 című cikket. További információ erről a megfelelőségi szabványról: NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségi adatait az NL BIO Cloud Theme-hez. Erről a megfelelőségi szabványról további információt az Alapkonfiguráció információbiztonsági kormányzati kiberbiztonság – digitális kormány (digitaleoverheid.nl) című témakörben talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| C.04.3 Technikai biztonságirés-kezelés – Ütemtervek | C.04.3 | Ha a visszaélések valószínűsége és a várható károk is magasak, a javítások telepítése legkésőbb egy héten belül megtörténik. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| C.04.6 Technikai biztonságirés-kezelés – Ütemtervek | C.04.6 | A technikai hiányosságok a javítások időben történő kezelésével orvosolhatók. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | 4.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | 5.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | 4.1.0 |
| C.04.7 Technikai biztonságirés-kezelés – Kiértékelve | C.04.7 | A rendszer rögzíti és jelenti a műszaki biztonsági rések kiértékelését. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| U.05.1 Adatvédelem – Titkosítási intézkedések | U.05.1 | Az adatátvitel titkosítással történik, ahol a kulcskezelést maga a CSC végzi, ha lehetséges. | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| U.05.2 Adatvédelem – Titkosítási intézkedések | U.05.2 | A felhőszolgáltatásban tárolt adatokat a legújabb technika szerint kell védeni. | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
| U.05.2 Adatvédelem – Titkosítási intézkedések | U.05.2 | A felhőszolgáltatásban tárolt adatokat a legújabb technika szerint kell védeni. | Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | 1.0.1 |
| U.07.1 Adatelválasztás – Izolált | U.07.1 | Az adatok állandó elkülönítése több-bérlős architektúra. A javítások szabályozott módon valósulnak meg. | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| U.07.3 Adatok elkülönítése – Felügyeleti funkciók | U.07.3 | U.07.3 – A CSC-adatok és/vagy titkosítási kulcsok megtekintésére vagy módosítására vonatkozó jogosultságok szabályozott módon vannak megadva, és a rendszer naplózza a használatot. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| U.09.3 Malware Protection – Észlelés, megelőzés és helyreállítás | U.09.3 | A kártevők elleni védelem különböző környezeteken fut. | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| U.10.2 Hozzáférés az informatikai szolgáltatásokhoz és adatokhoz – Felhasználók | U.10.2 | A CSP felelősségi körébe tartozik a hozzáférés a rendszergazdák számára. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| U.10.3 Hozzáférés az informatikai szolgáltatásokhoz és adatokhoz – Felhasználók | U.10.3 | Csak hitelesített berendezéssel rendelkező felhasználók férhetnek hozzá az informatikai szolgáltatásokhoz és az adatokhoz. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| U.10.5 Az informatikai szolgáltatásokhoz és adatokhoz való hozzáférés – Illetékes | U.10.5 | Az informatikai szolgáltatásokhoz és adatokhoz való hozzáférést technikai intézkedések korlátozzák, és implementálták. | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| U.11.1 Cryptoservices – Szabályzat | U.11.1 | A titkosítási szabályzatban legalább a BIO-nak megfelelő témákat dolgozták ki. | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| U.11.2 Cryptoservices – Titkosítási mértékek | U.11.2 | PKIoverheid-tanúsítványok esetén a kulcskezeléshez PKIoverheid követelményeket kell alkalmazni. Más helyzetekben használja a ISO11770. | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| U.11.3 Cryptoservices – Titkosított | U.11.3 | A bizalmas adatok mindig titkosítva lesznek, a titkos kulcsokat a CSC kezeli. | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
| U.11.3 Cryptoservices – Titkosított | U.11.3 | A bizalmas adatok mindig titkosítva lesznek, a titkos kulcsokat a CSC kezeli. | Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | 1.0.1 |
| U.15.1 Naplózás és figyelés – Naplózott események | U.15.1 | A házirendszabályok megsértését a CSP és a CSC rögzíti. | Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | 1.0.0 |
Reserve Bank of India – Az NBFC informatikai keretrendszere
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített beépített adatok hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – Reserve Bank of India – NBFC informatikai keretrendszerét. További információ erről a megfelelőségi szabványról: Reserve Bank of India – It Framework for NBFC.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Informatikai irányítás | 0 | IT Governance-1 | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
| Információ és kiberbiztonság | 3.1.a | Az információs eszközök azonosítása és besorolása–3.1 | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Információ és kiberbiztonság | 3.1.c | Szerepköralapú hozzáférés-vezérlés–3.1 | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Információ és kiberbiztonság | 3.1.g | Trails-3.1 | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | 2.0.1 |
| Információ és kiberbiztonság | 3.3 | Biztonsági rések kezelése–3.3 | A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | 1.0.2 |
Reserve Bank of India it framework for Banks v2016
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – RBI ITF Banks v2016 című témakört. További információ erről a megfelelőségi szabványról: RBI ITF Banks v2016 (PDF).
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Javítás/sebezhetőség > Változáskezelés | Javítás/biztonságirés > Change Management-7.7 | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 | |
| Advanced Real-Timethreat Defence and Management | Advanced Real-Timethreat Defence and Management-13.2 | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | 2.0.1 | |
| Felhasználói hozzáférés-vezérlés/ -kezelés | Felhasználói hozzáférés-vezérlés / Management-8.1 | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
RMIT Malajzia
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy Szabályozási Megfelelőség – RMIT Malajzia című témakört. Erről a megfelelőségi szabványról további információt az RMIT Malajzia című témakörben talál.
SWIFT CSP-CSCF v2021
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépített összetevők hogyan képezhetők le erre a megfelelőségi szabványra, tekintse meg az Azure Policy szabályozási megfelelőségi adatait a SWIFT CSP-CSCF v2021-hez. Erről a megfelelőségi szabványról további információt a SWIFT CSP CSCF v2021 című témakörben talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| SWIFT környezetvédelem | 1,1 | SWIFT környezetvédelem | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| SWIFT környezetvédelem | 1.4 | Az internet-hozzáférés korlátozása | Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | 2.0.1 |
| A támadási felület és a biztonsági rések csökkentése | 2.1 | Belső Adatfolyam biztonság | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Rendszer- vagy tranzakciórekordok rendellenes tevékenységének észlelése | 6,2 | Szoftverintegritás | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
| Rendszer- vagy tranzakciórekordok rendellenes tevékenységének észlelése | 6.5A | Behatolásjelző | Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | 1.0.1 |
Rendszer- és szervezetvezérlők (SOC) 2
Ha szeretné áttekinteni, hogy az összes Azure-szolgáltatáshoz elérhető Azure Policy-beépítettek megfeleltethetők-e ehhez a megfelelőségi szabványhoz, tekintse meg az Azure Policy szabályozási megfelelőségi adatait a 2. rendszer- és szervezetvezérlőkhöz (SOC). Erről a megfelelőségi szabványról további információt a 2. soc. rendszer- és szervezetvezérlőkben talál.
| Tartomány | Vezérlőazonosító | Vezérlőelem címe | Szabályzat (Azure Portal) |
Szabályzat verziója (GitHub) |
|---|---|---|---|---|
| Logikai és fizikai hozzáférés-vezérlők | CC6.1 | Logikai hozzáférési biztonsági szoftverek, infrastruktúra és architektúrák | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.3 | Rol-alapú hozzáférés és minimális jogosultság | Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | 1.0.3 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.6 | Biztonsági intézkedések a rendszer határain kívüli fenyegetések ellen | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.7 | Az információk engedélyezett felhasználókra való áthelyezésének korlátozása | A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | 8.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | 4.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | 5.1.0 |
| Logikai és fizikai hozzáférés-vezérlők | CC6.8 | Jogosulatlan vagy rosszindulatú szoftverek megakadályozása vagy észlelése | A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | 4.1.0 |
| Rendszerműveletek | CC7.2 | Rendszerösszetevők figyelése rendellenes viselkedés esetén | Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | 2.0.1 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | 1.0.2 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | 9.2.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | 5.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | 6.1.1 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | 6.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | 9.2.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | 6.2.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | 6.1.1 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | 6.1.1 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | 6.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | 8.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | 9.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | 4.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | 7.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | 5.1.0 |
| Változáskezelés | CC8.1 | Az infrastruktúra, az adatok és a szoftverek változásai | A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | 4.1.0 |
Következő lépések
- További információ az Azure Policy szabályozási megfelelőségéről.
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.