Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Kubernetes Service. Untuk Azure Policy bawaan tambahan untuk layanan lain, lihat definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan ditautkan ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Version untuk melihat sumber pada repositori Azure Policy GitHub.
Inisiatif
| Nama | Deskripsi | Kebijakan | Versi |
|---|---|---|---|
| [Pratinjau]: Gunakan Integritas Gambar untuk memastikan hanya gambar tepercaya yang disebarkan | Gunakan Integritas Gambar untuk memastikan kluster AKS hanya menyebarkan gambar tepercaya dengan mengaktifkan Integritas Gambar dan Azure Policy Add-Ons pada kluster AKS. Integritas Gambar Add-On dan Azure Policy Add-On adalah prasyarat untuk menggunakan Integritas Gambar untuk memverifikasi apakah gambar ditandatangani saat penyebaran. Untuk informasi selengkapnya, kunjungi https://aka.ms/aks/image-integrity. | 3 | 1.1.0-pratinjau |
| [Pratinjau]: Kluster Kubernetes harus mengikuti rekomendasi kontrol keamanan tolok ukur Kubernetes Center for Internet Security (CIS) | Inisiatif ini mencakup kebijakan untuk rekomendasi keamanan untuk tolok ukur Kubernetes Center for Internet Security (CIS), Anda dapat menggunakan inisiatif ini untuk tetap mematuhi tolok ukur CIS Kubernetes. Untuk informasi selengkapnya tentang kepatuhan CIS, kunjungi: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-pratinjau |
| perlindungan Deployment akan membantu memandu pengembang menuju praktik terbaik yang direkomendasikan AKS | Kumpulan praktik terbaik Kubernetes yang direkomendasikan oleh Azure Kubernetes Service (AKS). Untuk pengalaman terbaik, gunakan perlindungan penyebaran untuk menetapkan inisiatif kebijakan ini: https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On untuk AKS adalah prasyarat untuk menerapkan praktik terbaik ini ke kluster Anda. Untuk petunjuk tentang mengaktifkan Add-On Azure Policy, buka aka.ms/akspolicydoc | 27 | 3.0.0 |
| standar dasar keamanan pod kluster Kubernetes untuk beban kerja berbasis Linux | Inisiatif ini menyertakan kebijakan untuk standar acuan dasar keamanan pod kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| standar terbatas keamanan pod kluster Kubernetes untuk beban kerja berbasis Linux | Inisiatif ini menyertakan kebijakan untuk standar keamanan pod kluster Kubernetes yang dibatasi. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definisi kebijakan
Microsoft. ContainerService
| Nama (portal Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: [Integritas Gambar] Kluster Kube hanya boleh menggunakan gambar yang ditandatangani oleh notasi | Gunakan gambar yang ditandatangani oleh notasi untuk memastikan bahwa gambar berasal dari sumber tepercaya dan tidak akan dimodifikasi dengan berbahaya. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | Audit, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Ekstensi Azure Backup harus diinstal di kluster AKS | Pastikan penginstalan perlindungan ekstensi cadangan di Kluster AKS Anda untuk memanfaatkan Azure Backup. Azure Backup untuk AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS | AuditIfNotExists, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Azure Backup harus diaktifkan untuk kluster AKS | Pastikan perlindungan Kluster AKS Anda dengan mengaktifkan Azure Backup. Azure Backup untuk AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS. | AuditIfNotExists, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Azure Kubernetes Service Kluster Terkelola harus Zona Redundan | Azure Kubernetes Service Kluster Terkelola dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kebijakan memeriksa kumpulan simpul di kluster dan memastikan bahwa zona avaialbilty diatur untuk semua kumpulan simpul. | Audit, Tolak, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Menyebarkan Integritas Gambar pada Azure Kubernetes Service | Sebarkan Integritas Gambar dan Kebijakan Add-Ons Azure kluster Kubernetes. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | DeployIfNotExists, Nonaktif | 1.2.0-preview |
| Menginstal Ekstensi Azure Backup adalah prasyarat untuk melindungi Kluster AKS Anda. Terapkan penginstalan ekstensi cadangan pada semua kluster AKS yang berisi tag tertentu. Melakukan ini dapat membantu Anda mengelola Pencadangan Kluster AKS dalam skala besar. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.0-preview | |
| Menginstal Ekstensi Azure Backup adalah prasyarat untuk melindungi Kluster AKS Anda. Terapkan penginstalan ekstensi cadangan pada semua kluster AKS tanpa nilai tag tertentu. Melakukan ini dapat membantu Anda mengelola Pencadangan Kluster AKS dalam skala besar. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.0-preview | |
| [Pratinjau]: Kontainer kluster Kubernetes hanya boleh menggunakan antarmuka sysctl yang diizinkan | Kontainer hanya boleh menggunakan antarmuka sysctl yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Kluster Kubernetes harus menerapkan Anggaran Gangguan Pod yang akurat | Mencegah Anggaran Gangguan Pod yang rusak, memastikan jumlah minimum pod operasional. Lihat dokumentasi resmi Kubernetes untuk detailnya. Bergantung pada replikasi data Gatekeeper dan menyinkronkan semua sumber daya Deployment, StatefulSet, dan PodDisruptionBudget yang tercakup ke dalam OPA. Sebelum menerapkan kebijakan ini, pastikan bahwa sumber daya yang disinkronkan tidak akan membatasi kapasitas memori Anda. Semua sumber daya jenis ini di seluruh namespace layanan akan disinkronkan. Catatan: saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.3.1-preview |
| [Pratinjau]: Kluster Kubernetes harus membatasi pembuatan jenis sumber daya yang diberikan | Jenis sumber daya Kubernetes yang diberikan tidak boleh disebarkan di namespace layanan tertentu. | Audit, Tolak, Dinonaktifkan | 2.3.0-preview |
| [Pratinjau]: Mencegah kontainer dijalankan sebagai root dengan mengatur runAsNotRoot ke true. | Mengatur runAsNotRoot ke true meningkatkan keamanan dengan mencegah kontainer dijalankan sebagai root. | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Mencegah kontainer init dijalankan sebagai root dengan mengatur runAsNotRoot ke true. | Mengatur runAsNotRoot ke true meningkatkan keamanan dengan mencegah kontainer dijalankan sebagai root. | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Mengatur bidang securitycontext.runAsUser kontainer kluster Kubernetes ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Mengatur jenis profil mode komputasi aman kontainer kluster Kube ke RuntimeDefault jika tidak ada. | Mengatur jenis profil mode komputasi aman untuk kontainer untuk mencegah panggilan sistem yang tidak sah dan berpotensi berbahaya ke kernel dari ruang pengguna. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Mengatur kontainer init kluster Kubernetes securityContext.runAsUser ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Mengatur jenis profil mode komputasi aman kontainer init kluster Kubernetes ke RuntimeDefault jika tidak ada. | Mengatur jenis profil mode komputasi aman untuk kontainer init untuk mencegah panggilan sistem yang tidak sah dan berpotensi berbahaya ke kernel dari ruang pengguna. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Mengatur kluster Kubernetes Keamanan podContext.runAsUser bidang ke 1000, id pengguna non-root | Mengurangi permukaan serangan yang diperkenalkan dengan meningkatkan hak istimewa sebagai pengguna root di hadapan kerentanan keamanan. | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| [Pratinjau]: Mengatur eskalasi Hak Istimewa dalam spesifikasi Pod dalam kontainer init ke false. | Mengatur eskalasi Hak Istimewa ke false dalam kontainer init meningkatkan keamanan dengan mencegah kontainer mengizinkan eskalasi hak istimewa seperti melalui mode file set-user-ID atau set-group-ID. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Mengatur eskalasi Hak Istimewa dalam spesifikasi Pod ke false. | Mengatur eskalasi Hak Istimewa ke false meningkatkan keamanan dengan mencegah kontainer mengizinkan eskalasi hak istimewa seperti melalui mode file set-user-ID atau set-group-ID. | Bermutasi, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Mengatur UnhealthyPodEvictionPolicy ke 'AlwaysAllow' | Mengatur UnhealthyPodEvictionPolicy Pod Disruption Budget ke 'AlwaysAllow' untuk memungkinkan penggusuran pod yang bahkan tidak sehat saat melakukan administrasi kluster | Bermutasi, Dinonaktifkan | 1.1.0-preview |
| Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
| Azure Kluster Kubernetes harus menonaktifkan SSH | Nonaktifkan SSH memberi Anda kemampuan untuk mengamankan kluster Anda dan mengurangi permukaan serangan. Untuk mempelajari lebih lanjut, kunjungi: aka.ms/aks/disablessh | Audit, Dinonaktifkan | 1.0.0 |
| Azure Kluster Kubernetes harus mengaktifkan Antarmuka Penyimpanan Kontainer (CSI) | Antarmuka Penyimpanan Kontainer (CSI) adalah standar untuk mengekspos blok arbitrer dan sistem penyimpanan file ke beban kerja kontainer pada Azure Kubernetes Service. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Dinonaktifkan | 1.0.0 |
| Azure Kluster Kubernetes harus mengaktifkan Key Management Service (KMS) | Gunakan Key Management Service (KMS) untuk mengenkripsi data rahasia saat tidak aktif di etcd untuk keamanan kluster Kubernetes. Pelajari selengkapnya di: https://aka.ms/aks/kmsetcdencryption. | Audit, Dinonaktifkan | 1.1.0 |
| Azure Kluster Kubernetes harus menggunakan Azure CNI | Azure CNI adalah prasyarat untuk beberapa fitur Azure Kubernetes Service, termasuk kebijakan jaringan Azure, kumpulan simpul Windows, dan add-on simpul virtual. Pelajari lebih lanjut di: https://aka.ms/aks-azure-cni | Audit, Dinonaktifkan | 1.0.1 |
| kluster Azure Kubernetes Service harus menjadi anggota Azure Kubernetes Fleet Manager. | Mendeteksi dan melaporkan kluster AKS yang bukan anggota Azure Kubernetes Fleet Manager. Untuk mempelajari lebih lanjut, kunjungi https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus menonaktifkan Command Invoke | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menghindari lewatan akses jaringan terbatas atau kontrol akses berbasis peran Kubernetes | Audit, Dinonaktifkan | 1.0.1 |
| Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis kluster | Peningkatan otomatis kluster AKS dapat memastikan kluster Anda sudah diperbarui dan jangan lewatkan fitur atau patch terbaru dari AKS dan Kubernetes upstream. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan Image Cleaner | Image Cleaner melakukan identifikasi dan penghapusan gambar yang rentan dan tidak digunakan secara otomatis, yang mengurangi risiko gambar kedaluarsa dan mengurangi waktu yang diperlukan untuk membersihkannya. Pelajari selengkapnya di: https://aka.ms/aks/image-cleaner. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan integrasi Microsoft Entra ID | Integrasi Microsoft Entra ID yang dikelola AKS dapat mengelola akses ke kluster dengan mengonfigurasi kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) berdasarkan identitas pengguna atau keanggotaan grup direktori. Pelajari selengkapnya di: https://aka.ms/aks-managed-aad. | Audit, Dinonaktifkan | 1.0.2 |
| Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis os simpul | AKS node OS auto-upgrade mengontrol pembaruan keamanan OS tingkat simpul. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan identitas beban kerja | Identitas beban kerja memungkinkan untuk menetapkan identitas unik ke setiap Pod Kubernetes dan mengaitkannya dengan Azure sumber daya yang dilindungi AD seperti Azure Key Vault, memungkinkan akses aman ke sumber daya ini dari dalam Pod. Pelajari selengkapnya di: https://aka.ms/aks/wi. | Audit, Dinonaktifkan | 1.0.0 |
| kluster Azure Kubernetes Service harus mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk pengerasan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Dinonaktifkan | 2.0.1 |
| Kluster Azure Kubernetes Service harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Kluster Azure Kubernetes Service harus secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aks-disable-local-accounts. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kluster Azure Kubernetes Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk melakukan wrap around pada perwakilan layanan, menyederhanakan manajemen kluster, dan menghindari kompleksitas yang diperlukan untuk perwakilan layanan terkelola. Pelajari lebih lanjut di: https://aka.ms/aks-update-managed-identities | Audit, Dinonaktifkan | 1.0.1 |
| Azure Kubernetes Service Kluster Privat harus diaktifkan | Aktifkan fitur kluster privat untuk kluster Azure Kubernetes Service Anda untuk memastikan lalu lintas jaringan antara server API dan kumpulan simpul Anda tetap berada di jaringan privat saja. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Azure Policy Add-on untuk layanan Kubernetes (AKS) harus diinstal dan diaktifkan pada kluster Anda | Azure Policy Add-on untuk layanan Kubernetes (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan perlindungan skala besar pada kluster Anda secara terpusat dan konsisten. | Audit, Dinonaktifkan | 1.0.2 |
| Azure gambar kontainer yang berjalan harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Both sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi oleh kunci yang dikelola pelanggan | Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Tidak Dapat Mengedit Simpul Individual | Tidak dapat mengedit simpul individual. Pengguna tidak boleh mengedit simpul individual. Silakan edit kumpulan simpul. Memodifikasi simpul individu dapat menyebabkan pengaturan yang tidak konsisten, tantangan operasional, dan potensi risiko keamanan. | Audit, Tolak, Dinonaktifkan | 1.3.1 |
| Konfigurasi kluster AKS untuk secara otomatis menggabungkan Azure Kubernetes Fleet Manager yang ditentukan | Deteksi dan pastikan kluster AKS bergabung dengan Azure Kubernetes Fleet Manager tertentu. Secara opsional, pilih tag pencarian untuk menentukan grup pembaruan armada apa yang akan bergabung. Untuk mempelajari lebih lanjut, kunjungi https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasi kluster Azure Kubernetes Service untuk mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk pengerasan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile. Defender pada kluster Azure Kubernetes Service Anda, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Nonaktif | 4.3.0 |
| Mengonfigurasi penginstalan ekstensi Flux pada kluster Kubernetes | Pasang ekstensi Flux pada kluster Kubernetes untuk mengaktifkan penyebaran 'fluxconfigurations' di kluster | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi Flux v2 menggunakan sumber dan rahasia Wadah di KeyVault | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan Bucket SecretKey yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan Sertifikat OS HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan Sertifikat OS HTTPS. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci HTTPS yang disimpan dalam Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia SSH | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH yang disimpan dalam Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git publik | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan sumber Wadah Flux v2 tertentu menggunakan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia HTTPS | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan pengguna HTTPS dan rahasia kunci yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi GitOps yang ditentukan tanpa rahasia | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia SSH | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Konfigurasi kluster Azure Kubernetes Service terintegrasi Microsoft Entra ID dengan Akses Grup Admin yang diperlukan | Pastikan untuk meningkatkan keamanan kluster dengan mengatur akses Administrator secara terpusat ke kluster AKS terintegrasi Microsoft Entra ID. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Konfigurasi peningkatan Otomatis OS Simpul pada Azure Kluster Kubernetes | Gunakan peningkatan otomatis OS Node untuk mengontrol pembaruan keamanan OS tingkat simpul dari kluster Azure Kubernetes Service (AKS). Untuk informasi selengkapnya, kunjungi https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Deploy - Mengonfigurasi pengaturan diagnostik untuk Azure Kubernetes Service ke ruang kerja Log Analytics | Menyebarkan pengaturan diagnostik untuk Azure Kubernetes Service mengalirkan log sumber daya ke ruang kerja Log Analytics. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Add-on Deploy Azure Policy ke kluster Azure Kubernetes Service | Gunakan Add-on Azure Policy untuk mengelola dan melaporkan status kepatuhan kluster Azure Kubernetes Service (AKS) Anda. Untuk informasi selengkapnya, lihat https://aka.ms/akspolicydoc . | DeployIfNotExists, Nonaktif | 4.2.0 |
| Deploy Image Cleaner di Azure Kubernetes Service | Sebarkan Image Cleaner pada kluster Kubernetes Azure. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-cleaner | DeployIfNotExists, Nonaktif | 1.2.0 |
| Deploy Pemeliharaan Terencana untuk menjadwalkan dan mengontrol peningkatan untuk kluster Azure Kubernetes Service (AKS) Anda | Pemeliharaan Terencana memungkinkan Anda menjadwalkan jendela pemeliharaan mingguan untuk melakukan pembaruan dan meminimalkan dampak beban kerja. Setelah dijadwalkan, peningkatan hanya terjadi selama jendela yang Anda pilih. Pelajari lebih lanjut di: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Disable Command Invoke pada kluster Azure Kubernetes Service | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menolak akses memanggil-memerintah ke kluster | DeployIfNotExists, Nonaktif | 1.2.0 |
| Pastikan kontainer kluster memiliki probe kesiapan atau keaktifan yang dikonfigurasi | Kebijakan ini menerapkan bahwa semua pod memiliki probe kesiapan dan/atau keaktifan yang dikonfigurasi. Jenis Probe dapat berupa tcpSocket, httpGet dan exec. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | Audit, Tolak, Dinonaktifkan | 3.3.0 |
| Gambar kontainer kluster Kubernetes harus menyertakan hook preStop | Mengharuskan gambar kontainer menyertakan hook preStop untuk menghentikan proses dengan baik selama penonaktifan pod. | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Citra kontainer kluster Kubernetes tidak boleh menyertakan tag gambar terbaru | Mengharuskan gambar kontainer tidak menggunakan tag terbaru di Kubernetes, ini adalah praktik terbaik untuk memastikan reproduktifitas, mencegah pembaruan yang tidak diinginkan, dan memfasilitasi penelusuran kesalahan dan pembatalan yang lebih mudah dengan menggunakan gambar kontainer eksplisit dan versi. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
| CPU kontainer kluster Kubernetes dan permintaan sumber daya memori harus ditentukan | Menerapkan permintaan CPU kontainer dan sumber daya memori untuk memastikan simpul terjadwal memiliki sumber daya yang diperlukan. | Audit, Tolak, Dinonaktifkan | 1.0.0-preview |
| Kontainer kluster Kubernetes tidak boleh berbagi namespace host | Blokir kontainer pod agar tidak berbagi namespace ID proses host, namespace IPC host, dan namespace jaringan host dalam kluster Kubernetes. Rekomendasi ini selaras dengan Standar Keamanan Pod Kube untuk namespace layanan host dan merupakan bagian dari CIS 5.2.1, 5.2.2 dan 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 6.0.0 |
| Kontainer kluster Kubernetes tidak boleh menggunakan antarmuka sysctl terlarang | Kontainer tidak boleh menggunakan antarmuka sysctl terlarang dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
| Kontainer kluster Kubernetes hanya boleh menarik gambar ketika rahasia penarikan gambar ada | Membatasi penarikan gambar kontainer untuk memberlakukan keberadaan ImagePullSecrets, memastikan akses yang aman dan sah ke gambar dalam kluster Kubernetes | Audit, Tolak, Dinonaktifkan | 1.3.1 |
| Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.1 |
| Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan ProcMountType yang diizinkan | Kontainer Pod hanya dapat menggunakan ProcMountTypes yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan kebijakan tarik yang diizinkan | Batasi kebijakan tarik kontainer untuk mengatur agar kontainer hanya menggunakan gambar yang diizinkan pada penyebaran | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan profil seccomp yang diizinkan | Kontainer Pod hanya dapat menggunakan profil seccomp yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
| Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.3.0 |
| Volume FlexVolume pod kluster Kube hanya boleh menggunakan driver yang diizinkan | Volume FlexVolume pod hanya boleh menggunakan driver yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
| Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Azure Arc kubernetes yang diaktifkan. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.3.0 |
| Pod dan kontainer kluster Kubernetes harus mengikuti standar keamanan SELinux | Kebijakan ini memberlakukan Standar Keamanan Pod Kubernetes untuk opsi SELinux. Di bawah mode PSS, bidang 'pengguna' dan 'peran' harus kosong, dan bidang 'jenis' harus menjadi salah satu nilai yang diizinkan. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 8.0.0 |
| Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Pod kluster Kubernetes hanya boleh menggunakan jenis volume yang diizinkan | Pod hanya dapat menggunakan jenis volume yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
| Pod kluster Kubernetes hanya boleh menggunakan jaringan host dan daftar port yang disetujui | Batasi akses pod ke jaringan host dan port host yang diizinkan dalam kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda dan selaras dengan Standar Keamanan Pod (PSS) untuk hostPorts. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 7.0.0 |
| Pod kluster Kube harus menggunakan label yang ditentukan | Gunakan label yang ditentukan untuk mengidentifikasi pod dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
| Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Layanan kluster Kube hanya boleh menggunakan IP eksternal yang diizinkan | Gunakan IP eksternal yang diizinkan untuk menghindari potensi serangan (CVE-2020-8554) pada kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
| Layanan kluster Kubernetes harus menggunakan pemilih unik | Pastikan Layanan di Namespace Memiliki Pemilih Unik. Pemilih layanan unik memastikan bahwa setiap layanan dalam namespace dapat diidentifikasi secara unik berdasarkan kriteria tertentu. Kebijakan ini menyinkronkan sumber daya layanan ke OPA melalui Gatekeeper. Sebelum menerapkan, verifikasi kapasitas memori Pod Gatekeeper tidak akan terlampaui. Parameter berlaku untuk namespace tertentu, tetapi menyinkronkan semua sumber daya jenis tersebut di semua namespace layanan. Saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.2.2 |
| Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Kluster Kubernetes tidak boleh menggunakan pod polos | Memblokir penggunaan Pod polos. Pod polos tidak akan dijadwalkan ulang jika terjadi kegagalan simpul. Pod harus dikelola oleh Deployment, Replicset, Daemonset, atau Jobs | Audit, Tolak, Dinonaktifkan | 2.3.1 |
| Kontainer Windows klusterKubernetes tidak boleh mengatasi cpu dan memori | Windows permintaan sumber daya kontainer harus kurang atau sama dengan batas sumber daya atau tidak ditentukan untuk menghindari overcommit. Jika memori Windows diprovisikan secara berlebihan, itu akan memproses halaman dalam disk - yang dapat memperlambat performa - alih-alih mengakhiri kontainer dengan kehabisan memori | Audit, Tolak, Dinonaktifkan | 2.2.0 |
| kontainer Windows kluster Kubernetes tidak boleh berjalan sebagai ContainerAdministrator | Cegah penggunaan ContainerAdministrator sebagai pengguna untuk menjalankan proses kontainer untuk Windows pod atau kontainer. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| kontainer Windows kluster Kubernetes hanya boleh berjalan dengan pengguna dan grup pengguna domain yang disetujui | Kontrol pengguna yang Windows pod dan kontainer dapat digunakan untuk berjalan di Kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod pada simpul Windows yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. | Audit, Tolak, Dinonaktifkan | 2.2.0 |
| Kubernetes cluster Windows pod tidak boleh menjalankan kontainer HostProcess | Cegah akses yang di-prviledged ke simpul windows. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | Audit, Tolak, Dinonaktifkan | 9.0.0 |
| Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
| Kluster Kubernetes harus memastikan bahwa peran cluster-admin hanya digunakan jika diperlukan | Peran 'cluster-admin' menyediakan kekuatan berkisar luas atas lingkungan dan harus digunakan hanya di mana dan ketika diperlukan. | Audit, Dinonaktifkan | 1.1.0 |
| Kluster Kubernetes harus meminimalkan penggunaan kartubebas dalam peran dan peran kluster | Menggunakan kartubebas '*' dapat menjadi risiko keamanan karena memberikan izin luas yang mungkin tidak diperlukan untuk peran tertentu. Jika peran memiliki terlalu banyak izin, peran tersebut berpotensi disalahgunakan oleh penyerang atau pengguna yang disusupi untuk mendapatkan akses tidak sah ke sumber daya di kluster. | Audit, Dinonaktifkan | 1.1.0 |
| Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 8.0.0 |
| Kluster Kubernetes tidak boleh mengizinkan izin pengeditan titik akhir ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit tidak boleh mengizinkan izin pengeditan titik akhir karena CVE-2021-25740, izin Titik Akhir & EndpointSlice memungkinkan penerusan lintas-Namespace, https://github.com/kubernetes/kubernetes/issues/103675. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Dinonaktifkan | 3.2.0 |
| Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube tidak boleh menggunakan kemampuan keamanan tertentu | Cegah kemampuan keamanan tertentu pada kluster Kube untuk mencegah hak istimewa yang tidak diberikan pada sumber daya Pod. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
| Kluster Kube tidak boleh menggunakan namespace layanan default | Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
| Kluster Kubernetes harus menentukan host dalam aturan sumber daya ingress | Pastikan menentukan host dalam aturan sumber daya ingress untuk mencegah paparan layanan backend yang tidak disengaja ke akses yang tidak sah. Kebijakan ini mengevaluasi sumber daya Kubernetes Ingress untuk memastikan bahwa setiap aturan memiliki bidang host tertentu. | Audit, Tolak, Dinonaktifkan | 1.1.0-preview |
| Kluster Kubernetes harus menggunakan StorageClass driver Container Storage Interface(CSI) | Container Storage Interface (CSI) adalah standar untuk mengekspos blok abritrer dan sistem penyimpanan file ke beban kerja kontainer pada Kube. StorageClass pemrovisi dalam-pohon tidak akan digunakan lagi sejak AKS versi 1.21. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Tolak, Dinonaktifkan | 2.3.0 |
| Kluster Kubernetes harus menggunakan penyeimbang muatan internal | Gunakan penyeimbang muatan internal untuk membuat layanan Kubernetes hanya dapat diakses oleh aplikasi yang berjalan di jaringan virtual yang sama dengan kluster Kubernetes. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
| Sumber daya Kubernetes harus memiliki anotasi yang diperlukan | Pastikan bahwa anotasi yang diperlukan dilampirkan pada jenis sumber daya Kubernetes tertentu untuk meningkatkan manajemen sumber daya dari sumber daya Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes yang diaktifkan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
| Harus Memiliki Aturan Anti Afinitas atau Batasan Penyebaran Topologi Yang Ditetapkan | Kebijakan ini memastikan bahwa pod dijadwalkan pada node yang berbeda dalam kluster. Dengan memberlakukan aturan anti-afinitas atau batasan penyebaran topologi pod, ketersediaan dipertahankan bahkan jika salah satu node menjadi tidak tersedia. Pod akan terus berjalan pada simpul lain, meningkatkan ketahanan. | Audit, Tolak, Dinonaktifkan | 1.2.2 |
| Mutasi Kontainer K8s untuk menghilangkan semua kemampuan | Mutasi securityContext.capabilities.drop untuk menambahkan "ALL". Ini menghilangkan semua kemampuan untuk kontainer linux k8s | Bermutasi, Dinonaktifkan | 1.2.1 |
| Mutasi Kontainer K8s Init untuk menghilangkan semua kemampuan | Mutasi securityContext.capabilities.drop untuk menambahkan "ALL". Ini menghilangkan semua kemampuan untuk kontainer init linux k8s | Bermutasi, Dinonaktifkan | 1.2.1 |
| Tidak Ada Label Spesifik AKS | Mencegah pelanggan menerapkan label tertentu AKS. AKS menggunakan label yang diawali dengan kubernetes.azure.com untuk menunjukkan komponen yang dimiliki AKS. Pelanggan tidak boleh menggunakan label ini. |
Audit, Tolak, Dinonaktifkan | 1.2.1 |
| Mencetak pesan jika mutasi diterapkan | Mencari anotasi mutasi yang diterapkan dan mencetak pesan jika anotasi ada. | Audit, Dinonaktifkan | 1.2.1 |
| Taint Kumpulan Sistem Yang Dipesan | Membatasi taint CriticalAddonsOnly hanya ke kumpulan sistem. AKS menggunakan taint CriticalAddonsOnly untuk menjauhkan pod pelanggan dari kumpulan sistem. Ini memastikan pemisahan yang jelas antara komponen AKS dan pod pelanggan, serta mencegah pod pelanggan dikeluarkan jika mereka tidak mentolerir taint CriticalAddonsOnly. | Audit, Tolak, Dinonaktifkan | 1.2.1 |
| log Resource di Azure Kubernetes Service harus diaktifkan | log sumber daya Azure Kubernetes Service dapat membantu membuat ulang jejak aktivitas saat menyelidiki insiden keamanan. Aktifkan untuk memastikan log akan ada saat dibutuhkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Membatasi taint CriticalAddonsOnly hanya ke kumpulan sistem. | Untuk menghindari pengeluaran aplikasi pengguna dari kumpulan pengguna dan mempertahankan pemisahan kekhawatiran antara pengguna dan kumpulan sistem, taint 'CriticalAddonsOnly' tidak boleh diterapkan ke kumpulan pengguna. | Bermutasi, Dinonaktifkan | 1.3.1 |
| Role-Based Access Control (RBAC) harus digunakan pada Layanan Kubernetes | Untuk memberikan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Role-Based Access Control (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.1.0 |
| Mengatur automountServiceAccountToken dalam spesifikasi Pod dalam kontainer ke false. | Mengatur automountServiceAccountToken ke false meningkatkan keamanan dengan menghindari pemasangan otomatis default token akun layanan | Bermutasi, Dinonaktifkan | 1.2.1 |
| Mengatur batas CPU kontainer kluster Kubernetes ke nilai default jika tidak ada. | Mengatur batas CPU kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.3.1 |
| Mengatur batas memori kontainer kluster Kubernetes ke nilai default jika tidak ada. | Mengatur batas memori kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.3.1 |
| Mengatur pod maxUnavailable ke 1 untuk sumber daya PodDisruptionBudget | Mengatur nilai pod maksimum yang tidak tersedia ke 1 memastikan bahwa aplikasi atau layanan Anda tersedia selama gangguan | Bermutasi, Dinonaktifkan | 1.3.1 |
| Mengatur readOnlyRootFileSystem dalam spesifikasi Pod dalam kontainer init ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar. Ini hanya berfungsi untuk kontainer linux. | Bermutasi, Dinonaktifkan | 1.3.1 |
| Mengatur readOnlyRootFileSystem dalam spesifikasi Pod ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar | Bermutasi, Dinonaktifkan | 1.3.1 |
| Temp disk dan cache untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | Untuk meningkatkan keamanan data, data yang disimpan di host komputer virtual (VM) VM simpul Azure Kubernetes Service Anda harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Langkah berikutnya
- Lihat bawaan pada repositori Azure Policy GitHub.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.