Элементы управления соответствием Политики Azure для Службы Azure Kubernetes (AKS)
Статья Соответствие нормативным требованиям в Политике Azure содержит определения инициатив (встроенные определения), созданные и управляемые Майкрософт, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Службы Azure Kubernetes (AKS).
Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Внимание
Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
Тесты производительности CIS для платформ Microsoft Azure 1.1.0
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8.5 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8.5 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 1.4.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8,7 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
CMMC уровня 3
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Управление доступом | AC.2.007 | Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Управление доступом | AC.2.016 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Управление конфигурацией | CM.2.062 | Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Целостность системы и данных | SI.1.210 | Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
FedRAMP — высокий уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте см. в статье FedRAMP High.
FedRAMP — средний уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь.
HIPAA HITRUST 9.2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье со сведениями о встроенной инициативе по обеспечению соответствия стандарту HIPAA HITRUST 9.2. Дополнительные сведения об этом стандарте соответствия см. на странице описания HIPAA HITRUST 9.2.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление правами | 1149.01c2System.9 — 01.c | Организация упрощает обмен информацией, позволяя полномочным пользователям определять права доступа бизнес-партнера, если такая свобода действия допускается организацией, и применять процессы, выполняемые вручную, или автоматические механизмы, помогающие пользователям в принятии решений по обмену информацией и совместной работе. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| 11 контроль доступа | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Авторизованный доступ к информационным системам | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| 12 Ведение журнала аудита и мониторинг | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Документированные операционные процедуры | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
Конфиденциальные политики microsoft Cloud для суверенитета
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в разделе Политика Azure сведения о соответствии нормативным требованиям для политик конфиденциальности базовых показателей суверенитета MCfS. Дополнительные сведения об этом стандарте соответствия см . в портфелях политик политики суверенитета Microsoft Cloud.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| SO.3 — ключи, управляемые клиентом | SO.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
Управление безопасностью в облаке Майкрософт
Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — microsoft cloud security benchmark.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Привилегированный доступ | PA-7 | Следуйте принципу администрирования с предоставлением минимальных прав | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Защита данных | DP-3 | Шифрование конфиденциальных данных во время передачи | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Ведение журналов и обнаружение угроз | LT-1 | Включение возможностей обнаружения угроз | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-2 | Включение функции обнаружения угроз для управления удостоверениями и доступом | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-3 | Включение ведения журнала для исследования безопасности | Журналы ресурсов в Службе Azure Kubernetes должны быть включены | 1.0.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Проведение аудита и внедрение безопасных конфигураций | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| Управление состоянием защиты и уязвимостью | PV-6 | Быстрое и автоматическое устранение уязвимостей | У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | 1.0.1 |
| Безопасность DevOps | DS-6 | Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps | У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.16 | Защита конфиденциальности неактивной контролируемой несекретной информации | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.8 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Целостность системы и данных | 3.14.1 | Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
NIST SP 800-53, ред. 4
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. См. дополнительные сведения о стандарте NIST SP 800-53, ред. 4.
NIST SP 800-53, ред. 5
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.
Тема облака NL BIO
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| C.04.3 Technical управление уязвимостями — временная шкала | C.04.3 | Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| C.04.6 Technical управление уязвимостями — временная шкала | C.04.6 | Технические недостатки можно устранить, своевременно выполняя управление исправлениями. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Защита данных U.05.1 — криптографические меры | U.05.1 | Транспорт данных защищается с помощью криптографии, где управление ключами выполняется самим CSC, если это возможно. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Разделение данных U.07.3 — функции управления | U.07.3 | U.07.3 . Привилегии для просмотра или изменения данных CSC и /или ключей шифрования предоставляются в управляемом порядке и использовании регистрируются. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования, по крайней мере, субъекты в соответствии с BIO были разработаны. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | Если сертификаты PKIoverheid используют требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Журналы ресурсов в Службе Azure Kubernetes должны быть включены | 1.0.0 |
Резервный банк Индии — ИТ-структура для NBFC
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление ИТ | 1 | Система управления ИТ-1 | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Информация и кибербезопасность | 3.1.a | Идентификация и классификация информационных ресурсов-3.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Информация и кибербезопасность | 3.1.c | Управление доступом на основе ролей-3.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Информация и кибербезопасность | 3.1.g | Отслеживание-3.1 | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Информация и кибербезопасность | 3,3 | Управление уязвимостями-3.3 | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
Резервная банк Индии ИТ-платформа для банков версии 2016
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — RBI ITF Banks версии 2016. Дополнительные сведения об этом стандарте соответствия см. в статье RBI ITF Banks версии 2016 (PDF).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 | |
| Расширенное управление обороной в режиме реального времени | Advanced Real-Timethreat Defenseand Management-13.2 | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 | |
| Пользователь контроль доступа / управление | Пользователь контроль доступа / Management-8.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
RMIT Malaysia
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в документе RMIT Malaysia.
ENS (Испания)
Чтобы узнать, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. Политика Azure сведения о соответствии нормативным требованиям для Испании ENS. Дополнительные сведения об этом стандарте соответствия см. в статье CCN-STIC 884.
SWIFT CSP-CSCF версии 2021
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в статье SWIFT CSP CSCF версии 2021.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Защита среды SWIFT | 1,1 | Защита среды SWIFT | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита среды SWIFT | 1.4 | Ограничение доступа к Интернету | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Сокращение направлений атак и уязвимостей | 2.1 | Безопасность Потока внутренних данных | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6,2 | Целостность программного обеспечения | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.5A | Обнаружение вторжений | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
Системные и организационные элементы управления (SOC) 2
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для системных и организационных элементов управления (SOC) 2. Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.3 | Доступ на основе Rol и минимальные привилегии | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.0.4 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| Системные операции | CC7.2 | Мониторинг системных компонентов для аномального поведения | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | 5.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 7.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
Следующие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
GitHub сайтында бізбен бірлесіп жұмыс істеу
Бұл мазмұнның көзін GitHub сайтында табуға болады. Онда сонымен бірге мәселелер мен өзгертулерді енгізу сұрауларын жасауға және қарап шығуға болады. Қосымша ақпарат алу үшін қатысушы нұсқаулығын қараңыз.
Azure Kubernetes Service