Condividi tramite


Controlli di conformità alle normative di Criteri di Azure per il servizio Azure Kubernetes

La conformità alle normative in Criteri di Azure fornisce definizioni di iniziative (predefinite) create e gestite da Microsoft, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza del servizio Azure Kubernetes.

È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.

Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Importante

Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
8 Altre considerazioni sulla sicurezza 8.5 Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
8 Altre considerazioni sulla sicurezza 8.5 Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
8 Altre considerazioni sulla sicurezza 8.7 Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4

CMMC Level 3

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso AC.1.001 Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Controllo dell’accesso AC.1.001 Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso AC.1.002 Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Controllo dell’accesso AC.1.002 Limitare l'accesso al sistema informatico ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso AC.2.007 Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso AC.2.016 Controllare il flusso di CUI in conformità alle autorizzazioni approvate. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Gestione della configurazione CM.2.062 Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Gestione della configurazione CM.3.068 Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Valutazione dei rischi RM.2.143 Correggere le vulnerabilità in conformità alla valutazione del rischio. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Protezione del sistema e delle comunicazioni SC.1.175 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Protezione del sistema e delle comunicazioni SC.3.177 Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni SC.3.183 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Integrità del sistema e delle informazioni SI.1.210 Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

FedRAMP High

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso AC-4 Applicazione del controllo dei flussi di informazioni Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Gestione della configurazione CM-6 Impostazioni di configurazione Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione CM-6 Impostazioni di configurazione Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione CM-6 Impostazioni di configurazione I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-7 (3) Punti di accesso Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-8 Riservatezza e integrità delle trasmissioni I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-8 (1) Protezione fisica crittografica o alternativa I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-12 Definizione e gestione di chiavi crittografiche Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni SC-28 Protezione delle informazioni inattive È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Protezione del sistema e delle comunicazioni SC-28 (1) Protezione crittografica È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Integrità del sistema e delle informazioni SI-2 Correzione degli errori I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

FedRAMP Moderate

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso AC-4 Applicazione del controllo dei flussi di informazioni Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Gestione della configurazione CM-6 Impostazioni di configurazione Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione CM-6 Impostazioni di configurazione Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione CM-6 Impostazioni di configurazione I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-7 (3) Punti di accesso Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-8 Riservatezza e integrità delle trasmissioni I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-8 (1) Protezione fisica crittografica o alternativa I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-12 Definizione e gestione di chiavi crittografiche Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni SC-28 Protezione delle informazioni inattive È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Protezione del sistema e delle comunicazioni SC-28 (1) Protezione crittografica È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Integrità del sistema e delle informazioni SI-2 Correzione degli errori I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

HIPAA HITRUST 9.2

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Gestione dei privilegi 1149.01c2System.9 - 01.c L'organizzazione facilita la condivisione di informazioni consentendo agli utenti autorizzati di determinare l'accesso di un partner aziendale quando è consentita la discrezionalità, come definito dall'organizzazione, e adottando processi manuali o meccanismi automatizzati per assistere gli utenti nelle decisioni riguardanti la condivisione di informazioni e la collaborazione. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
11 Controllo di accesso 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Accesso autorizzato ai sistemi informativi Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
12 Registrazione di controllo e monitoraggio 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Procedure operative documentate Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4

Criteri riservati di base di Microsoft Cloud for Sovereignty

Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
SO.3 - Chiavi gestite dal cliente SO.3 I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1

Microsoft Cloud Security Benchmark

Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza del cloud Microsoft, vedere i file di mapping Azure Security Benchmark.

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Sicurezza di rete NS-2 Proteggere i servizi cloud con controlli di rete Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Accesso con privilegi PA-7 Applicare all'amministrazione il principio dei privilegi minimi Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Protezione dei dati DP-3 Crittografare i dati sensibili in transito I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Registrazione e rilevamento delle minacce LT-1 Abilitare le funzionalità di rilevamento delle minacce I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Registrazione e rilevamento delle minacce LT-2 Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Registrazione e rilevamento delle minacce LT-3 Abilitare la registrazione per l'analisi della sicurezza I log delle risorse del servizio Azure Kubernetes devono essere abilitati 1.0.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato 4.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN 5.1.0
Gestione del comportamento e delle vulnerabilità PV-2 Controllare e applicare configurazioni sicure I cluster Kubernetes non devono usare lo spazio dei nomi predefinito 4.2.0
Gestione del comportamento e delle vulnerabilità PV-6 Correggere in modo rapido e automatico le vulnerabilità del software Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Sicurezza di DevOps DS-6 Applicare la sicurezza del carico di lavoro nel ciclo di vita di DevOps Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1

NIST SP 800-171 R2

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso 3.1.3 Controllare il flusso di CUI in conformità alle autorizzazioni approvate. Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni 3.13.1 Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni 3.13.10 Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni 3.13.16 Proteggere la riservatezza di CUI nello stato inattivo. È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Protezione del sistema e delle comunicazioni 3.13.2 Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni 3.13.5 Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni 3.13.6 Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni 3.13.8 Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Integrità del sistema e delle informazioni 3.14.1 Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0

NIST SP 800-53 Rev. 4

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso AC-3 (7) Controllo degli accessi in base al ruolo Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso AC-4 Applicazione del controllo dei flussi di informazioni Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Gestione della configurazione CM-6 Impostazioni di configurazione Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione CM-6 Impostazioni di configurazione Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione CM-6 Impostazioni di configurazione I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-7 (3) Punti di accesso Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-8 Riservatezza e integrità delle trasmissioni I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-8 (1) Protezione fisica crittografica o alternativa I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-12 Definizione e gestione di chiavi crittografiche Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni SC-28 Protezione delle informazioni inattive È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Protezione del sistema e delle comunicazioni SC-28 (1) Protezione crittografica È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Integrità del sistema e delle informazioni SI-2 Correzione degli errori I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Integrità del sistema e delle informazioni SI-2 (6) Rimozione di versioni precedenti di software/firmware I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

NIST SP 800-53 Rev. 5

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controllo dell’accesso AC-3 (7) Controllo degli accessi in base al ruolo Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso AC-4 Applicazione del controllo dei flussi di informazioni Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Gestione della configurazione CM-6 Impostazioni di configurazione Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione della configurazione CM-6 Impostazioni di configurazione Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione della configurazione CM-6 Impostazioni di configurazione I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione della configurazione CM-6 Impostazioni di configurazione I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione della configurazione CM-6 Impostazioni di configurazione I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Protezione del sistema e delle comunicazioni SC-7 Protezione dei limiti Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-7 (3) Punti di accesso Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione del sistema e delle comunicazioni SC-8 Riservatezza e integrità delle trasmissioni I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-8 (1) Protezione crittografica I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Protezione del sistema e delle comunicazioni SC-12 Definizione e gestione di chiavi crittografiche Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Protezione del sistema e delle comunicazioni SC-28 Protezione delle informazioni inattive È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Protezione del sistema e delle comunicazioni SC-28 (1) Protezione crittografica È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
Integrità del sistema e delle informazioni SI-2 Correzione degli errori I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Integrità del sistema e delle informazioni SI-2 (6) Rimozione di versioni precedenti di software e firmware I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

NL BIO Cloud Theme

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali C.04.3 Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali C.04.6 I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato 4.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN 5.1.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I cluster Kubernetes non devono usare lo spazio dei nomi predefinito 4.2.0
C.04.7 Gestione delle vulnerabilità tecniche - Valutato C.04.7 Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
U.05.1 Protezione dei dati - Misure crittografiche U.05.1 Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
U.05.2 Protezione dei dati - Misure crittografiche U.05.2 I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
U.05.2 Protezione dei dati - Misure crittografiche U.05.2 I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
U.07.1 Separazione dei dati - Isolato U.07.1 L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
U.07.3 Separazione dei dati - Funzionalità di gestione U.07.3 U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino U.09.3 La protezione antimalware viene eseguita in ambienti diversi. I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
U.10.2 Accesso ai servizi e ai dati IT - Utenti U.10.2 Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
U.10.3 Accesso ai servizi e ai dati IT - Utenti U.10.3 Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
U.10.5 Accesso ai servizi e ai dati IT - Competenza U.10.5 L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
U.11.1 Criptoservizi - Criteri U.11.1 Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
U.11.2 Criptoservizi - Misure crittografiche U.11.2 In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
U.11.3 Criptoservizi - Crittografia U.11.3 I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
U.11.3 Cryptoservices - Crittografati U.11.3 I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes 1.0.1
U.15.1 Registrazione e monitoraggio - Eventi registrati U.15.1 La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. I log delle risorse del servizio Azure Kubernetes devono essere abilitati 1.0.0

Reserve Bank of India, framework IT per NBFC

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Governance IT 1 Governance IT-1 I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Informazioni e sicurezza informatica 3.1.a Identificazione e classificazione delle risorse informative-3.1 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Informazioni e sicurezza informatica 3.1.c Controllo degli accessi in base al ruolo-3.1 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Informazioni e sicurezza informatica 3.1.g Trail-3.1 I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Informazioni e sicurezza informatica 3.3 Gestione delle vulnerabilità-3.3 I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2

Reserve Bank of India IT - Framework for Banks v2016

Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Patch/Vulnerabilità e gestione del cambiamento Patch/Vulnerabilità e gestione del cambiamento-7.7 Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Gestione e difesa avanzata dalle minacce in tempo reale Difesa e gestione avanzata delle minacce in tempo reale-13.2 I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Controllo di accesso utente/Gestione Controllo di accesso utente/Gestione-8.1 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4

RMIT Malaysia

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Crittografia 10.19 Crittografia - 10.19 Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Controllo dell’accesso 10.54 Controllo di accesso - 10.54 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso 10,55 Controllo di accesso - 10.55 I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Controllo dell’accesso 10,55 Controllo di accesso - 10.55 I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Controllo dell’accesso 10,55 Controllo di accesso - 10.55 I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Controllo dell’accesso 10,55 Controllo di accesso - 10.55 Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Controllo dell’accesso 10,55 Controllo di accesso - 10.55 I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Controllo dell’accesso 10.60 Controllo di accesso - 10.60 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso 10.61 Controllo di accesso - 10.61 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controllo dell’accesso 10.62 Controllo di accesso - 10.62 Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Gestione dei sistemi per patch e fine vita 10.65 Gestione dei sistemi per patch e fine vita - 10.65 I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile 1.0.2
Centro operazioni per la sicurezza (SOC) 11.17 Centro operazioni per la sicurezza (SOC) - 11.17 Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Misure di controllo sulla cybersecurity Appendice 5.5 Misure di controllo sulla cybersecurity - Appendice 5.5 I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti 5.2.0
Misure di controllo sulla cybersecurity Appendice 5.6 Misure di controllo sulla cybersecurity - Appendice 5.6 I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Misure di controllo sulla cybersecurity Appendice 5.6 Misure di controllo sulla cybersecurity - Appendice 5.6 Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Misure di controllo sulla cybersecurity Appendice 5.6 Misure di controllo sulla cybersecurity - Appendice 5.6 I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0

Spain ENS

Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per Spagna ENS. Per altre informazioni su questo standard di conformità, vedere CCN-STIC 884.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Misure protettive mp.s.3 Protezione dei servizi Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Framework operativo op.exp.2 Operazione Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Framework operativo op.exp.3 Operazione Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Framework operativo op.exp.4 Operazione Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Framework operativo op.exp.5 Operazione Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Framework operativo op.exp.6 Operazione I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Framework operativo op.exp.6 Operazione Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1
Framework operativo op.exp.6 Operazione Configurare i cluster del servizio Azure Kubernetes per abilitare il profilo Defender 4.3.0
Framework operativo op.exp.7 Operazione I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Framework operativo op.exp.8 Operazione I log delle risorse del servizio Azure Kubernetes devono essere abilitati 1.0.0
Framework operativo op.mon.3 Monitoraggio del sistema Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) 1.0.1

SWIFT CSP-CSCF v2021

Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Protezione dell'ambiente SWIFT 1.1 Protezione dell'ambiente SWIFT Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Protezione dell'ambiente SWIFT 1.4 Restrizione dell'accesso a Internet Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes 2.0.1
Ridurre la superficie di attacco e le vulnerabilità 2.1 Sicurezza interna del flusso di dati I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Rilevare attività anomale a sistemi o record delle transazioni 6.2 Integrità software Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1
Rilevare attività anomale a sistemi o record delle transazioni 6.5A Rilevamento intrusioni Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente 1.0.1

Controlli di sistema e organizzazione (SOC) 2

Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i Controlli del sistema e dell’organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2.

Domain ID controllo Titolo controllo Criteri
(Portale di Azure)
Versione del criterio
(GitHub)
Controlli di accesso logici e fisici CC6.1 Software di sicurezza, infrastruttura e architetture per l'accesso logico I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Controlli di accesso logici e fisici CC6.3 Controllo degli accessi in base al ruolo e privilegi minimi Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo 1.0.4
Controlli di accesso logici e fisici CC6.6 Misure di sicurezza contro minacce esterne ai limiti del sistema I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Controlli di accesso logici e fisici CC6.7 Limitazione dello spostamento delle informazioni agli utenti autorizzati I cluster Kubernetes devono essere accessibili solo tramite HTTPS 8.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato 4.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN 5.1.0
Controlli di accesso logici e fisici CC6.8 Prevenzione o rilevamento di software non autorizzato o dannoso I cluster Kubernetes non devono usare lo spazio dei nomi predefinito 4.2.0
Operazioni di sistema CC7.2 Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato 2.0.1
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster 1.0.2
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati 9.3.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host 5.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti 6.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti 6.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I contenitori del cluster Kubernetes devono usare solo le immagini consentite 9.3.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura 6.3.0)
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti 6.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati 6.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati 6.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite 8.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software Il cluster Kubernetes non deve consentire contenitori con privilegi 9.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato 4.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori 7.2.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN 5.1.0
Gestione delle modifiche CC8.1 Modifiche all'infrastruttura, ai dati e al software I cluster Kubernetes non devono usare lo spazio dei nomi predefinito 4.2.0

Passaggi successivi