Kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure Kubernetes Service (AKS)
Kepatuhan Terhadap Peraturan dalam Azure Policy menyediakan definisi inisiatif (bawaan) yang dibuat dan dikelola oleh Microsoft, untuk kepatuhan domain dan kontrol keamanan yang terkait dengan standar kepatuhan yang berbeda. Halaman ini mencantumkan domain kepatuhan Azure Kubernetes Service (AKS) dan kontrol keamanan.
Anda dapat menetapkan bawaan untuk kontrol keamanan satu per satu untuk membantu membuat sumber daya Azure Anda mematuhi standar tertentu.
Judul setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Microsoft Azure. Gunakan tautan di kolom Versi Kebijakan untuk melihat sumber pada repo GitHub Azure Policy.
Penting
Setiap kontrol dikaitkan dengan satu atau beberapa definisi Azure Policy. Kebijakan ini dapat membantu Anda menilai kepatuhan terhadap kontrol. Namun, sering kali tidak ada kecocokan satu sama lain atau benar-benar cocok antara kontrol dan satu atau beberapa kebijakan. Dengan demikian, Syarat di Azure Policy hanya mengacu pada kebijakan itu sendiri. Ini tidak memastikan bahwa Anda sepenuhnya mematuhi semua kontrol persyaratan. Selain itu, standar kepatuhan melibatkan kontrol yang tidak dicakup dalam definisi yang ada di Azure Policy saat ini. Oleh karena itu, kepatuhan dalam Azure Policy hanyalah pandangan parsial dari status kepatuhan Anda secara keseluruhan. Hubungan antara kontrol dan definisi Kepatuhan Peraturan Azure Policy untuk standar kepatuhan ini dapat berubah seiring waktu.
CIS Tolok Ukur Microsoft Azure Foundations 1.1.0
Untuk meninjau bagaimana fitur bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| 8 Pertimbangan Keamanan Lainnya | 8.5 | Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - CIS Microsoft Azure Foundations Benchmark 1.3.0. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| 8 Pertimbangan Keamanan Lainnya | 8.5 | Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Peraturan Azure Policy untuk CIS v1.4.0. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat CIS Microsoft Azure Foundations Benchmark.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| 8 Pertimbangan Keamanan Lainnya | 8.7 | Aktifkan kontrol akses berbasis peran (RBAC) dalam Azure Kubernetes Service | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
CMMC Tingkat 3
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - CMMC Tingkat 3. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.001 | Membatasi akses sistem informasi kepada pengguna yang sah, proses yang bertindak atas nama pengguna, dan perangkat (termasuk sistem informasi lainnya) yang berwenang. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Access Control | AC.1.001 | Membatasi akses sistem informasi kepada pengguna yang sah, proses yang bertindak atas nama pengguna, dan perangkat (termasuk sistem informasi lainnya) yang berwenang. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Access Control | AC.1.002 | Membatasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan untuk dijalankan oleh pengguna yang sah. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Access Control | AC.1.002 | Membatasi akses sistem informasi ke jenis transaksi dan fungsi yang diizinkan untuk dijalankan oleh pengguna yang sah. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Access Control | AC.2.007 | Menggunakan prinsip hak istimewa minimal, termasuk untuk fungsi keamanan tertentu dan akun dengan hak istimewa. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Access Control | AC.2.016 | Mengontrol aliran CUI sesuai dengan otorisasi yang disetujui. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Manajemen Konfigurasi | CM.2.062 | Menggunakan prinsip fungsionalitas minimal dengan mengonfigurasi sistem organisasi untuk hanya menyediakan kemampuan yang penting. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Pengelolaan Konfigurasi | CM.3.068 | Membatasi, menonaktifkan, atau mencegah penggunaan program, fungsi, port, protokol, dan layanan yang tidak penting. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Tugas beresiko | RM.2.143 | Meremediasi kerentanan sesuai dengan penilaian risiko. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| Perlindungan Sistem dan Komunikasi | SC.1.175 | Memantau, mengontrol, dan melindungi komunikasi (yaitu informasi yang ditransmisikan atau diterima oleh sistem organisasi) di batasan eksternal dan batasan internal utama sistem organisasi. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Perlindungan Sistem dan Komunikasi | SC.3.177 | Menggunakan kriptografi yang divalidasi FIPS saat digunakan untuk melindungi kerahasiaan CUI. | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
| Perlindungan Sistem dan Komunikasi | SC.3.183 | Menolak lalu lintas komunikasi jaringan secara default dan mengizinkan lalu lintas komunikasi jaringan berdasarkan pengecualian (misalnya tolak semua, izinkan dengan pengecualian). | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Integritas Sistem dan Informasi | SI.1.210 | Mengidentifikasi, melaporkan, dan memperbaiki kelemahan sistem informasi dan informasi secara tepat waktu. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
FedRAMP Tinggi
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - Tinggi FedRAMP. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat FedRAMP Tinggi.
Moderat FedRAMP
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - Moderat FedRAMP. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Moderat FedRAMP.
HIPAA HITRUST 9.2
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - HIPAA HITRUST 9.2. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat HIPAA HITRUST 9.2.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Pengelolaan Hak Istimewa | 1149.01c2System.9 - 01.c | Organisasi memfasilitasi berbagi informasi dengan memungkinkan pengguna yang berwenang untuk menentukan akses mitra bisnis ketika kebijaksanaan diizinkan sebagaimana didefinisikan oleh organisasi dan dengan menggunakan proses manual atau mekanisme otomatis untuk membantu pengguna dalam membuat keputusan berbagi informasi/kolaborasi. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| 11 Kontrol Akses | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Akses Resmi ke Sistem Informasi | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| 12 Pengelogan & Pemantauan Audit | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumentasi Prosedur Operasi | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
Kebijakan Rahasia Garis Besar Microsoft Cloud for Sovereignty
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Terhadap Peraturan Azure Policy untuk Kebijakan Rahasia Garis Besar Kedaulatan MCfS. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Portofolio Kebijakan Microsoft Cloud for Sovereignty.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| SO.3 - Kunci yang Dikelola Pelanggan | SO.3 | Produk Azure harus dikonfigurasi untuk menggunakan Kunci yang Dikelola Pelanggan jika memungkinkan. | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
Tolok ukur keamanan cloud Microsoft
Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Untuk melihat bagaimana layanan ini sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan Azure Security Benchmark.
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - Tolok ukur keamanan cloud Microsoft.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Keamanan Jaringan | NS-2 | Mengamankan layanan cloud dengan kontrol jaringan | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Akses dengan Hak Istimewa | PA-7 | Mengikuti prinsip administrasi (setidaknya hak istimewa) secukupnya | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Perlindungan Data | DP-3 | Enkripsi data sensitif saat transit | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Pencatatan dan Deteksi Ancaman | LT-1 | Mengaktifkan kemampuan deteksi ancaman | Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | 2.0.1 |
| Pencatatan dan Deteksi Ancaman | LT-2 | Mengaktifkan deteksi ancaman untuk identitas dan manajemen akses | Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | 2.0.1 |
| Pencatatan dan Deteksi Ancaman | LT-3 | Mengaktifkan pengelogan untuk investigasi keamanan | Log sumber daya dalam Azure Kubernetes Service harus diaktifkan | 1.0.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | 4.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | 5.1.0 |
| Manajemen Postur dan Kerentanan | PV-2 | Mengaudit dan memberlakukan konfigurasi yang aman | Kluster Kube tidak boleh menggunakan namespace layanan default | 4.1.0 |
| Manajemen Postur dan Kerentanan | PV-6 | Secara cepat dan otomatis memulihkan kerentanan | Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | 1.0.1 |
| Keamanan Azure DevOps | DS-6 | Menerapkan keamanan beban kerja di seluruh siklus hidup DevOps | Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - NIST SP 800-171 R2. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-171 R2.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Access Control | +3.1.3 | Mengontrol aliran CUI sesuai dengan otorisasi yang disetujui. | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.1 | Memantau, mengontrol, dan melindungi komunikasi (yaitu informasi yang ditransmisikan atau diterima oleh sistem organisasi) di batasan eksternal dan batasan internal utama sistem organisasi. | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.10 | Menetapkan dan mengelola kunci kriptografi untuk kriptografi yang digunakan dalam sistem organisasi. | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.16 | Lindungi kerahasiaan CUI saat tidak aktif. | Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | 1.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.2 | Mempekerjakan desain arsitektur, teknik pengembangan perangkat lunak, dan prinsip-prinsip rekayasa sistem yang mempromosikan keamanan informasi yang efektif dalam sistem organisasi. | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.5 | Menerapkan subjaringan untuk komponen sistem yang dapat diakses publik yang terpisah secara fisik atau logis dari jaringan internal. | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.6 | Menolak lalu lintas komunikasi jaringan secara default dan mengizinkan lalu lintas komunikasi jaringan berdasarkan pengecualian (misalnya tolak semua, izinkan dengan pengecualian). | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Sistem dan Komunikasi | 3.13.8 | Menerapkan mekanisme kriptografi untuk mencegah pengungkapan CUI tidak sah selama transisi kecuali jika dilindungi oleh pengamanan fisik alternatif. | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Integritas Sistem dan Informasi | 3.14.1 | Identifikasi, laporkan, dan perbaiki kelemahan sistem secara tepat waktu. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| Pengelolaan Konfigurasi | 3.4.1 | Menetapkan dan memelihara konfigurasi dasar dan inventaris sistem organisasi (termasuk perangkat keras, perangkat lunak, firmware, dan dokumentasi) di seluruh siklus hidup proses pengembangan sistem masing-masing. | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| Pengelolaan Konfigurasi | 3.4.2 | Membuat dan menerapkan pengaturan konfigurasi keamanan untuk produk teknologi informasi yang digunakan dalam sistem organisasi. | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
NIST SP 800-53 Rev. 4
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan terhadap Peraturan Azure Policy - NIST SP 800-53 Rev. 4. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Untuk meninjau bagaimana Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - NIST SP 800-53 Rev. 5. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat NIST SP 800-53 Rev. 5.
Tema NL BIO Cloud
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Terhadap Peraturan Azure Policy untuk Tema NL BIO Cloud. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Keamanan Informasi Garis Besar Keamanan Cyber Pemerintah - Digital Government (digitaleoverheid.nl).
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| C.04.3 Pengelolaan kerentanan Teknis - Garis Waktu | C.04.3 | Jika probabilitas penyalahgunaan dan kerusakan yang diharapkan keduanya tinggi, patch dipasang tidak lebih dari dalam seminggu. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| C.04.6 Pengelolaan kerentanan Teknis - Garis Waktu | C.04.6 | Kelemahan teknis dapat diperbaiki dengan melakukan manajemen patch tepat waktu. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | 4.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Kluster Kube tidak boleh menggunakan namespace layanan default | 4.1.0 |
| C.04.7 Pengelolaan kerentanan Teknis - Dievaluasi | C.04.7 | Evaluasi kerentanan teknis dicatat dan dilaporkan. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| Perlindungan data U.05.1 - Langkah-langkah kriptografi | U.05.1 | Transportasi data diamankan dengan kriptografi di mana manajemen kunci dilakukan oleh CSC itu sendiri jika memungkinkan. | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Perlindungan data U.05.2 - Langkah-langkah kriptografi | U.05.2 | Data yang disimpan dalam layanan awan harus dilindungi ke status seni terbaru. | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
| Perlindungan data U.05.2 - Langkah-langkah kriptografi | U.05.2 | Data yang disimpan dalam layanan awan harus dilindungi ke status seni terbaru. | Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | 1.0.1 |
| Pemisahan data U.07.1 - Terisolasi | U.07.1 | Isolasi data permanen adalah arsitektur multi-penyewa. Patch diwujudkan dengan cara yang terkontrol. | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Pemisahan data U.07.3 - Fitur manajemen | U.07.3 | U.07.3 - Hak istimewa untuk melihat atau memodifikasi data CSC dan/atau kunci enkripsi diberikan dengan cara yang terkontrol dan penggunaan dicatat. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Perlindungan Malware U.09.3 - Deteksi, pencegahan, dan pemulihan | U.09.3 | Perlindungan malware berjalan pada lingkungan yang berbeda. | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| Akses U.10.2 ke layanan dan data IT - Pengguna | U.10.2 | Di bawah tanggung jawab CSP, akses diberikan kepada administrator. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| U.10.3 Akses ke layanan dan data IT - Pengguna | U.10.3 | Hanya pengguna dengan peralatan terautentikasi yang dapat mengakses layanan dan data IT. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| U.10.5 Akses ke layanan dan data IT - Kompeten | U.10.5 | Akses ke layanan dan data IT dibatasi oleh langkah-langkah teknis dan telah diterapkan. | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| U.11.1 Cryptoservices - Kebijakan | U.11.1 | Dalam kebijakan kriptografi, setidaknya subjek sesuai dengan BIO telah dijabarkan. | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| U.11.2 Cryptoservices - Langkah-langkah kriptografi | U.11.2 | Dalam kasus sertifikat PKIoverheid, gunakan persyaratan PKIoverheid untuk manajemen kunci. Dalam situasi lain, gunakan ISO11770. | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| U.11.3 Cryptoservices - Terenkripsi | U.11.3 | Data sensitif selalu dienkripsi, dengan kunci privat yang dikelola oleh CSC. | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
| U.11.3 Cryptoservices - Terenkripsi | U.11.3 | Data sensitif selalu dienkripsi, dengan kunci privat yang dikelola oleh CSC. | Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | 1.0.1 |
| Pengelogan dan pemantauan U.15.1 - Peristiwa dicatat | U.15.1 | Pelanggaran aturan kebijakan dicatat oleh CSP dan CSC. | Log sumber daya dalam Azure Kubernetes Service harus diaktifkan | 1.0.0 |
Reserve Bank of India - Kerangka kerja TI untuk NBFC
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - Reserve Bank of India - Kerangka kerja TI untuk NBFC. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Reserve Bank of India - Kerangka kerja TI untuk NBFC.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Tata Kelola TI | 1 | IT Governance-1 | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
| Informasi dan Keamanan Cyber | 3.1.a | Identifikasi dan Klasifikasi Aset Informasi-3.1 | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Informasi dan Keamanan Cyber | 3.1.c | Kontrol Akses Berbasis Peran-3.1 | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Informasi dan Keamanan Cyber | 3.1.g | Jejak-3.1 | Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | 2.0.1 |
| Informasi dan Keamanan Cyber | 3.3 | Manajemen Kerentanan-3.3 | Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | 1.0.2 |
Cadangan Kerangka Kerja IT Bank of India untuk Bank v2016
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Terhadap Peraturan Azure Policy - RBI ITF Banks v2016. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat RBI ITF Banks v2016 (PDF).
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Patch/Kerentanan & Manajemen Perubahan | Patch/Kerentanan & Manajemen Perubahan-7.7 | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 | |
| Manajemen Defenceand Real-Timethreat Lanjutan | Advanced Real-Timethreat Defenceand Management-13.2 | Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | 2.0.1 | |
| Kontrol / Manajemen Akses Pengguna | Kontrol Akses Pengguna / Manajemen-8.1 | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
RMIT Malaysia
Untuk meninjau bagaimana Azure Policy bawaan yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Kepatuhan Peraturan Azure Policy - RMIT Malaysia. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat RMIT Malaysia.
SWIFT CSP-CSCF v2021
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Terhadap Peraturan Azure Policy untuk SWIFT CSP-CSCF v2021. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat SWIFT CSP CSCF v2021.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Perlindungan Lingkungan SWIFT | 1.1 | Perlindungan Lingkungan SWIFT | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Perlindungan Lingkungan SWIFT | 1.4 | Pembatasan Akses Internet | Rentang IP resmi harus ditentukan di Layanan Kube | 2.0.1 |
| Mengurangi Permukaan serangan dan Kerentanan | 2.1 | Keamanan Aliran Data Internal | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Mendeteksi Aktivitas Anomali ke Sistem atau Rekaman Transaksi | 6.2 | Integritas Perangkat Lunak | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
| Mendeteksi Aktivitas Anomali ke Sistem atau Rekaman Transaksi | 6.5A | Deteksi Penyusupan | Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | 1.0.1 |
Kontrol Sistem dan Organisasi (SOC) 2
Untuk meninjau bagaimana bawaan Azure Policy yang tersedia untuk semua layanan Azure dipetakan ke standar kepatuhan ini, lihat Detail Kepatuhan Terhadap Peraturan Azure Policy untuk Kontrol Sistem dan Organisasi (SOC) 2. Untuk informasi selengkapnya tentang standar kepatuhan ini, lihat Kontrol Sistem dan Organisasi (SOC) 2.
| Domain | ID Kontrol | Judul kontrol | Kebijakan (portal Microsoft Azure) |
Versi kebijakan (GitHub) |
|---|---|---|---|---|
| Kontrol Akses Logis dan Fisik | CC6.1 | Perangkat lunak, infrastruktur, dan arsitektur keamanan akses logis | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.3 | Akses berbasis Rol dan hak istimewa paling sedikit | Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | 1.0.3 |
| Kontrol Akses Logis dan Fisik | CC6.6 | Langkah-langkah keamanan terhadap ancaman di luar batas sistem | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.7 | Membatasi pergerakan informasi kepada pengguna yang berwenang | Cluster Kubernetes hanya dapat diakses melalui HTTPS | 8.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | 4.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | 5.1.0 |
| Kontrol Akses Logis dan Fisik | CC6.8 | Mencegah atau mendeteksi terhadap perangkat lunak yang tidak sah atau berbahaya | Kluster Kube tidak boleh menggunakan namespace layanan default | 4.1.0 |
| Operasi Sistem | CC7.2 | Memantau komponen sistem untuk perilaku anomali | Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | 2.0.1 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | 1.0.2 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | 9.2.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | 5.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | 6.1.1 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | 6.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | 9.2.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | 6.2.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | 6.1.1 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | 6.1.1 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | 6.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | 8.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | 9.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | 4.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | 7.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | 5.1.0 |
| Manajemen Perubahan | CC8.1 | Perubahan pada infrastruktur, data, dan perangkat lunak | Kluster Kube tidak boleh menggunakan namespace layanan default | 4.1.0 |
Langkah berikutnya
- Pelajari selengkapnya tentang Kepatuhan Terhadap Peraturan Azure Policy.
- Lihat bawaan pada repositori GitHub Azure Policy.