Definisi bawaan Azure Policy untuk Kubernetes dengan Azure Arc diaktifkan
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Kubernetes dengan Azure Arc diaktifkan. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Kubernetes yang mendukung Azure Arc
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Azure Backup harus diinstal di kluster AKS | Pastikan penginstalan perlindungan ekstensi cadangan di Kluster AKS Anda untuk memanfaatkan Azure Backup. Azure Backup for AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menginstal ekstensi Microsoft Defender untuk Cloud | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Nonaktif | 7.1.0-preview |
| [Pratinjau]: Kluster Kubernetes harus membatasi pembuatan jenis sumber daya yang diberikan | Jenis sumber daya Kubernetes yang diberikan tidak boleh disebarkan di namespace layanan tertentu. | Audit, Tolak, Dinonaktifkan | 2.2.0-pratinjau |
| Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy | Ekstensi Azure Policy untuk Azure Arc menyediakan penegakan dan perlindungan skala besar pada kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Kluster kubernetes dengan dukungan Azure Arc harus dikonfigurasi dengan Cakupan Azure Arc Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster Kubernetes yang didukung Azure Arc harus memasang ekstensi Open Service Mesh | Ekstensi Open Service Mesh menyediakan semua kemampuan jala layanan standar untuk keamanan, manajemen lalu lintas, dan observabilitas layanan aplikasi. Pelajari lebih lanjut di sini: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Strimzi Kafka | Ekstensi Strimzi Kafka menyediakan operator untuk menginstal Kafka untuk membangun alur data real time dan aplikasi streaming dengan kemampuan keamanan dan pengamatan. Pelajari lebih lanjut di sini: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menginstal ekstensi Azure Policy | Sebarkan ekstensi Azure Policy untuk Azure Arc untuk menyediakan penegakan skala dan melindungi kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menggunakan Cakupan Azure Arc Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi penginstalan ekstensi Flux pada kluster Kubernetes | Pasang ekstensi Flux pada kluster Kubernetes untuk mengaktifkan penyebaran 'fluxconfigurations' di kluster | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi Flux v2 menggunakan sumber dan rahasia Wadah di KeyVault | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan SecretKey Wadah yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan Sertifikat OS HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan Sertifikat OS HTTPS. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci HTTPS yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia SSH | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git publik | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan sumber Wadah Flux v2 tertentu menggunakan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia HTTPS | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan pengguna HTTPS dan rahasia kunci yang tersimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi GitOps yang ditentukan tanpa rahasia | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia SSH | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Pastikan kontainer kluster memiliki probe kesiapan atau keaktifan yang dikonfigurasi | Kebijakan ini menerapkan bahwa semua pod memiliki probe kesiapan dan/atau keaktifan yang dikonfigurasi. Jenis Probe dapat berupa tcpSocket, httpGet dan exec. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kontainer kluster Kubernetes tidak boleh menggunakan antarmuka sysctl terlarang | Kontainer tidak boleh menggunakan antarmuka sysctl terlarang dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.0 |
| Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan ProcMountType yang diizinkan | Kontainer Pod hanya dapat menggunakan ProcMountTypes yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.1 |
| Kontainer kluster Kubernetes hanya boleh menggunakan kebijakan tarik yang diizinkan | Batasi kebijakan tarik kontainer untuk mengatur agar kontainer hanya menggunakan gambar yang diizinkan pada penyebaran | Audit, Tolak, Dinonaktifkan | 3.1.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan profil seccomp yang diizinkan | Kontainer Pod hanya dapat menggunakan profil seccomp yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Volume FlexVolume pod kluster Kube hanya boleh menggunakan driver yang diizinkan | Volume FlexVolume pod hanya boleh menggunakan driver yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.1 |
| Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Pod dan kontainer kluster Kubernetes hanya boleh menggunakan opsi SELinux yang diizinkan | Pod dan kontainer hanya boleh menggunakan opsi SELinux yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Pod kluster Kubernetes hanya boleh menggunakan jenis volume yang diizinkan | Pod hanya dapat menggunakan jenis volume yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.1 |
| Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.0 |
| Pod kluster Kube harus menggunakan label yang ditentukan | Gunakan label yang ditentukan untuk mengidentifikasi pod dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.0 |
| Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
| Layanan kluster Kube hanya boleh menggunakan IP eksternal yang diizinkan | Gunakan IP eksternal yang diizinkan untuk menghindari potensi serangan (CVE-2020-8554) pada kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.1.0 |
| Kluster Kubernetes tidak boleh menggunakan pod polos | Memblokir penggunaan Pod polos. Pod polos tidak akan dijadwalkan ulang jika terjadi kegagalan simpul. Pod harus dikelola oleh Deployment, Replicset, Daemonset, atau Jobs | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Kontainer Windows kluster Kubernetes tidak boleh menggunakan cpu dan memori berlebihan | Permintaan sumber daya kontainer Windows harus kurang atau sama dengan batas sumber daya atau tidak ditentukan untuk menghindari kelebihan. Jika memori Windows disediakan secara berlebihan, itu akan memproses halaman dalam disk - yang dapat memperlambat performa - alih-alih mengakhiri kontainer yang kehabisan memori | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Kontainer Windows kluster Kubernetes tidak boleh berjalan sebagai ContainerAdministrator | Cegah penggunaan ContainerAdministrator sebagai pengguna untuk menjalankan proses kontainer untuk pod atau kontainer Windows. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Kontainer Windows kluster Kubernetes hanya boleh berjalan dengan pengguna dan grup pengguna domain yang disetujui | Kontrol pengguna yang dapat digunakan pod dan Kontainer Windows untuk dijalankan di Kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod pada node Windows yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
| Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.1.0 |
| Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.0 |
| Kluster Kubernetes tidak boleh mengizinkan izin pengeditan titik akhir ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit tidak boleh mengizinkan izin pengeditan titik akhir karena CVE-2021-25740, izin Titik Akhir & EndpointSlice memungkinkan penerusan lintas-Namespace, https://github.com/kubernetes/kubernetes/issues/103675. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Dinonaktifkan | 3.1.0 |
| Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube tidak boleh menggunakan kemampuan keamanan tertentu | Cegah kemampuan keamanan tertentu pada kluster Kube untuk mencegah hak istimewa yang tidak diberikan pada sumber daya Pod. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube tidak boleh menggunakan namespace layanan default | Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.1.0 |
| Kluster Kubernetes harus menggunakan StorageClass driver Container Storage Interface(CSI) | Container Storage Interface (CSI) adalah standar untuk mengekspos blok abritrer dan sistem penyimpanan file ke beban kerja kontainer pada Kube. StorageClass pemrovisi dalam-pohon tidak akan digunakan lagi sejak AKS versi 1.21. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Tolak, Dinonaktifkan | 2.2.0 |
| Sumber daya Kubernetes harus memiliki anotasi yang diperlukan | Pastikan bahwa anotasi yang diperlukan dilampirkan pada jenis sumber daya Kubernetes tertentu untuk meningkatkan manajemen sumber daya dari sumber daya Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 3.1.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.