Criteri di Azure definizioni predefinite per Kubernetes abilitato per Azure Arc
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Kubernetes con abilitazione di Azure Arc. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Kubernetes con abilitazione di Azure Arc
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud | L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| [Anteprima]: l'estensione backup di Azure deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati nativa del cloud e sicura per i cluster del servizio Azure Kubernetes | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i cluster Kubernetes con abilitazione a Azure Arc per installare l'estensione Microsoft Defender per il Cloud | L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.3.0-preview |
| [Anteprima]: Installare l'estensione Backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) con un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes contenenti un tag specificato. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: installare l'estensione backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) senza un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes senza un valore di tag specifico. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster Kubernetes devono limitare la creazione del tipo di risorsa specificato | Il tipo di risorsa Kubernetes specificato non deve essere distribuito in uno spazio dei nomi specifico. | Audit, Deny, Disabled | 2.3.0-anteprima |
| L'estensione di Criteri di Azure deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc | L'estensione dei criteri d Azure per Azure Arc fornisce un'applicazione su larga scala e salvaguardie sui cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| I cluster Kubernetes abilitati per Azure Arc devono essere configurati con un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati per Arc devono aver installata l'estensione Open Service Mesh | L'estensione Open Service Mesh fornisce tutte le funzionalità standard di service mesh per la sicurezza, la gestione del traffico e l'osservabilità dei servizi applicativi. Per altre informazioni, vedere: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati ad Azure Arc devono avere l'estensione Strimzi Kafka installata | L'estensione Kafka Strimzi fornisce agli operatori di installare Kafka per la creazione di pipeline di dati in tempo reale e applicazioni di streaming con funzionalità di sicurezza e osservabilità. Per altre informazioni, vedere qui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con abilitazione per Azure Arc per installare l'estensione di Criteri di Azure | Implementa l'estensione di Azure Policy per Azure Arc per fornire applicazioni su scala ridotta e proteggere i vostri cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes abilitati per Azure Arc per usare un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando l'origine del contenitore e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e il certificato CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con l'origine del contenitore Flux v2 specificata usando segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti HTTPS | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti SSH | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Assicurare che per i contenitori del cluster siano configurati probe di conformità o di attività | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.3.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limita i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Audit, Deny, Disabled | 3.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e contenitori del cluster Kubernetes devono usare solo le opzioni SELinux consentite | I pod e contenitori devono usare solo le opzioni SELinux consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono utilizzare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Audit, Deny, Disabled | 2.2.0 |
| I contenitori Windows del cluster Kubernetes non devono effettuare l'overcommit di CPU e memoria | Le richieste di risorse contenitore di Windows devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se viene eseguito il provisioning eccessivo della memoria di Windows, le pagine verranno elaborate su disco, che può rallentare le prestazioni, anziché terminare il contenitore con memoria insufficiente | Audit, Deny, Disabled | 2.2.0 |
| I contenitori windows del cluster Kubernetes non devono essere eseguiti come ContainerAdministrator | Impedire l'utilizzo di ContainerAdministrator come utente per eseguire i processi del contenitore per pod o contenitori Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.2.0 |
| I contenitori Windows del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare l'utente che i pod e i contenitori di Windows possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows che consentono di migliorare la sicurezza degli ambienti Kubernetes. | Audit, Deny, Disabled | 2.2.0 |
| I pod Windows del cluster Kubernetes non devono eseguire contenitori HostProcess | Impedire l'accesso privilegiato al nodo Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica dell'endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.2.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono usare driver Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner ad albero StorageClass deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
| Le risorse Kubernetes devono avere annotazioni obbligatorie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.