Definisi bawaan Azure Policy untuk Azure Kubernetes Service
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Kubernetes Service. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Nama | Deskripsi | Kebijakan | Versi |
---|---|---|---|
[Pratinjau]: Gunakan Integritas Gambar untuk memastikan hanya gambar tepercaya yang disebarkan | Gunakan Integritas Gambar untuk memastikan kluster AKS hanya menyebarkan gambar tepercaya dengan mengaktifkan Integritas Gambar dan Add-On Azure Policy pada kluster AKS. Add-On Integritas Gambar dan Add-On Azure Policy adalah prasyarat untuk menggunakan Integritas Gambar untuk memverifikasi apakah gambar ditandatangani saat penyebaran. Untuk informasi selengkapnya, kunjungi https://aka.ms/aks/image-integrity. | 3 | 1.1.0-pratinjau |
[Pratinjau]: Perlindungan penyebaran akan membantu memandu pengembang menuju praktik terbaik yang direkomendasikan AKS | Kumpulan praktik terbaik Kubernetes yang direkomendasikan oleh Azure Kubernetes Service (AKS). Untuk pengalaman terbaik, gunakan perlindungan penyebaran untuk menetapkan inisiatif kebijakan ini: https://aka.ms/aks/deployment-safeguards. Add-On Azure Policy untuk AKS adalah prasyarat untuk menerapkan praktik terbaik ini ke kluster Anda. Untuk petunjuk tentang mengaktifkan Add-On Azure Policy, buka aka.ms/akspolicydoc | 20 | 1.9.0-pratinjau |
Standar acuan dasar keamanan pod kluster Kubernetes untuk beban kerja berbasis Linux | Inisiatif ini menyertakan kebijakan untuk standar acuan dasar keamanan pod kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
Standar pembatasan keamanan pod kluster Kubernetes untuk beban kerja berbasis Linux | Inisiatif ini menyertakan kebijakan untuk standar keamanan pod kluster Kubernetes yang dibatasi. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: [Integritas Gambar] Kluster Kube hanya boleh menggunakan gambar yang ditandatangani oleh notasi | Gunakan gambar yang ditandatangani oleh notasi untuk memastikan bahwa gambar berasal dari sumber tepercaya dan tidak akan dimodifikasi dengan berbahaya. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | Audit, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Ekstensi Azure Backup harus diinstal di kluster AKS | Pastikan penginstalan perlindungan ekstensi cadangan di Kluster AKS Anda untuk memanfaatkan Azure Backup. Azure Backup for AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Azure Backup harus diaktifkan untuk kluster AKS | Pastikan perlindungan Kluster AKS Anda dengan mengaktifkan Azure Backup. Azure Backup for AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Kluster Terkelola Azure Kubernetes Service harus Zona Redundan | Kluster Terkelola Azure Kubernetes Service dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kebijakan memeriksa kumpulan simpul di kluster dan memastikan bahwa zona avaialbilty diatur untuk semua kumpulan simpul. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Tidak dapat mengedit simpul individual | Tidak dapat mengedit simpul individual. Pengguna tidak boleh mengedit simpul individual. Silakan edit kumpulan simpul. Memodifikasi simpul individu dapat menyebabkan pengaturan yang tidak konsisten, tantangan operasional, dan potensi risiko keamanan. | Audit, Tolak, Dinonaktifkan | 1.3.0-pratinjau |
[Pratinjau]: Menyebarkan Integritas Gambar di Azure Kubernetes Service | Sebarkan Kluster Azure Kubernetes Integritas Gambar dan Add-On Kebijakan. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | DeployIfNotExists, Nonaktif | pratinjau-1.0.5 |
[Pratinjau]: Instal Ekstensi Azure Backup di kluster AKS (Kluster Terkelola) dengan tag tertentu. | Menginstal Ekstensi Azure Backup adalah prasyarat untuk melindungi Kluster AKS Anda. Terapkan penginstalan ekstensi cadangan pada semua kluster AKS yang berisi tag tertentu. Melakukan ini dapat membantu Anda mengelola Pencadangan Kluster AKS dalam skala besar. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Instal Ekstensi Azure Backup di kluster AKS (Kluster Terkelola) tanpa tag tertentu. | Menginstal Ekstensi Azure Backup adalah prasyarat untuk melindungi Kluster AKS Anda. Terapkan penginstalan ekstensi cadangan pada semua kluster AKS tanpa nilai tag tertentu. Melakukan ini dapat membantu Anda mengelola Pencadangan Kluster AKS dalam skala besar. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Gambar kontainer kluster Kube harus menyertakan hook preStop | Mengharuskan gambar kontainer menyertakan hook preStop untuk menghentikan proses dengan baik selama penonaktifan pod. | Audit, Tolak, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Gambar kontainer kluster Kube tidak boleh menyertakan tag gambar terbaru | Mengharuskan gambar kontainer tidak menggunakan tag terbaru di Kubernetes, ini adalah praktik terbaik untuk memastikan reproduktifitas, mencegah pembaruan yang tidak diinginkan, dan memfasilitasi penelusuran kesalahan dan pembatalan yang lebih mudah dengan menggunakan gambar kontainer eksplisit dan versi. | Audit, Tolak, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Kontainer kluster Kube hanya boleh menarik gambar ketika rahasia penarikan gambar ada | Membatasi penarikan gambar kontainer untuk memberlakukan keberadaan ImagePullSecrets, memastikan akses yang aman dan sah ke gambar dalam kluster Kubernetes | Audit, Tolak, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Layanan kluster Kube harus menggunakan pemilih unik | Pastikan Layanan di Namespace Memiliki Pemilih Unik. Pemilih layanan unik memastikan bahwa setiap layanan dalam namespace dapat diidentifikasi secara unik berdasarkan kriteria tertentu. Kebijakan ini menyinkronkan sumber daya masuk ke OPA melalui Gatekeeper. Sebelum menerapkan, verifikasi kapasitas memori Pod Gatekeeper tidak akan terlampaui. Parameter berlaku untuk namespace tertentu, tetapi menyinkronkan semua sumber daya jenis tersebut di semua namespace layanan. Saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Kluster Kubernetes harus menerapkan Anggaran Gangguan Pod yang akurat | Mencegah Anggaran Gangguan Pod yang rusak, memastikan jumlah minimum pod operasional. Lihat dokumentasi resmi Kubernetes untuk detailnya. Bergantung pada replikasi data Gatekeeper dan menyinkronkan semua sumber daya ingress yang tercakup ke dalam OPA. Sebelum menerapkan kebijakan ini, pastikan bahwa sumber daya ingress yang disinkronkan tidak akan membatasi kapasitas memori Anda. Meskipun parameter mengevaluasi namespace tertentu, semua sumber daya semacam itu di seluruh namespace layanan akan disinkronkan. Catatan: saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.3.0-pratinjau |
[Pratinjau]: Kluster Kubernetes harus membatasi pembuatan jenis sumber daya yang diberikan | Jenis sumber daya Kubernetes yang diberikan tidak boleh disebarkan di namespace layanan tertentu. | Audit, Tolak, Dinonaktifkan | 2.3.0-pratinjau |
[Pratinjau]: Harus Memiliki Seperangkat Aturan Anti Afinitas | Kebijakan ini memastikan bahwa pod dijadwalkan pada node yang berbeda dalam kluster. Dengan memberlakukan aturan anti-afinitas, ketersediaan dipertahankan meskipun salah satu node menjadi tidak tersedia. Pod akan terus berjalan pada simpul lain, meningkatkan ketahanan. | Audit, Tolak, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mutasi Kontainer K8s untuk menghilangkan semua kemampuan | Mutasi securityContext.capabilities.drop untuk menambahkan "ALL". Ini menghilangkan semua kemampuan untuk kontainer linux k8s | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mutasi K8s Init Container untuk menghilangkan semua kemampuan | Mutasi securityContext.capabilities.drop untuk menambahkan "ALL". Ini menghilangkan semua kemampuan untuk kontainer init linux k8s | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Tidak Ada Label Spesifik AKS | Mencegah pelanggan menerapkan label tertentu AKS. AKS menggunakan label yang diawali dengan kubernetes.azure.com untuk menunjukkan komponen yang dimiliki AKS. Pelanggan tidak boleh menggunakan label ini. |
Audit, Tolak, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mencegah kontainer dijalankan sebagai root dengan mengatur runAsNotRoot ke true. | Mengatur runAsNotRoot ke true meningkatkan keamanan dengan mencegah kontainer dijalankan sebagai root. | Bermutasi, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Mencegah kontainer init dijalankan sebagai root dengan mengatur runAsNotRoot ke true. | Mengatur runAsNotRoot ke true meningkatkan keamanan dengan mencegah kontainer dijalankan sebagai root. | Bermutasi, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Mencetak pesan jika mutasi diterapkan | Mencari anotasi mutasi yang diterapkan dan mencetak pesan jika anotasi ada. | Audit, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Taint Kumpulan Sistem Terpesan | Membatasi taint CriticalAddonsOnly hanya ke kumpulan sistem. AKS menggunakan taint CriticalAddonsOnly untuk menjauhkan pod pelanggan dari kumpulan sistem. Ini memastikan pemisahan yang jelas antara komponen AKS dan pod pelanggan, serta mencegah pod pelanggan dikeluarkan jika mereka tidak mentolerir taint CriticalAddonsOnly. | Audit, Tolak, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Membatasi taint CriticalAddonsOnly hanya untuk kumpulan sistem. | Untuk menghindari pengeluaran aplikasi pengguna dari kumpulan pengguna dan mempertahankan pemisahan kekhawatiran antara pengguna dan kumpulan sistem, taint 'CriticalAddonsOnly' tidak boleh diterapkan ke kumpulan pengguna. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mengatur automountServiceAccountToken dalam spesifikasi Pod dalam kontainer ke false. | Mengatur automountServiceAccountToken ke false meningkatkan keamanan dengan menghindari pemasangan otomatis default token akun layanan | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mengatur bidang securitycontext.runAsUser kontainer kluster Kubernetes ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Mengatur batas CPU kontainer kluster Kubernetes ke nilai default jika tidak ada. | Mengatur batas CPU kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mengatur batas memori kontainer kluster Kubernetes ke nilai default jika tidak ada. | Mengatur batas memori kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mengatur jenis profil mode komputasi aman kontainer kluster Kube ke RuntimeDefault jika tidak ada. | Mengatur jenis profil mode komputasi aman untuk kontainer untuk mencegah panggilan sistem yang tidak sah dan berpotensi berbahaya ke kernel dari ruang pengguna. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mengatur kontainer init kluster Kubernetes securityContext.runAsUser ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Mengatur jenis profil mode komputasi aman kontainer init kluster Kubernetes ke RuntimeDefault jika tidak ada. | Mengatur jenis profil mode komputasi aman untuk kontainer init untuk mencegah panggilan sistem yang tidak sah dan berpotensi berbahaya ke kernel dari ruang pengguna. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mengatur kluster Kubernetes Keamanan podContext.runAsUser bidang ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Mengatur pod maxUnavailable ke 1 untuk sumber daya PodDisruptionBudget | Mengatur nilai pod maksimum yang tidak tersedia ke 1 memastikan bahwa aplikasi atau layanan Anda tersedia selama gangguan | Bermutasi, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mengatur eskalasi Hak Istimewa dalam spesifikasi Pod dalam kontainer init ke false. | Mengatur eskalasi Hak Istimewa ke false dalam kontainer init meningkatkan keamanan dengan mencegah kontainer mengizinkan eskalasi hak istimewa seperti melalui mode file set-user-ID atau set-group-ID. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mengatur eskalasi Hak Istimewa dalam spesifikasi Pod ke false. | Mengatur eskalasi Hak Istimewa ke false meningkatkan keamanan dengan mencegah kontainer mengizinkan eskalasi hak istimewa seperti melalui mode file set-user-ID atau set-group-ID. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
[Pratinjau]: Mengatur readOnlyRootFileSystem dalam spesifikasi Pod dalam kontainer init ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar. Ini hanya berfungsi untuk kontainer linux. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
[Pratinjau]: Mengatur readOnlyRootFileSystem dalam spesifikasi Pod ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar | Bermutasi, Dinonaktifkan | 1.2.0-preview |
Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
Kluster Azure Kubernetes harus menonaktifkan SSH | Nonaktifkan SSH memberi Anda kemampuan untuk mengamankan kluster Anda dan mengurangi permukaan serangan. Untuk mempelajari lebih lanjut, kunjungi: aka.ms/aks/disablessh | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes harus mengaktifkan Antarmuka Penyimpanan Kontainer (CSI) | Antarmuka Penyimpanan Kontainer (CSI) adalah standar untuk mengekspos blok arbitrer dan sistem penyimpanan file ke beban kerja kontainer di Azure Kubernetes Service. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes harus mengaktifkan Key Management Service (KMS) | Gunakan Key Management Service (KMS) untuk mengenkripsi data rahasia saat tidak aktif di etcd untuk keamanan kluster Kubernetes. Pelajari selengkapnya di: https://aka.ms/aks/kmsetcdencryption. | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes harus menggunakan Azure CNI | Azure CNI adalah prasyarat untuk beberapa fitur Azure Kubernetes Service, termasuk kebijakan jaringan Azure, kumpulan node Windows, dan add-on node virtual. Pelajari lebih lanjut di: https://aka.ms/aks-azure-cni | Audit, Dinonaktifkan | 1.0.1 |
Kluster Azure Kubernetes Service harus menonaktifkan Pemanggilan Perintah | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menghindari lewatan akses jaringan terbatas atau kontrol akses berbasis peran Kubernetes | Audit, Dinonaktifkan | 1.0.1 |
Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis kluster | Peningkatan otomatis kluster AKS dapat memastikan kluster Anda sudah diperbarui dan jangan lewatkan fitur atau patch terbaru dari AKS dan Kubernetes upstream. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes Service harus mengaktifkan Image Cleaner | Image Cleaner melakukan identifikasi dan penghapusan gambar yang rentan dan tidak digunakan secara otomatis, yang mengurangi risiko gambar kedaluarsa dan mengurangi waktu yang diperlukan untuk membersihkannya. Pelajari selengkapnya di: https://aka.ms/aks/image-cleaner. | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes Service harus mengaktifkan integrasi MICROSOFT Entra ID | Integrasi MICROSOFT Entra ID yang dikelola AKS dapat mengelola akses ke kluster dengan mengonfigurasi kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) berdasarkan identitas pengguna atau keanggotaan grup direktori. Pelajari selengkapnya di: https://aka.ms/aks-managed-aad. | Audit, Dinonaktifkan | 1.0.2 |
Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis os node | AKS node OS auto-upgrade mengontrol pembaruan keamanan OS tingkat simpul. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes Service harus mengaktifkan identitas beban kerja | Identitas beban kerja memungkinkan untuk menetapkan identitas unik ke setiap Pod Kubernetes dan mengaitkannya dengan sumber daya yang dilindungi Azure AD seperti Azure Key Vault, memungkinkan akses aman ke sumber daya ini dari dalam Pod. Pelajari selengkapnya di: https://aka.ms/aks/wi. | Audit, Dinonaktifkan | 1.0.0 |
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Dinonaktifkan | 2.0.1 |
Kluster Azure Kubernetes Service harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Kluster Azure Kubernetes Service harus secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aks-disable-local-accounts. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kluster Azure Kubernetes Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk melakukan wrap around pada perwakilan layanan, menyederhanakan manajemen kluster, dan menghindari kompleksitas yang diperlukan untuk perwakilan layanan terkelola. Pelajari lebih lanjut di: https://aka.ms/aks-update-managed-identities | Audit, Dinonaktifkan | 1.0.1 |
Kluster Privat Azure Kubernetes Service harus diaktifkan | Aktifkan fitur kluster privat untuk kluster Azure Kubernetes Service untuk memastikan lalu lintas jaringan antara server API dan kumpulan simpul tetap berada di jaringan privat saja. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. | Audit, Dinonaktifkan | 1.0.2 |
Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.Defender pada kluster Azure Kubernetes Service, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Nonaktif | 4.3.0 |
Mengonfigurasi penginstalan ekstensi Flux pada kluster Kubernetes | Pasang ekstensi Flux pada kluster Kubernetes untuk mengaktifkan penyebaran 'fluxconfigurations' di kluster | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan kluster Kubernetes dengan konfigurasi Flux v2 menggunakan sumber dan rahasia Wadah di KeyVault | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan SecretKey Wadah yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan Sertifikat OS HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan Sertifikat OS HTTPS. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.1 |
Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci HTTPS yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia SSH | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git publik | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi kluster Kubernetes dengan sumber Wadah Flux v2 tertentu menggunakan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia HTTPS | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan pengguna HTTPS dan rahasia kunci yang tersimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurasikan kluster Kubernetes dengan konfigurasi GitOps yang ditentukan tanpa rahasia | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia SSH | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Mengonfigurasi Kluster Azure Kubernetes Service terintegrasi ID Microsoft Entra dengan Akses Grup Admin yang diperlukan | Pastikan untuk meningkatkan keamanan kluster dengan mengatur akses Administrator secara terpusat ke kluster AKS terintegrasi Microsoft Entra ID. | DeployIfNotExists, Nonaktif | 2.1.0 |
Mengonfigurasi peningkatan Otomatis OS Node pada Kluster Azure Kubernetes | Gunakan peningkatan otomatis OS Node untuk mengontrol pembaruan keamanan OS tingkat simpul kluster Azure Kubernetes Service (AKS). Untuk informasi selengkapnya, kunjungi https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Nonaktif | 1.0.1 |
Sebarkan - Mengonfigurasi pengaturan diagnostik untuk Azure Kubernetes Service ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik Azure Kubernetes Service untuk mengalirkan log sumber daya ke ruang kerja Analitik Log. | DeployIfNotExists, Nonaktif | 3.0.0 |
Terapkan Add-on Azure Policy ke klaster Azure Kubernetes Service | Gunakan Add-on Azure Policy untuk mengelola dan melaporkan status kepatuhan kluster Azure Kubernetes Service (AKS) Anda. Untuk informasi selengkapnya, lihat https://aka.ms/akspolicydoc . | DeployIfNotExists, Nonaktif | 4.1.0 |
Menyebarkan Image Cleaner di Azure Kubernetes Service | Sebarkan Image Cleaner pada kluster Azure Kubernetes. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-cleaner | DeployIfNotExists, Nonaktif | 1.0.4 |
Menyebarkan Pemeliharaan Terencana untuk menjadwalkan dan mengontrol peningkatan untuk kluster Azure Kubernetes Service (AKS) Anda | Pemeliharaan Terencana memungkinkan Anda menjadwalkan jendela pemeliharaan mingguan untuk melakukan pembaruan dan meminimalkan dampak beban kerja. Setelah dijadwalkan, peningkatan hanya terjadi selama jendela yang Anda pilih. Pelajari lebih lanjut di: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Menonaktifkan Pemanggilan Perintah pada kluster Azure Kubernetes Service | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menolak akses memanggil-memerintah ke kluster | DeployIfNotExists, Nonaktif | 1.2.0 |
Pastikan kontainer kluster memiliki probe kesiapan atau keaktifan yang dikonfigurasi | Kebijakan ini menerapkan bahwa semua pod memiliki probe kesiapan dan/atau keaktifan yang dikonfigurasi. Jenis Probe dapat berupa tcpSocket, httpGet dan exec. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | Audit, Tolak, Dinonaktifkan | 3.3.0 |
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Kontainer kluster Kubernetes tidak boleh menggunakan antarmuka sysctl terlarang | Kontainer tidak boleh menggunakan antarmuka sysctl terlarang dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
Kontainer kluster Kubernetes hanya boleh menggunakan ProcMountType yang diizinkan | Kontainer Pod hanya dapat menggunakan ProcMountTypes yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Kontainer kluster Kubernetes hanya boleh menggunakan kebijakan tarik yang diizinkan | Batasi kebijakan tarik kontainer untuk mengatur agar kontainer hanya menggunakan gambar yang diizinkan pada penyebaran | Audit, Tolak, Dinonaktifkan | 3.2.0 |
Kontainer kluster Kubernetes hanya boleh menggunakan profil seccomp yang diizinkan | Kontainer Pod hanya dapat menggunakan profil seccomp yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.3.0 |
Volume FlexVolume pod kluster Kube hanya boleh menggunakan driver yang diizinkan | Volume FlexVolume pod hanya boleh menggunakan driver yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Pod dan kontainer kluster Kubernetes hanya boleh menggunakan opsi SELinux yang diizinkan | Pod dan kontainer hanya boleh menggunakan opsi SELinux yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Pod kluster Kubernetes hanya boleh menggunakan jenis volume yang diizinkan | Pod hanya dapat menggunakan jenis volume yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Pod kluster Kube harus menggunakan label yang ditentukan | Gunakan label yang ditentukan untuk mengidentifikasi pod dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Layanan kluster Kube hanya boleh menggunakan IP eksternal yang diizinkan | Gunakan IP eksternal yang diizinkan untuk menghindari potensi serangan (CVE-2020-8554) pada kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
Kluster Kubernetes tidak boleh menggunakan pod polos | Memblokir penggunaan Pod polos. Pod polos tidak akan dijadwalkan ulang jika terjadi kegagalan simpul. Pod harus dikelola oleh Deployment, Replicset, Daemonset, atau Jobs | Audit, Tolak, Dinonaktifkan | 2.3.0 |
Kontainer Windows kluster Kubernetes tidak boleh menggunakan cpu dan memori berlebihan | Permintaan sumber daya kontainer Windows harus kurang atau sama dengan batas sumber daya atau tidak ditentukan untuk menghindari kelebihan. Jika memori Windows disediakan secara berlebihan, itu akan memproses halaman dalam disk - yang dapat memperlambat performa - alih-alih mengakhiri kontainer yang kehabisan memori | Audit, Tolak, Dinonaktifkan | 2.2.0 |
Kontainer Windows kluster Kubernetes tidak boleh berjalan sebagai ContainerAdministrator | Cegah penggunaan ContainerAdministrator sebagai pengguna untuk menjalankan proses kontainer untuk pod atau kontainer Windows. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.2.0 |
Kontainer Windows kluster Kubernetes hanya boleh berjalan dengan pengguna dan grup pengguna domain yang disetujui | Kontrol pengguna yang dapat digunakan pod dan Kontainer Windows untuk dijalankan di Kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod pada node Windows yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. | Audit, Tolak, Dinonaktifkan | 2.2.0 |
Pod Windows kluster Kubernetes tidak boleh menjalankan kontainer HostProcess | Cegah akses yang di-prviledged ke simpul windows. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
Kluster Kubernetes harus memastikan bahwa peran cluster-admin hanya digunakan jika diperlukan | Peran 'cluster-admin' menyediakan kekuatan berkisar luas atas lingkungan dan harus digunakan hanya di mana dan ketika diperlukan. | Audit, Dinonaktifkan | 1.1.0 |
Kluster Kubernetes harus meminimalkan penggunaan kartubebas dalam peran dan peran kluster | Menggunakan kartubebas '*' dapat menjadi risiko keamanan karena memberikan izin luas yang mungkin tidak diperlukan untuk peran tertentu. Jika peran memiliki terlalu banyak izin, peran tersebut berpotensi disalahgunakan oleh penyerang atau pengguna yang disusupi untuk mendapatkan akses tidak sah ke sumber daya di kluster. | Audit, Dinonaktifkan | 1.1.0 |
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Kluster Kubernetes tidak boleh mengizinkan izin pengeditan titik akhir ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit tidak boleh mengizinkan izin pengeditan titik akhir karena CVE-2021-25740, izin Titik Akhir & EndpointSlice memungkinkan penerusan lintas-Namespace, https://github.com/kubernetes/kubernetes/issues/103675. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Dinonaktifkan | 3.2.0 |
Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
Kluster Kube tidak boleh menggunakan kemampuan keamanan tertentu | Cegah kemampuan keamanan tertentu pada kluster Kube untuk mencegah hak istimewa yang tidak diberikan pada sumber daya Pod. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Kluster Kube tidak boleh menggunakan namespace layanan default | Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
Kluster Kubernetes harus menggunakan StorageClass driver Container Storage Interface(CSI) | Container Storage Interface (CSI) adalah standar untuk mengekspos blok abritrer dan sistem penyimpanan file ke beban kerja kontainer pada Kube. StorageClass pemrovisi dalam-pohon tidak akan digunakan lagi sejak AKS versi 1.21. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Tolak, Dinonaktifkan | 2.3.0 |
Kluster Kubernetes harus menggunakan penyeimbang muatan internal | Gunakan penyeimbang muatan internal untuk membuat layanan Kubernetes hanya dapat diakses oleh aplikasi yang berjalan di jaringan virtual yang sama dengan kluster Kubernetes. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Sumber daya Kubernetes harus memiliki anotasi yang diperlukan | Pastikan bahwa anotasi yang diperlukan dilampirkan pada jenis sumber daya Kubernetes tertentu untuk meningkatkan manajemen sumber daya dari sumber daya Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 3.2.0 |
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
Log sumber daya dalam Azure Kubernetes Service harus diaktifkan | Log sumber daya Azure Kubernetes Service dapat membantu menciptakan kembali jalur aktivitas saat menyelidiki insiden keamanan. Aktifkan untuk memastikan log akan ada saat dibutuhkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.4 |
Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik: