다음을 통해 공유


Azure Kubernetes Service에 대한 Azure Policy 기본 제공 정의

이 페이지는 Azure Kubernetes Service에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.

Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.

이니셔티브

속성 설명 정책 버전
[미리 보기]: 이미지 무결성을 사용하여 신뢰할 수 있는 이미지만 배포되도록 합니다. AKS 클러스터에서 이미지 무결성 및 Azure Policy 추가 기능을 사용하도록 설정하여 AKS 클러스터가 신뢰할 수 있는 이미지만 배포하도록 하려면 이미지 무결성을 사용합니다. 이미지 무결성 추가 기능과 Azure Policy 추가 기능은 모두 이미지 무결성을 사용하여 배포 시 이미지가 서명되었는지 확인하기 위한 필수 구성 요소입니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. 3 1.1.0 - 미리 보기
[미리 보기]: 배포 보호 장치는 개발자가 AKS 권장 모범 사례를 따르도록 안내하는 데 도움이 됩니다. AKS(Azure Kubernetes Service)에서 권장하는 Kubernetes 모범 사례 컬렉션입니다. 최상의 환경을 위해 배포 보호 조치를 사용하여 다음 정책 이니셔티브를 할당합니다. https://aka.ms/aks/deployment-safeguards. AKS용 Azure Policy 추가 기능은 이러한 모범 사례를 클러스터에 적용하기 위한 필수 구성 요소입니다. Azure Policy 추가 기능을 사용하도록 설정하는 방법에 대한 지침을 보려면 aka.ms/akspolicydoc로 이동합니다. 19 1.8.0-preview
Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 기준 표준 이 이니셔티브에는 Kubernetes 클러스터 Pod 보안 기준 표준에 대한 정책이 포함됩니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. 5 1.4.0
Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 제한 표준 이 이니셔티브에는 Kubernetes 클러스터 Pod 보안 제한 표준에 대한 정책이 포함됩니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. 8 2.5.0

정책 정의

Microsoft.ContainerService

속성
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: [이미지 무결성] Kubernetes 클러스터는 표기법으로 서명된 이미지만 사용해야 함 이미지가 신뢰할 수 있는 원본에서 왔으며 악의적으로 수정되지 않도록 표기법으로 서명된 이미지를 사용합니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. 감사, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: AKS 클러스터에 Azure Backup 확장을 설치해야 합니다. Azure Backup을 활용하려면 AKS 클러스터에 백업 확장의 보호 설치를 확인합니다. AKS용 Azure Backup은 AKS 클러스터를 위한 안전한 클라우드 기반 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: AKS 클러스터에 대해 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 AKS 클러스터를 보호합니다. AKS용 Azure Backup은 AKS 클러스터를 위한 안전한 클라우드 기반 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Azure Kubernetes Service 관리형 클러스터는 영역 중복이어야 합니다. Azure Kubernetes Service 관리형 클러스터는 영역 중복 여부에 관계없이 구성될 수 있습니다. 정책은 클러스터의 노드 풀을 확인하고 모든 노드 풀에 대해 가용성 영역이 설정되어 있는지 확인합니다. 감사, 거부, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 개별 노드를 편집할 수 없음 개별 노드를 편집할 수 없습니다. 사용자는 개별 노드를 편집해서는 안 됩니다. 노드 풀을 편집하세요. 개별 노드를 수정하면 일관되지 않은 설정, 운영 문제 및 잠재적인 보안 위험이 발생할 수 있습니다. 감사, 거부, 사용 안 함 1.3.0-preview
[미리 보기]: Azure Kubernetes Service에 이미지 무결성 배포 이미지 무결성 및 정책 추가 기능 Azure Kubernetes 클러스터를 모두 배포합니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. DeployIfNotExists, 사용 안 함 1.0.5-preview
[미리 보기]: 지정된 태그가 있는 AKS 클러스터(관리형 클러스터)에 Azure Backup 확장을 설치합니다. Azure Backup 확장을 설치하는 것은 AKS 클러스터를 보호하기 위한 필수 조건입니다. 지정된 태그를 포함하는 모든 AKS 클러스터에 백업 확장을 설치합니다. 이렇게 하면 AKS 클러스터의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 지정된 태그가 없는 AKS 클러스터(관리형 클러스터)에 Azure Backup 확장을 설치합니다. Azure Backup 확장을 설치하는 것은 AKS 클러스터를 보호하기 위한 필수 조건입니다. 특정 태그 값이 없는 모든 AKS 클러스터에 백업 확장을 설치합니다. 이렇게 하면 AKS 클러스터의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. AuditIfNotExists, DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 컨테이너 이미지에는 preStop 후크가 포함되어야 합니다. Pod 종료 중에 프로세스를 정상적으로 종료하려면 컨테이너 이미지에 preStop 후크가 포함되어야 합니다. 감사, 거부, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 컨테이너 이미지에는 최신 이미지 태그가 포함되어서는 안 됩니다. 컨테이너 이미지는 Kubernetes의 최신 태그를 사용하지 않아야 하며, 명시적이고 버전이 지정된 컨테이너 이미지를 사용하여 재현성을 보장하고, 의도하지 않은 업데이트를 방지하고, 더 쉽게 디버깅 및 롤백을 지원하는 것이 모범 사례입니다. 감사, 거부, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 컨테이너는 이미지 끌어오기 비밀이 있는 경우에만 이미지를 가져와야 합니다. 컨테이너의 이미지 끌어오기를 제한하여 ImagePullSecrets의 존재를 강제함으로써 Kubernetes 클러스터 내의 이미지에 대한 안전하고 권한이 있는 액세스를 보장합니다. 감사, 거부, 사용 안 함 1.2.0-preview
[미리 보기]: Kubernetes 클러스터 서비스는 고유한 선택기를 사용해야 합니다. 네임스페이스의 서비스에 고유한 선택기가 있는지 확인합니다. 고유한 서비스 선택기를 사용하면 네임스페이스 내의 각 서비스가 특정 기준에 따라 고유하게 식별될 수 있습니다. 이 정책은 Gatekeeper를 통해 수신 리소스를 OPA에 동기화합니다. 적용하기 전에 Gatekeeper Pod 메모리 용량이 초과되지 않는지 확인합니다. 매개 변수는 특정 네임스페이스에 적용되지만 모든 네임스페이스에서 해당 형식의 모든 리소스를 동기화합니다. 현재 AKS(Kubernetes Service) 미리 보기 상태입니다. 감사, 거부, 사용 안 함 1.2.0-preview
[미리 보기]: Kubernetes 클러스터는 정확한 Pod 중단 예산을 구현해야 합니다. 잘못된 Pod Disruption Budget을 방지하여 최소한의 운영 Pod 수를 보장합니다. 자세한 내용은 공식 Kubernetes 설명서를 참조하세요. Gatekeeper 데이터 복제를 사용하고 범위가 지정된 모든 수신 리소스를 OPA로 동기화합니다. 이 정책을 적용하기 전에 동기화된 수신 리소스가 메모리 용량에 부담을 주지 않는지 확인합니다. 매개 변수는 특정 네임스페이스를 평가하지만 네임스페이스 전체에서 해당 종류의 모든 리소스가 동기화됩니다. 참고: 현재 AKS(Kubernetes Service) 미리 보기 상태입니다. 감사, 거부, 사용 안 함 1.3.0-preview
[미리 보기]: Kubernetes 클러스터는 특정 리소스 종류의 만들기를 제한해야 함 지정된 Kubernetes 리소스 종류는 특정 네임스페이스에 배포하지 않아야 합니다. 감사, 거부, 사용 안 함 2.3.0-preview
[미리 보기]: 선호도 방지 규칙 집합이 있어야 함 이 정책은 Pod가 클러스터 내의 다른 노드에 예약되도록 보장합니다. 선호도 방지 규칙을 적용하면 노드 중 하나를 사용할 수 없게 되더라도 가용성이 유지됩니다. Pod는 다른 노드에서 계속 실행되어 복원력이 향상됩니다. 감사, 거부, 사용 안 함 1.2.0-preview
[미리 보기]: K8s 컨테이너를 변경하여 모든 기능 삭제 securityContext.capabilities.drop을 변경하여 "ALL"에 추가합니다. 그러면 k8s Linux 컨테이너에 대한 모든 기능이 삭제됩니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: K8s Init 컨테이너를 변경하여 모든 기능 삭제 securityContext.capabilities.drop을 변경하여 "ALL"에 추가합니다. 그러면 k8s linux init 컨테이너에 대한 모든 기능이 삭제됩니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: AKS 특정 레이블 없음 고객이 AKS 특정 레이블을 적용하지 못하도록 방지합니다. AKS는 AKS 소유 구성 요소를 나타내기 위해 접두사가 kubernetes.azure.com인 레이블을 사용합니다. 고객은 이러한 레이블을 사용해서는 안 됩니다. 감사, 거부, 사용 안 함 1.2.0-preview
[미리 보기]: runAsNotRoot를 true로 설정하여 컨테이너가 루트로 실행되지 않도록 합니다. runAsNotRoot를 true로 설정하면 컨테이너가 루트로 실행되지 않도록 방지하여 보안이 강화됩니다. Mutate, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: runAsNotRoot를 true로 설정하여 init 컨테이너가 루트로 실행되지 않도록 방지합니다. runAsNotRoot를 true로 설정하면 컨테이너가 루트로 실행되지 않도록 방지하여 보안이 강화됩니다. Mutate, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 변형이 적용된 경우 메시지를 출력합니다. 적용된 변형 주석을 조회하고 주석이 있는 경우 메시지를 출력합니다. 감사, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: 예약된 시스템 풀 taint CriticalAddonsOnly 테인트를 시스템 풀로만 제한합니다. AKS는 CriticalAddonsOnly 테인트를 사용하여 고객 Pod를 시스템 풀에서 멀리 유지합니다. 이를 통해 AKS 구성 요소와 고객 Pod를 명확하게 구분할 수 있을 뿐만 아니라 CriticalAddonsOnly 테인트를 허용하지 않는 경우 고객 Pod가 제거되는 것을 방지할 수 있습니다. 감사, 거부, 사용 안 함 1.2.0-preview
[미리 보기]: CriticalAddonsOnly 테인트를 시스템 풀로만 제한합니다. 사용자 풀에서 사용자 앱이 제거되는 것을 방지하고 사용자 풀과 시스템 풀 간의 문제 분리를 유지하려면 'CriticalAddonsOnly' 테인트를 사용자 풀에 적용해서는 안 됩니다. Mutate, 사용 안 함 1.2.0-preview
[미리 보기]: 컨테이너의 Pod 사양에서 automountServiceAccountToken을 false로 설정합니다. automountServiceAccountToken을 false로 설정하면 서비스 계정 토큰의 기본 자동 탑재를 방지하여 보안이 강화됩니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 컨테이너 securityContext.runAsUser 필드를 루트가 아닌 사용자 ID인 1000으로 설정합니다. 보안 취약성이 있는 상태에서 루트 사용자로 권한을 에스컬레이션하여 도입된 공격 노출 영역을 줄입니다. Mutate, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 존재하지 않는 경우 Kubernetes 클러스터 컨테이너 CPU 제한을 기본값으로 설정합니다. Kubernetes 클러스터에서 리소스 소진 공격을 방지하기 위해 컨테이너 CPU 제한을 설정합니다. Mutate, 사용 안 함 1.2.0-preview
[미리 보기]: 존재하지 않는 경우 Kubernetes 클러스터 컨테이너 메모리 제한을 기본값으로 설정합니다. Kubernetes 클러스터에서 리소스 소진 공격을 방지하기 위해 컨테이너 메모리 제한을 설정합니다. Mutate, 사용 안 함 1.2.0-preview
[미리 보기]: Kubernetes 클러스터 컨테이너의 보안 컴퓨팅 모드 프로필 유형이 없는 경우 이를 RuntimeDefault로 설정합니다. 사용자 공간에서 커널에 대한 무단 및 잠재적으로 유해한 시스템 호출을 방지하기 위해 컨테이너에 대한 보안 컴퓨팅 모드 프로필 유형을 설정합니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 init 컨테이너 securityContext.runAsUser 필드를 루트가 아닌 사용자 ID인 1000으로 설정합니다. 보안 취약성이 있는 상태에서 루트 사용자로 권한을 에스컬레이션하여 도입된 공격 노출 영역을 줄입니다. Mutate, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 init 컨테이너의 보안 컴퓨팅 모드 프로필 유형이 없는 경우 이를 RuntimeDefault로 설정합니다. 사용자 공간에서 커널에 대한 무단 및 잠재적으로 유해한 시스템 호출을 방지하기 위해 init 컨테이너에 대한 보안 컴퓨팅 모드 프로필 유형을 설정합니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Kubernetes 클러스터 Pod securityContext.runAsUser 필드를 루트가 아닌 사용자 ID인 1000으로 설정합니다. 보안 취약성이 있는 상태에서 루트 사용자로 권한을 에스컬레이션하여 도입된 공격 노출 영역을 줄입니다. Mutate, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: PodDisruptionBudget 리소스에 대해 maxUnavailable Pod를 1로 설정합니다. 사용할 수 없는 최대 Pod 값을 1로 설정하면 중단 중에 애플리케이션이나 서비스를 사용할 수 있습니다. Mutate, 사용 안 함 1.2.0-preview
[미리 보기]: init 컨테이너의 Pod 사양에서 권한 에스컬레이션을 false로 설정합니다. init 컨테이너에서 권한 에스컬레이션을 false로 설정하면 컨테이너가 set-user-ID 또는 set-group-ID 파일 모드와 같은 권한 에스컬레이션을 허용하지 않도록 하여 보안이 강화됩니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: Pod 사양의 권한 에스컬레이션을 false로 설정합니다. 권한 에스컬레이션을 false로 설정하면 컨테이너가 set-user-ID 또는 set-group-ID 파일 모드와 같은 권한 에스컬레이션을 허용하지 않도록 하여 보안이 강화됩니다. Mutate, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: init 컨테이너의 Pod 사양에 있는 readOnlyRootFileSystem이 설정되지 않은 경우 true로 설정합니다. readOnlyRootFileSystem을 true로 설정하면 컨테이너가 루트 파일 시스템에 쓰는 것을 방지하여 보안이 강화됩니다. 이는 Linux 컨테이너에서만 작동합니다. Mutate, 사용 안 함 1.2.0-preview
[미리 보기]: Pod 사양의 readOnlyRootFileSystem이 설정되지 않은 경우 true로 설정합니다. readOnlyRootFileSystem을 true로 설정하면 컨테이너가 루트 파일 시스템에 쓰는 것을 방지하여 보안이 강화됩니다. Mutate, 사용 안 함 1.2.0-preview
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. 감사, 사용 안 함 2.0.1
Azure Kubernetes 클러스터는 SSH를 사용하지 않도록 설정해야 함 SSH를 사용하지 않도록 설정하면 클러스터를 보호하고 공격 표면을 줄일 수 있는 기능을 제공합니다. 자세히 알아보려면 aka.ms/aks/disablessh를 참조하세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes 클러스터는 CSI(Container Storage Interface)를 활성화해야 합니다. CSI(Container Storage Interface)는 임의 블록 및 파일 스토리지 시스템을 Azure Kubernetes Service의 컨테이너화된 워크로드에 노출하기 위한 표준입니다. 자세한 내용은 https://aka.ms/aks-csi-driver를 참조하세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes 클러스터는 KMS(Key Management Service)를 사용하도록 설정해야 함 KMS(키 관리 서비스)를 사용하여 Kubernetes 클러스터 보안을 위해 etcd의 미사용 비밀 데이터를 암호화합니다. https://aka.ms/aks/kmsetcdencryption에서 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes 클러스터는 Azure CNI를 사용해야 함 Azure CNI는 Azure 네트워크 정책, Windows 노드 풀 및 가상 노드 추가 기능을 비롯한 일부 Azure Kubernetes Service 기능의 필수 구성 요소입니다. https://aka.ms/aks-azure-cni에서 자세히 알아보세요. 감사, 사용 안 함 1.0.1
Azure Kubernetes Service 클러스터는 명령 호출을 사용하지 않도록 설정해야 함 명령 호출을 사용하지 않도록 설정하면 제한된 네트워크 액세스 또는 Kubernetes 역할 기반 액세스 제어 바이패스를 방지하여 보안을 강화할 수 있습니다. 감사, 사용 안 함 1.0.1
Azure Kubernetes Service 클러스터는 클러스터 자동 업그레이드를 사용하도록 설정해야 합니다. AKS 클러스터 자동 업그레이드를 통해 클러스터를 최신 상태로 유지하고 AKS 및 업스트림 Kubernetes의 최신 기능이나 패치를 놓치지 마세요. https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster에서 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes Service 클러스터는 Image Cleaner를 사용하도록 설정해야 합니다. Image Cleaner는 취약하고 사용되지 않는 이미지를 자동으로 식별 및 제거하여 부실한 이미지의 위험을 완화하고 이미지 정리에 필요한 시간을 줄여줍니다. https://aka.ms/aks/image-cleaner에서 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes Service 클러스터는 Microsoft Entra ID 통합을 사용하도록 설정해야 합니다. AKS 관리 Microsoft Entra ID 통합은 사용자 ID 또는 디렉터리 그룹 멤버 자격을 기반으로 Kubernetes 역할 기반 액세스 제어(Kubernetes RBAC)를 구성하여 클러스터에 대한 액세스를 관리할 수 있습니다. https://aka.ms/aks-managed-aad에서 자세히 알아보세요. 감사, 사용 안 함 1.0.2
Azure Kubernetes Service 클러스터는 노드 OS 자동 업그레이드를 사용하도록 설정해야 합니다. AKS 노드 OS 자동 업그레이드는 노드 수준 OS 보안 업데이트를 제어합니다. https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image에서 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes Service 클러스터는 워크로드 ID를 사용하도록 설정해야 함 워크로드 ID를 사용하면 각 Kubernetes Pod에 고유한 ID를 할당하고 이를 Azure Key Vault와 같은 Azure AD 보안 리소스와 연결하여 Pod 내에서 이러한 리소스에 안전하게 액세스할 수 있습니다. https://aka.ms/aks/wi에서 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요. 감사, 사용 안 함 2.0.1
Azure Kubernetes Service 클러스터에는 로컬 인증 방법을 사용하지 않도록 설정해야 함 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Kubernetes Service 클러스터에서 인증 시 Azure Active Directory ID만 필요해야 함을 확인하여 보안이 향상됩니다. https://aka.ms/aks-disable-local-accounts에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.1
Azure Kubernetes Service 클러스터는 관리 ID를 사용해야 함 관리 ID를 사용하여 서비스 주체를 래핑하고, 클러스터 관리를 간소화하며, 관리되는 서비스 주체에 필요한 복잡성을 방지합니다. https://aka.ms/aks-update-managed-identities에서 자세히 알아보세요. 감사, 사용 안 함 1.0.1
Azure Kubernetes Service 프라이빗 클러스터를 사용하도록 설정해야 함 API 서버와 노드 풀 간의 네트워크 트래픽이 개인 네트워크에만 유지되도록 프라이빗 클러스터 기능을 Azure Kubernetes Service 클러스터에 사용하도록 설정합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. 감사, 거부, 사용 안 함 1.0.1
클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. 감사, 사용 안 함 1.0.2
Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리 제공). 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. AuditIfNotExists, 사용 안 함 1.0.1
Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. 감사, 거부, 사용 안 함 1.0.1
Defender 프로필을 사용하도록 Azure Kubernetes Service 클러스터 구성 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.Defender를 사용하도록 설정하면 에이전트가 클러스터에 배포되어 보안 이벤트 데이터를 수집합니다. 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, 사용 안 함 4.3.0
Kubernetes 클러스터에 Flux 확장 설치 구성 Kubernetes 클러스터에 Flux 확장을 설치하여 클러스터에서 'fluxconfigurations' 배포 가능 DeployIfNotExists, 사용 안 함 1.0.0
KeyVault의 버킷 원본 및 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 버킷 SecretKey가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
Git 리포지토리 및 HTTPS CA 인증서를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 HTTPS CA 인증서가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.1
Git 리포지토리 및 HTTPS 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
Git 리포지토리 및 로컬 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
Git 리포지토리 및 SSH 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
공개 Git 리포지토리를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
로컬 비밀을 사용하여 지정된 Flux v2 버킷 원본으로 Kubernetes 클러스터 구성 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. DeployIfNotExists, 사용 안 함 1.0.0
HTTPS 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 사용자 및 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 1.1.0
비밀을 사용하지 않고 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 1.1.0
SSH 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault의 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 1.1.0
필요한 관리 그룹 액세스 권한으로 Microsoft Entra ID 통합 Azure Kubernetes Service 클러스터 구성 Microsoft Entra ID 통합 AKS 클러스터에 대한 관리자 액세스를 중앙에서 관리하여 클러스터 보안을 개선시킵니다. DeployIfNotExists, 사용 안 함 2.1.0
Azure Kubernetes 클러스터에서 노드 OS 자동 업그레이드 구성 노드 OS 자동 업그레이드를 사용하여 AKS(Azure Kubernetes Service) 클러스터의 노드 수준 OS 보안 업데이트를 제어합니다. 자세한 내용은 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image을 방문하세요. DeployIfNotExists, 사용 안 함 1.0.1
배포 - Azure Kubernetes Service에 대한 진단 설정을 Log Analytics 작업 영역에 구성 Azure Kubernetes Service에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트림합니다. DeployIfNotExists, 사용 안 함 3.0.0
Azure Kubernetes Service 클러스터에 Azure Policy 추가 기능 배포 Azure Policy 추가 기능을 사용하여 AKS(Azure Kubernetes Service) 클러스터의 규정 준수 상태를 관리하고 보고합니다. 자세한 내용은 https://aka.ms/akspolicydoc를 참조하세요. DeployIfNotExists, 사용 안 함 4.1.0
Azure Kubernetes Service에 Image Cleaner 배포 Azure Kubernetes 클러스터에 Image Cleaner를 배포합니다. 자세한 내용은 https://aka.ms/aks/image-cleaner을 방문하세요. DeployIfNotExists, 사용 안 함 1.0.4
AKS(Azure Kubernetes Service) 클러스터에 대한 업그레이드를 예약하고 제어하기 위해 계획된 유지 관리 배포 계획된 유지 관리를 사용하면 주간 유지 관리 기간을 예약하여 업데이트를 수행하고 워크로드 영향을 최소화할 수 있습니다. 예약되면 선택한 기간 동안에만 업그레이드가 수행됩니다. https://aka.ms/aks/planned-maintenance에서 자세히 알아보세요. DeployIfNotExists, AuditIfNotExists, Disabled 1.1.0
Azure Kubernetes Service 클러스터에서 명령 호출 사용 안 함 명령 호출을 사용하지 않도록 설정하면 클러스터에 대한 invoke-command 액세스를 거부하여 보안을 강화할 수 있습니다. DeployIfNotExists, 사용 안 함 1.2.0
클러스터 컨테이너에 준비 상태 또는 활동성 프로브가 구성되어 있는지 확인 이 정책은 모든 Pod에 준비 상태 및/또는 활동성 프로브를 구성하도록 적용합니다. 프로브 형식은 tcpSocket, httpGet 및 exec일 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. 감사, 거부, 사용 안 함 3.3.0
Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 9.3.0
Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.2.0
Kubernetes 클러스터 컨테이너는 금지된 sysctl 인터페이스를 사용해서는 안 됨 컨테이너는 Kubernetes 클러스터에서 금지된 sysctl 인터페이스를 사용하지 않아야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 7.2.0
Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.2.0
Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.2.0
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 9.3.0
Kubernetes 클러스터 컨테이너는 허용된 ProcMountType만 사용해야 함 Pod 컨테이너는 Kubernetes 클러스터에서 허용된 ProcMountTypes만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 8.2.0
Kubernetes 클러스터 컨테이너는 허용된 끌어오기 정책만 사용해야 함 컨테이너의 끌어오기 정책을 제한하여 컨테이너가 배포에서 허용된 이미지만 사용하도록 허용 감사, 거부, 사용 안 함 3.2.0
Kubernetes 클러스터 컨테이너는 허용된 seccomp 프로필만 사용해야 함 Pod 컨테이너는 Kubernetes 클러스터에서 허용된 seccomp 프로필만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 7.2.0
Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.3.0
Kubernetes 클러스터 Pod FlexVolume 볼륨은 허용되는 드라이버만 사용해야 함 Pod FlexVolume 볼륨은 Kubernetes 클러스터에서 허용된 드라이버만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.2.0
Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.2.0
Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.2.0
Kubernetes 클러스터 Pod 및 컨테이너는 허용된 SELinux 옵션만 사용해야 함 Pod 및 컨테이너는 Kubernetes 클러스터에서 허용된 SELinux 옵션만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 7.2.0
Kubernetes 클러스터 Pod는 허용된 볼륨 유형만 사용해야 함 Pod는 Kubernetes 클러스터에서 허용된 볼륨 유형만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.2.0
Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 6.2.0
Kubernetes 클러스터 Pod는 지정된 레이블을 사용해야 함 지정된 레이블을 사용하여 Kubernetes 클러스터에서 Pod를 식별합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 7.2.0
Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 8.2.0
Kubernetes 클러스터 서비스는 허용된 외부 IP만 사용해야 함 허용되는 외부 IP를 사용하여 Kubernetes 클러스터에서 잠재적인 공격(CVE-2020-8554)을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.2.0
Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 9.2.0
Kubernetes 클러스터에서 Naked Pod를 사용하지 않아야 함 Naked Pod를 사용하지 않도록 차단합니다. 노드 실패가 발생하는 경우 Naked Pod의 일정이 조정되지 않습니다. Pod는 Deployment, Replicset, Daemonset 또는 Jobs를 통해 관리해야 합니다. 감사, 거부, 사용 안 함 2.3.0
Kubernetes 클러스터 Windows 컨테이너에서 CPU 및 메모리를 과도하게 커밋하지 않아야 함 Windows 컨테이너 리소스 요청은 리소스 제한보다 작거나 같아야 초과 커밋을 방지할 수 있습니다. Windows 메모리가 과도하게 프로비저닝되면 메모리 부족으로 컨테이너를 종료하는 대신 디스크의 페이지를 처리하여 성능을 저하시킬 수 있습니다. 감사, 거부, 사용 안 함 2.2.0
Kubernetes 클러스터 Windows 컨테이너는 ContainerAdministrator로 실행하지 않아야 함 Windows Pod 또는 컨테이너에 대한 컨테이너 프로세스를 실행하기 위해 ContainerAdministrator를 사용자로 사용할 수 없습니다. 이 권장 사항은 Windows 노드의 보안을 개선하기 위한 것입니다. 자세한 내용은 https://kubernetes.io/docs/concepts/windows/intro/을 참조하십시오. 감사, 거부, 사용 안 함 1.2.0
Kubernetes 클러스터 Windows 컨테이너에서 승인된 사용자 및 도메인 사용자 그룹으로만 실행해야 함 Windows Pod 및 컨테이너를 통해 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자를 제어합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Windows 노드의 Pod 보안 정책 중 일부입니다. 감사, 거부, 사용 안 함 2.2.0
Kubernetes 클러스터 Windows Pod는 HostProcess 컨테이너를 실행해서는 안 됩니다. Windows 노드에 대한 권한 있는 액세스를 방지합니다. 이 권장 사항은 Windows 노드의 보안을 개선하기 위한 것입니다. 자세한 내용은 https://kubernetes.io/docs/concepts/windows/intro/을 참조하십시오. 감사, 거부, 사용 안 함 1.0.0
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. 감사, 거부, 사용 안 함 8.2.0
Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 4.2.0
Kubernetes 클러스터는 클러스터 관리자 역할이 필요한 경우에만 사용되도록 해야 합니다. 'cluster-admin' 역할은 환경에 대한 광범위한 권한을 제공하며 필요할 때만 사용해야 합니다. 감사, 사용 안 함 1.1.0
Kubernetes 클러스터는 역할 및 클러스터 역할에서 와일드카드 사용을 최소화해야 합니다. 와일드카드 '*'를 사용하면 특정 역할에 필요하지 않을 수 있는 광범위한 권한을 부여하므로 보안 위험이 발생할 수 있습니다. 역할에 권한이 너무 많으면 공격자나 손상된 사용자가 이를 악용하여 클러스터의 리소스에 무단으로 액세스할 수 있습니다. 감사, 사용 안 함 1.1.0
Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 7.2.0
Kubernetes 클러스터는 ClusterRole/system:aggregate-to-edit의 엔드포인트 편집 권한을 허용하지 않아야 함 ClusterRole/system:aggregate-to-edit는 CVE-2021-25740으로 인한 엔드포인트 편집 권한을 허용하지 않아야 합니다. 엔드포인트 및 EndpointSlice 권한에서 네임스페이스 간 전달(https://github.com/kubernetes/kubernetes/issues/103675)을 허용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 사용 안 함 3.2.0
Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.1.0
Kubernetes 클러스터는 특정 보안 기능을 사용하지 않아야 함 Kubernetes 클러스터의 특정 보안 기능을 차단하여 Pod 리소스에 대해 부여되지 않은 권한을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 5.2.0
Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 4.2.0
Kubernetes 클러스터는 CSI(Container Storage Interface) 드라이버 StorageClass를 사용해야 합니다. CSI(Container Storage Interface)는 Kubernetes에서 컨테이너화된 워크로드에 임의 블록 및 파일 스토리지 시스템을 노출하는 표준입니다. AKS 버전 1.21 이후 트리 내 프로비저닝 프로그램 StorageClass는 더 이상 사용되지 않습니다. 자세한 내용은 https://aka.ms/aks-csi-driver를 참조하세요. 감사, 거부, 사용 안 함 2.3.0
Kubernetes 클러스터는 내부 부하 분산 장치를 사용해야 함 내부 부하 분산 장치를 사용하여 Kubernetes 클러스터와 동일한 가상 네트워크에서 실행되는 애플리케이션에서만 Kubernetes 서비스에 액세스할 수 있게 합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 8.2.0
Kubernetes 리소스에 필수 주석이 있어야 함 Kubernetes 리소스의 개선된 리소스 관리를 위해 필요한 주석이 지정된 Kubernetes 리소스 종류에 연결되어 있는지 확인합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 거부, 사용 안 함 3.2.0
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. 감사, 사용 안 함 1.0.2
Azure Kubernetes Service의 리소스 로그를 사용하도록 설정해야 함 Azure Kubernetes Service의 리소스 로그를 통해 보안 인시던트를 조사할 때 작업 추적을 다시 만들 수 있습니다. 필요할 때 로그가 존재하는지 확인하는 데 사용 AuditIfNotExists, 사용 안 함 1.0.0
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.4
Azure Kubernetes Service 클러스터의 에이전트 노드 풀에 대한 임시 디스크 및 캐시는 호스트에서 암호화되어야 함 데이터 보안을 강화하려면 Azure Kubernetes Service 노드 VM의 VM(가상 머신) 호스트에 저장된 데이터는 미사용 시 암호화해야 합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. 감사, 거부, 사용 안 함 1.0.1

다음 단계