Megosztás a következőn keresztül:


Beépített Azure Policy-definíciók az Azure Arc-kompatibilis Kuberneteshez

Ez a lap az Azure Arc-kompatibilis Kubernetes beépített Szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.

Az egyes beépített szabályzatmeghatározások neve linkként az Azure portálon lévő szabályzatmeghatározásra mutat. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.

Azure Arc-kompatibilis Kubernetes

Név
(Azure Portal)
Leírás Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Backup-bővítményt telepíteni kell az AKS-fürtökre Az Azure Backup használatához gondoskodjon a biztonsági mentési bővítmény védelmének telepítéséről az AKS-fürtökben. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz AuditIfNotExists, Disabled 1.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Felhőhöz készült Microsoft Defender bővítmény telepítéséhez Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled 7.3.0-előzetes verzió
[Előzetes verzió]: Az Azure Backup-bővítmény telepítése AKS-fürtökben (felügyelt fürt) egy adott címkével. Az Azure Backup-bővítmény telepítése előfeltétele az AKS-fürtök védelmének. A biztonsági mentési bővítmény telepítésének kényszerítése az adott címkét tartalmazó összes AKS-fürtön. Ezzel nagy méretekben kezelheti az AKS-fürtök biztonsági mentését. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-előzetes verzió
[Előzetes verzió]: Az Azure Backup-bővítmény telepítése AKS-fürtökben (felügyelt fürtökben) adott címke nélkül. Az Azure Backup-bővítmény telepítése előfeltétele az AKS-fürtök védelmének. A biztonsági mentési bővítmény telepítésének kényszerítése az összes AKS-fürtön egy adott címkeérték nélkül. Ezzel nagy méretekben kezelheti az AKS-fürtök biztonsági mentését. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-előzetes verzió
[Előzetes verzió]: A Kubernetes-fürtöknek korlátozniuk kell az adott erőforrástípus létrehozását Adott Kubernetes-erőforrástípus nem helyezhető üzembe bizonyos névtérben. Naplózás, megtagadás, letiltva 2.3.0-előzetes verzió
Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.1.0
Az Azure Arc-kompatibilis kubernetes-fürtöket Azure Arc Private Link-hatókörrel kell konfigurálni Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. Naplózás, megtagadás, letiltva 1.0.0
Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie az Open Service Mesh-bővítménynek Az Open Service Mesh bővítmény minden szabványos szolgáltatásháló-képességet biztosít az alkalmazásszolgáltatások biztonságához, forgalomkezeléséhez és megfigyelhetőségéhez. További tájékoztatást itt olvashat: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie a Strimzi Kafka-bővítménynek A Strimzi Kafka bővítmény lehetővé teszi a Kafka telepítését valós idejű adatfolyamok és streamelési alkalmazások biztonsági és megfigyelhetőségi képességekkel történő létrehozásához. További információ: https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása az Azure Policy-bővítmény telepítéséhez Az Azure Policy Azure Archoz készült bővítményének üzembe helyezése a nagy léptékű kényszerítések biztosításához és az Arc-kompatibilis Kubernetes-fürtök központosított, konzisztens védelméhez. További információ: https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.1.0
Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Azure Arc Private Link-hatókör használatára Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. Módosítás, letiltva 1.0.0
A Flux-bővítmény telepítésének konfigurálása a Kubernetes-fürtön Telepítse a Flux-bővítményt a Kubernetes-fürtre a fluxconfigurations fürtben való üzembe helyezésének engedélyezéséhez DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása Flux v2 konfigurációval gyűjtőforrás és titkos kulcsok használatával a KeyVaultban Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt Bucket SecretKey szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a HTTPS CA-tanúsítvány használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-hitelesítésszolgáltatói tanúsítvány szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és HTTPS-titkos kódok használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt HTTPS-kulcskulcs szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a helyi titkos kódok használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és SSH-titkos kódok használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz A Key Vaultban tárolt titkos SSH titkos kulcskód szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása Flux v2-konfigurációval nyilvános Git-adattár használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása megadott Flux v2 gyűjtőforrással helyi titkos kódok használatával Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval HTTPS-titkos kódokkal Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-felhasználót és kulcstitkokat kell tárolni a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval titkos kódok nélkül Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval SSH-titkos kódok használatával Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz SSH titkos kulcskulcs szükséges a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Győződjön meg arról, hogy a fürttárolók készenlét- vagy élettartam-mintavételeket konfiguráltak Ez a szabályzat kikényszeríti, hogy minden podon konfigurálva legyen a készültségi és/vagy az élettartam-mintavétel. A mintavétel típusa lehet tcpSocket, httpGet és exec. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . Naplózás, megtagadás, letiltva 3.3.0
A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürttárolók nem használhatnak tiltott sysctl-interfészeket A tárolók nem használhatnak tiltott sysctl-interfészeket a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.3.0
A Kubernetes-fürttárolóknak csak az engedélyezett ProcMountType-t kell használniuk A podtárolók csak engedélyezett ProcMountType-fájlokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürttárolók csak engedélyezett lekéréses szabályzatot használhatnak A tárolók lekérési szabályzatának korlátozása, hogy a tárolók csak engedélyezett rendszerképeket használjanak az üzemelő példányokon Naplózás, megtagadás, letiltva 3.2.0
A Kubernetes-fürttárolók csak engedélyezett seccomp-profilokat használhatnak A podtárolók csak engedélyezett seccomp profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.3.0
A Kubernetes-fürt pod FlexVolume kötetei csak engedélyezett illesztőprogramokat használhatnak A Pod FlexVolume-kötetek csak engedélyezett illesztőprogramokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjai és tárolói csak az engedélyezett SELinux-beállításokat használhatják A podok és a tárolók csak az engedélyezett SELinux-beállításokat használhatják egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Kubernetes-fürt podjai csak engedélyezett kötettípusokat használhatnak A podok csak engedélyezett kötettípusokat használhatnak a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 6.2.0
A Kubernetes-fürt podjainak megadott címkéket kell használniuk A megadott címkék használatával azonosíthatja a Kubernetes-fürtök podjait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürtszolgáltatások csak engedélyezett külső IP-címeket használhatnak Használjon engedélyezett külső IP-címeket a kubernetes-fürtök potenciális támadásának (CVE-2020-8554) elkerüléséhez. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 9.2.0
A Kubernetes-fürt nem használhat meztelen podokat Meztelen podok használatának letiltása. A meztelen podok nem lesznek újraütemezve csomóponthiba esetén. A podokat üzembe helyezés, replicset, démonkészlet vagy feladatok alapján kell felügyelni Naplózás, megtagadás, letiltva 2.2.0
A Kubernetes-fürt Windows-tárolói nem hagyják túl a processzort és a memóriát A Túlküldés elkerülése érdekében a Windows tárolóerőforrás-kéréseinek kisebbnek vagy egyenlőnek kell lenniük az erőforráskorlátnak vagy meg nem határozottnak kell lenniük. Ha a Windows-memória túlterhelt, a lemez lapjait dolgozza fel – ami lelassíthatja a teljesítményt – ahelyett, hogy memóriakihasználtság esetén megszüntette volna a tárolót Naplózás, megtagadás, letiltva 2.2.0
A Kubernetes-fürt Windows-tárolói nem futtathatók ContainerAdministratorként A ContainerAdministrator felhasználóként való használatának megakadályozása a Windows-podok vagy -tárolók tárolófolyamatainak végrehajtásához. Ez a javaslat a Windows-csomópontok biztonságának javítását célozza. További információ: https://kubernetes.io/docs/concepts/windows/intro/ . Naplózás, megtagadás, letiltva 1.2.0
A Kubernetes-fürt Windows-tárolóinak csak jóváhagyott felhasználói és tartományi felhasználói csoporttal kell futniuk Annak a felhasználónak a szabályozása, amellyel a Windows-podok és -tárolók kubernetes-fürtön futtathatók. Ez a javaslat a Windows-csomópontok podbiztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Naplózás, megtagadás, letiltva 2.2.0
A Kubernetes-fürt Windows-podjai nem futtathatnak HostProcess-tárolókat A windows csomóponthoz való hozzáférés megakadályozása. Ez a javaslat a Windows-csomópontok biztonságának javítását célozza. További információ: https://kubernetes.io/docs/concepts/windows/intro/ . Naplózás, megtagadás, letiltva 1.0.0
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 8.2.0
A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 4.2.0
A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 7.2.0
A Kubernetes-fürtök nem engedélyezhetik a ClusterRole/system:aggregate-to-edit végpontszerkesztési engedélyeit ClusterRole/system:aggregate-to-edit nem engedélyezheti a végpont szerkesztési engedélyeit a CVE-2021-25740 miatt, az Endpoint &EndpointSlice engedélyek lehetővé teszik a Namespace továbbítást, https://github.com/kubernetes/kubernetes/issues/103675. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. Naplózás, letiltva 3.2.0
A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.1.0
A Kubernetes-fürtök nem használhatnak speciális biztonsági képességeket A Kubernetes-fürtök bizonyos biztonsági képességeinek megakadályozása a poderőforrás jogosulatlan jogosultságainak megakadályozása érdekében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 5.2.0
A Kubernetes-fürtök nem használhatják az alapértelmezett névteret A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva 4.2.0
A Kubernetes-fürtöknek a StorageClass tárolótároló-illesztőt (CSI) kell használniuk A tárolóalapú tárolási interfész (Container Storage Interface, CSI) a tetszőleges blokk- és fájltárolási rendszereknek a Kubernetes tárolóalapú számítási feladatai számára történő elérhetővé tételére vonatkozó szabvány. Az AKS 1.21-es verziója óta a StorageClass faalapú kiépítési osztályát el kell elavultnak minősíteni. További információ: https://aka.ms/aks-csi-driver Naplózás, megtagadás, letiltva 2.3.0
A Kubernetes-erőforrásoknak kötelező széljegyzetekkel kell rendelkezniük Győződjön meg arról, hogy a szükséges széljegyzetek egy adott Kubernetes-erőforrástípushoz vannak csatolva a Kubernetes-erőforrások jobb erőforrás-kezeléséhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. Naplózás, megtagadás, letiltva 3.2.0

Következő lépések