次の方法で共有


Azure Kubernetes Service 用の Azure Policy 組み込み定義

このページは、Azure Kubernetes Service 用の Azure Policy 組み込みポリシー定義のインデックスです。 他のサービス用の Azure Policy 組み込みについては、Azure Policy 組み込み定義に関するページをご覧ください。

各組み込みポリシー定義の名前は、Azure portal のポリシー定義にリンクしています。 [バージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

イニシアティブ

名前 説明 ポリシー Version
[プレビュー]: イメージの整合性を使用して、信頼されたイメージのみがデプロイされるようにする AKS クラスター上で Image Integrity と Azure Policy のアドオンを有効にすることで、Image Integrity を使って、AKS クラスターが信頼できるイメージのみをデプロイするようにします。 Image Integrity を使ってデプロイ時にイメージが署名されているかどうかを検証するには、Image Integrity アドオンと Azure Policy アドオンの両方が前提条件です。 詳しくは、https://aka.ms/aks/image-integrity を参照してください。 3 1.1.0-preview
[プレビュー]: デプロイ セーフガードは、AKS で推奨されるベスト プラクティスに向けて開発者をガイドするのに役立つ必要がある Azure Kubernetes Service (AKS) によって推奨される Kubernetes のベスト プラクティスのコレクション。 最適なエクスペリエンスを得るために、デプロイ セーフガードを使用して、このポリシー イニシアチブ (https://aka.ms/aks/deployment-safeguards) を割り当てます。 AKS 用 Azure Policy アドオンは、これらのベスト プラクティスをクラスターに適用するための前提条件です。 Azure Policy アドオンを有効にする手順については、aka.ms/akspolicydoc を参照してください 19 1.7.0-preview
Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティ ベースライン標準 このイニシアチブには、Kubernetes クラスター ポッドのセキュリティ ベースライン標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 5 1.4.0
Linux ベースのワークロードの Kubernetes クラスター ポッドのセキュリティで制限された標準 このイニシアチブには、Kubernetes クラスター ポッドのセキュリティで制限された標準のポリシーが含まれています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 8 2.5.0

ポリシーの定義

Microsoft.ContainerService

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: [イメージの整合性] Kubernetes クラスターでは、表記によって署名されたイメージのみを使用する必要があります 表記によって署名されたイメージを使用して、イメージが信頼できるソースから取得されるものであり、悪意を持って変更されないようにします。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 Audit、Disabled 1.0.0-preview
[プレビュー]: Azure Backup 拡張機能を AKS クラスターにインストールする必要がある Azure Backup を活用するには、AKS クラスターにバックアップ拡張機能の保護がインストールされているようにします。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: AKS クラスターに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、AKS クラスターを確実に保護します。 AKS 用 Azure Backup は、AKS クラスター向けの安全でクラウド ネイティブなデータ保護ソリューションです。 AuditIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Azure Kubernetes Service マネージド クラスターをゾーン冗長にする必要がある Azure Kubernetes Service マネージド クラスターをゾーン冗長にするかどうかを構成できます。 このポリシーは、クラスターなのノード プールをチェックし、すべてのノード プールに対して可用性ゾーンが設定されていることを確認します。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: 個々のノードは編集できない 個々のノードは編集できません。 ユーザーは個々のノードを編集しないでください。 ノード プールを編集してください。 個々のノードを変更すると、設定の不整合、運用上の課題、潜在的なセキュリティ リスクにつながる可能性があります。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: Azure Kubernetes Service にイメージの整合性をデプロイする Image Integrity と Policy の両アドオンを Azure Kubernetes クラスターにデプロイしてください。 詳細については、https://aka.ms/aks/image-integrity を参照してください。 DeployIfNotExists、Disabled 1.0.5-preview
[プレビュー]: 特定のタグが付いた AKS クラスター (マネージド クラスター) に、Azure Backup の拡張機能をインストールします。 Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグを含むすべての AKS クラスターに、バックアップ拡張機能のインストールを実施します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: 特定のタグが付いていない AKS クラスター (マネージド クラスター) に、 Azure Backup の拡張機能をインストールします。 Azure Backup の拡張機能のインストールは、AKS クラスターを保護するための前提条件です。 特定のタグ値を持たないすべての AKS クラスターに、バックアップ拡張機能のインストールを適用します。 これを行うと、大規模な AKS クラスターのバックアップを管理するのに役立ちます。 AuditIfNotExists、DeployIfNotExists、Disabled 1.0.0-preview
[プレビュー]: Kubernetes クラスター コンテナー イメージに preStop フックを含める必要がある ポッドのシャットダウン中にプロセスを正常に終了するには、コンテナー イメージに preStop フックが含まれている必要があります。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: Kubernetes クラスター コンテナー イメージに最新のイメージ タグを含めないようにする コンテナー イメージで Kubernetes の最新のタグを使用しないようにする必要があります。これは、明示的なコンテナー イメージとバージョン管理されたコンテナー イメージを使用して、再現性を確保し、意図しない更新を防ぎ、デバッグとロールバックを容易にするためのベスト プラクティスです。 Audit、Deny、Disabled 1.0.0-preview
[プレビュー]: イメージのプル シークレットが存在する場合にのみ Kubernetes クラスター コンテナーによってイメージがプルされる必要がある コンテナーのイメージのプルを制限して ImagePullSecrets の存在を強制し、Kubernetes クラスター内のイメージへの安全で承認されたアクセスを確保します Audit、Deny、Disabled 1.1.0-preview
[プレビュー]: Kubernetes クラスター サービスでは一意のセレクターを使用する必要がある 名前空間内のサービスが一意のセレクターを持つようにします。 一意のサービス セレクターを使用すると、名前空間内の各サービスが特定の条件に基づいて一意に識別可能になります。 このポリシーは、Gatekeeper 経由でイングレス リソースを OPA に同期します。 適用する前に、Gatekeeper ポッドのメモリ容量を超えないことを確認します。 パラメーターは、特定の名前空間に適用されますが、すべての名前空間にわたって、その種類のすべてのリソースを同期します。 現在、Kubernetes Service (AKS) のプレビュー段階です。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: Kubernetes クラスターでは、正確なポッド中断バジェットが実装される必要がある ポッド中断予算の障害を防ぎ、運用ポッドの最小数を確保します。 詳細については、Kubernetes の公式ドキュメントを参照してください。 Gatekeeper データ レプリケーションに依存し、それにスコープされているすべてのイングレス リソースを OPA に同期します。 このポリシーを適用する前に、同期されたイングレス リソースによってメモリ容量が圧迫されないようにします。 パラメーターは特定の名前空間を評価しますが、名前空間間でその種類のすべてのリソースが同期されます。注: 現在、Kubernetes Service (AKS) のプレビュー段階です。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: Kubernetes クラスターでは特定のリソースの種類の作成を制限する必要がある 特定の Kubernetes リソースの種類を、特定の名前空間にデプロイしないようにします。 Audit、Deny、Disabled 2.2.0-preview
[プレビュー]: アンチ アフィニティ ルール セットが必要 このポリシーにより、クラスター内の異なるノードでポッドがスケジュールされます。 アンチアフィニティ ルールを適用することで、いずれかのノードが使用できなくなった場合でも可用性が維持されます。 ポッドは引き続き他のノードで実行され、回復性が向上します。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: AKS 特有のラベルがない 顧客が AKS 固有のラベルを適用できないようにします。 AKS では、AKS 所有コンポーネントを示すために、kubernetes.azure.com がプレフィックスされたラベルが使用されます。 顧客はこれらのラベルを使用しないでください。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: 予約済みのシステム プール テイント CriticalAddonsOnly テイントをシステム プールのみに制限します。 AKS は CriticalAddonsOnly テイントを使用して、お客様のポッドをシステム プールから遠ざけます。 これにより、AKS コンポーネントと顧客ポッドが明確に分離され、CriticalAddonsOnly テイントを許容しない場合に顧客ポッドが削除されるのを防ぐことができます。 Audit、Deny、Disabled 1.1.1-preview
[プレビュー]: CriticalAddonsOnly テイントをシステム プールのみに制限します。 ユーザー プールからのユーザー アプリの削除を回避し、ユーザー プールとシステム プール間の懸念事項の分離を維持するには、"CriticalAddonsOnly" テイントをユーザー プールに適用しないようにします。 Mutate、Disabled 1.1.0-preview
[プレビュー]: Kubernetes クラスター コンテナーの CPU 制限を既定値に設定します (存在しない場合)。 Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーの CPU 制限を設定します。 Mutate、Disabled 1.1.1-preview
[プレビュー]: Kubernetes クラスター コンテナーのメモリ制限を既定値に設定します (存在しない場合)。 Kubernetes クラスターでのリソース枯渇攻撃を防ぐためにコンテナーのメモリ制限を設定します。 Mutate、Disabled 1.1.1-preview
[プレビュー]: PodDisruptionBudget リソースの maxUnavailable ポッドを 1 に設定する 使用できないポッドの最大値を 1 に設定すると、中断中にアプリケーションまたはサービスを使用できるようになります Mutate、Disabled 1.1.0-preview
[プレビュー]: init コンテナー内のポッド仕様に readOnlyRootFileSystem が設定されていない場合は true に設定します。 readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込むのを防ぐことでセキュリティが向上します。 これは Linux コンテナーに対してのみ機能します。 Mutate、Disabled 1.1.0-preview
[プレビュー]: ポッド仕様の readOnlyRootFileSystem が設定されていない場合は true に設定します。 readOnlyRootFileSystem を true に設定すると、コンテナーがルート ファイルシステムに書き込まないようにすることでセキュリティが向上します Mutate、Disabled 1.1.0-preview
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 Audit、Disabled 2.0.1
Azure Kubernetes クラスターで Container Storage Interface (CSI) を有効にする必要がある Container Storage Interface (CSI) は、Azure Kubernetes Service 上のコンテナー化されたワークロードへの任意のブロックとファイル ストレージ システムの公開に関する標準です。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes クラスターでキー管理サービス (KMS) を有効にする必要がある Kubernetes クラスターのセキュリティのために etcd での保存時にシークレット データを暗号化するため、キー管理サービス (KMS) を使います。 詳細については、https://aka.ms/aks/kmsetcdencryption を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes クラスターでは Azure CNI を使用する必要がある Azure CNI は、Azure ネットワーク ポリシー、Windows ノード プール、仮想ノード アドオンなど、一部の Azure Kubernetes Service 機能の前提条件です。 詳細については、https://aka.ms/aks-azure-cni を参照してください Audit、Disabled 1.0.1
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする必要がある コマンドの呼び出しを無効にすると、制限されたネットワーク アクセスや Kubernetes のロールベースのアクセス制御のバイパスを回避してセキュリティを強化できます Audit、Disabled 1.0.1
Azure Kubernetes Service クラスターでクラスター自動アップグレードを有効にする必要がある AKS クラスター自動アップグレードで、クラスターを常に最新の状態に保ち、AKS やアップストリーム Kubernetes が提供する最新の機能やパッチを見逃さないようにすることができます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes Service クラスターでイメージ クリーナーを有効にする必要がある イメージ クリーナーでは、脆弱性のある使用されていないイメージの自動識別および削除が実行されます。これにより、古くなったイメージによるリスクが軽減され、それらをクリーンアップするのに必要な時間が短縮されます。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes Service クラスターでは Microsoft Entra ID 統合が有効になっている必要がある ユーザーの ID またはディレクトリ グループ メンバーシップに基づいて Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) を構成すると、AKS マネージド Microsoft Entra ID 統合で、クラスターへのアクセスを管理できます。 詳細については、https://aka.ms/aks-managed-aad を参照してください。 Audit、Disabled 1.0.2
Azure Kubernetes Service クラスターでノード OS 自動アップグレードを有効にする必要がある AKS ノード OS 自動アップグレードにより、ノード レベルの OS セキュリティ更新プログラムが制御されます。 詳細については、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes Service クラスターでワークロード ID を有効にする必要がある ワークロード ID を使用すると、各 Kubernetes ポッドに一意の ID を割り当て、それを Azure Key Vault などの Azure AD で保護されたリソースに関連付けて、ポッド内からこれらのリソースに安全にアクセスできます。 詳細については、https://aka.ms/aks/wi を参照してください。 Audit、Disabled 1.0.0
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 Audit、Disabled 2.0.1
Azure Kubernetes Service クラスターでは、ローカル認証方法を無効にする必要があります ローカル認証方法を無効にすると、Azure Kubernetes Service クラスターの認証で Azure Active Directory ID のみを要求することにより、セキュリティが向上します。 詳細については、https://aka.ms/aks-disable-local-accounts を参照してください。 Audit、Deny、Disabled 1.0.1
Azure Kubernetes Service クラスターではマネージド ID を使用する必要がある マネージド ID を使用して、サービス プリンシパルを回り込み、クラスター管理を簡略化し、マネージド サービス プリンシパルに必要な複雑さを回避します。 詳細については、https://aka.ms/aks-update-managed-identities を参照してください Audit、Disabled 1.0.1
Azure Kubernetes Service プライベート クラスターを有効にする必要がある Azure Kubernetes Service クラスターのプライベート クラスター機能を有効にして、API サーバーとノード プールの間のトラフィックがプライベート ネットワーク上のみに保持されるようにします。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 Audit、Disabled 1.0.2
Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.3
Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 AuditIfNotExists、Disabled 1.0.1
Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1
Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 お使いの Azure Kubernetes Service クラスターで SecurityProfile.Defender を有効にすると、クラスターにエージェントがデプロイされ、セキュリティ イベント データが収集されます。 Microsoft Defender for Containers の詳細: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks DeployIfNotExists、Disabled 4.2.0
Kubernetes クラスターで Flux 拡張機能のインストールを構成する クラスター内で "fluxconfigurations" のデプロイを有効にするために、Kubernetes クラスターに Flux 拡張機能をインストールします DeployIfNotExists、Disabled 1.0.0
バケット ソースと KeyVault 内のシークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された Bucket SecretKey が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリと HTTPS CA 証明書を使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、HTTPS CA 証明書が必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.1
Git リポジトリと HTTPS シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された HTTPS キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリとローカル シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
Git リポジトリと SSH シークレットを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Key Vault に保存された SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
パブリック Git リポジトリを使用して Flux v2 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義された Git リポジトリからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
ローカル シークレットを使用して、指定された Flux v2 バケット ソースで Kubernetes クラスターを構成する Kubernetes クラスターに "fluxConfiguration" をデプロイして、定義されたバケットからワークロードと構成の信頼できるソースをクラスターが確実に取得できるようにします。 この定義には、Kubernetes クラスターに保存されているローカル認証シークレットが必要です。 手順については、https://aka.ms/GitOpsFlux2Policy を参照してください。 DeployIfNotExists、Disabled 1.0.0
HTTPS シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault に格納されている HTTPS ユーザーとキーのシークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
シークレットを使用しないで、指定した GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義にはシークレットは必要ありません。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
SSH シークレットを使用して、指定された GitOps 構成で Kubernetes クラスターを構成する Kubernetes クラスターに "sourceControlConfiguration" をデプロイして、定義された Git リポジトリからワークローと構成の信頼できる情報のソースをクラスターが確実に取得できるようにします。 この定義には Key Vault の SSH 秘密キー シークレットが必要です。 手順については、https://aka.ms/K8sGitOpsPolicy を参照してください。 auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled 1.1.0
必要な管理者グループ アクセスを使用して Microsoft Entra ID 統合 Azure Kubernetes Service クラスターを構成する Microsoft Entra ID 統合 AKS クラスターへの管理者アクセスを一元的に管理することにより、クラスターのセキュリティが確実に強化されます。 DeployIfNotExists、Disabled 2.1.0
Azure Kubernetes クラスターでノード OS 自動アップグレードを構成する ノード OS 自動アップグレードを使用して、Azure Kubernetes Service (AKS) クラスターのノード レベルの OS セキュリティ更新プログラムを制御します。 詳しくは、https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image を参照してください。 DeployIfNotExists、Disabled 1.0.1
デプロイ - Azure Kubernetes Service の診断設定を Log Analytics ワークスペースに構成する リソース ログをストリーミングするための Azure Kubernetes Service の診断設定を Log Analytics ワークスペースにデプロイします。 DeployIfNotExists、Disabled 3.0.0
Azure Policy アドオンを Azure Kubernetes Service クラスターにデプロイする Azure Policy アドオンを使用して、Azure Kubernetes Service (AKS) クラスターのコンプライアンスの状態を管理およびレポートします。 詳細については、「https://aka.ms/akspolicydoc」を参照してください。 DeployIfNotExists、Disabled 4.1.0
Azure Kubernetes Service にイメージ クリーナーをデプロイする Azure Kubernetes クラスターにイメージ クリーナーをデプロイします。 詳細については、https://aka.ms/aks/image-cleaner を参照してください。 DeployIfNotExists、Disabled 1.0.4
計画メンテナンスをデプロイして Azure Kubernetes Service (AKS) クラスターのアップグレードをスケジュールおよび制御する 計画メンテナンスを使用すると、週ごとのメンテナンス期間をスケジュールして、更新を実行し、ワークロードへの影響を最小限に抑えることができます。 スケジュールが設定されると、アップグレードは選択した期間内にのみ実行されます。 詳細については、https://aka.ms/aks/planned-maintenance を参照してください DeployIfNotExists、AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes Service クラスターでコマンドの呼び出しを無効にする コマンドの呼び出しを無効にすると、クラスターへの invoke-command アクセスを拒否してセキュリティを強化できます DeployIfNotExists、Disabled 1.2.0
クラスター コンテナーに readiness probe または liveness probe が構成されていることを確認する このポリシーでは、すべてのポッドに readiness probe または liveness probe が構成されていることが強制されます。 プローブの種類は、tcpSocket、httpGet、exec のいずれかになります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 このポリシーの使用方法については、https://aka.ms/kubepolicydoc を参照してください。 Audit、Deny、Disabled 3.2.0
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.2.0
[Kubernetes クラスター コンテナーでは、ホスト プロセス ID またはホスト IPC 名前空間を共有してはいけない](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F47a1ee2f-2a2a-4576-bf2a-e0e36709c2b8) ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes クラスター コンテナーでは、許可されていない sysctl インターフェイスを使用してはいけない コンテナーでは、許可されていない sysctl インターフェイスを Kubernetes クラスターで使用することはできません。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
[Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F511f5417-5d12-434d-ab2e-816901e72a5e) コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.1
[Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Fc26596ff-4d70-4e6a-9a30-c2506bd2f80c) Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.0
[Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Ffebd0533-8e55-448f-b837-bd0e06f16469) 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.2.0
Kubernetes クラスター コンテナーでは、許可されている ProcMountType のみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている ProcMountTypes のみを使用できます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.1
Kubernetes クラスター コンテナーでは、許可されているプル ポリシーのみを使用する必要がある コンテナーのプル ポリシーを制限して、デプロイで許可されているイメージのみを使用するようコンテナーに強制します。 Audit、Deny、Disabled 3.1.0
Kubernetes クラスター コンテナーでは、許可されている seccomp プロファイルのみを使用する必要がある ポッド コンテナーは、Kubernetes クラスターで許可されている seccomp プロファイルのみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.2.0
Kubernetes クラスター ポッドの FlexVolume ボリュームでは、許可されているドライバーのみを使用する必要がある ポッドの FlexVolume ボリュームでは、Kubernetes クラスターで許可されているドライバーのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.1
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.1
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.1
Kubernetes クラスターのポッドとコンテナーでは、許可されている SELinux オプションのみを使用する必要がある ポッドとコンテナーでは、Kubernetes クラスターで許可されている SELinux オプションのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes クラスターのポッドでは、許可されているボリュームの種類のみを使用する必要がある ポッドは、Kubernetes クラスター内で許可されているボリュームの種類のみを使用することができます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.1
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.0
Kubernetes クラスター ポッドでは、指定されたラベルを使用する必要がある 指定されたラベルを使用して、Kubernetes クラスター内のポッドを識別します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.0
Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある Kubernetes クラスターで潜在的な攻撃 (CVE-2020-8554) を回避するには、許可された外部 IP を使用します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Kubernetes クラスターでは、Naked Pod を使用しない Naked Pod の使用をブロックします。 ノード障害が発生した場合、Naked Pod は再スケジュールされません。 ポッドは、Deployment、Replicset、Daemonset、または Jobs で管理する必要があります Audit、Deny、Disabled 2.1.0
Kubernetes クラスターの Windows コンテナーでは CPU とメモリをオーバーコミットすることができない Windows コンテナー リソース要求は、オーバーコミットを回避するために、リソースの制限以下または未指定にする必要があります。 Windows メモリが過剰にプロビジョニングされている場合、メモリ不足でコンテナーを終了するのではなく、ディスク内のページが処理されるため、パフォーマンスが低下する可能性があります Audit、Deny、Disabled 2.1.0
Kubernetes クラスターの Windows コンテナーを ContainerAdministrator として実行することはできない Windows ポッドまたはコンテナーのコンテナー プロセスを実行するためのユーザーとして ContainerAdministrator を使用できないようにします。 この推奨事項は、Windows ノードのセキュリティを強化することを目的としています。 詳細については、「https://kubernetes.io/docs/concepts/windows/intro/」を参照してください。 Audit、Deny、Disabled 1.1.0
Kubernetes クラスター Windows コンテナーは、承認されたユーザーとドメイン ユーザー グループでのみ実行する必要がある Kubernetes クラスターで Windows ポッドとコンテナーを実行するために使用できるユーザーを制御します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした、Windows ノード上のポッド セキュリティ ポリシーの一部です。 Audit、Deny、Disabled 2.1.0
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.0
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 4.1.0
Kubernetes クラスターで cluster-admin ロールが、必要な場合にのみ使用されていることを確認する必要がある ロール 'cluster-admin' は、環境に対して幅広い機能を提供し、必要な場合にのみ使用する必要があります。 Audit、Disabled 1.0.0
Kubernetes クラスターでは、ロールとクラスター ロールでのワイルドカードの使用を最小限に抑える必要がある ワイルドカード '*' は、特定のロールには必要ないかもしれない広範なアクセス許可を付与するため、ワイルドカードの使用はセキュリティ上のリスクになる可能性があります。 ロールのアクセス許可が多すぎると、攻撃者や侵害されたユーザーによって、クラスター内のリソースへ不正アクセスを行うためにロールが悪用される可能性があります。 Audit、Disabled 1.0.0
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes クラスターで ClusterRole/system:aggregate-edit のエンドポイント編集アクセス許可を許可しない CVE-2021-25740 のため、ClusterRole/system:aggregate-to-edit でエンドポイント編集権限を許可しないでください。Endpoint および EndpointSlice 権限では、名前空間間の転送が許可されます (https://github.com/kubernetes/kubernetes/issues/103675)。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 Audit、Disabled 3.1.0
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes クラスターでは特定のセキュリティ機能を使用しない Pod リソースに対する無許可の特権を防ぐために、Kubernetes クラスターの特定のセキュリティ機能を停止します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 4.1.0
Kubernetes クラスターでは、Container Storage Interface (CSI) ドライバー StorageClass を使用する必要があります Container Storage Interface (CSI) は、Kubernetes のコンテナー化されたワークロードに任意のブロックおよびファイル ストレージ システムを公開する標準です。 AKS バージョン 1.21 以降、ツリー内プロビジョナー StorageClass は非推奨にする必要があります。 詳細については、https://aka.ms/aks-csi-driver を参照してください。 Audit、Deny、Disabled 2.2.0
Kubernetes クラスターでは内部ロード バランサーを使用する必要がある 内部ロード バランサーを使用することで、Kubernetes サービスを Kubernetes クラスターと同じ仮想ネットワークで実行されているアプリケーションからのみアクセス可能にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.0
Kubernetes リソースには必須の注釈が必要 Kubernetes リソースのリソース管理を向上させるために、必要な注釈が特定の Kubernetes リソースの種類にアタッチされていることを確認します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 Audit、Deny、Disabled 3.1.0
Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています Audit、Disabled 1.0.2
Azure Kubernetes Service でリソース ログを有効にする必要がある Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします AuditIfNotExists、Disabled 1.0.0
Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 Audit、Deny、Disabled 1.0.1

次のステップ