Besturingselementen voor Naleving van Azure Policy-regelgeving voor AKS (Azure Kubernetes Service)
Naleving van regelgeving in Azure Policy biedt initiatiefdefinities (ingebouwde) die door Microsoft zijn gemaakt en beheerd, voor de nalevingsdomeinen en beveiligingscontroles met betrekking tot verschillende nalevingsstandaarden. Op deze pagina vindt u de nalevingsdomeinen en beveiligingscontroles van Azure Kubernetes Service (AKS).
U kunt de ingebouwde modules voor een beveiligingsmaatregel afzonderlijk toewijzen om uw Azure-resources de specifieke standaard te laten naleven.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Beleidsversie om de bron te bekijken in de Azure Policy GitHub-opslagplaats.
Belangrijk
Elk besturingselement is gekoppeld aan een of meer Azure Policy-definities . Deze beleidsregels kunnen u helpen bij het beoordelen van de naleving van het besturingselement. Er is echter vaak geen een-op-een- of volledige overeenkomst tussen een besturingselement en een of meer beleidsregels. Als zodanig verwijst compatibel in Azure Policy alleen naar het beleid zelf. Dit zorgt er niet voor dat u volledig voldoet aan alle vereisten van een besturingselement. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen besturingselementen en definities voor naleving van regelgeving in Azure Policy voor deze nalevingsstandaarden kunnen na verloop van tijd veranderen.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Raadpleeg Naleving van Azure Policy-regelgeving - CIS Microsoft Azure Foundations Benchmark 1.1.0 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.5 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - CIS Microsoft Azure Foundations Benchmark 1.3.0. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.5 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u details over naleving van Azure Policy-regelgeving voor CIS v1.4.0. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.7 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
CMMC-niveau 3
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - CMMC-niveau 3. Zie CMMC (Cybersecurity Maturity Model Certification) voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | AC.1.001 | Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | AC.1.001 | Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Toegangsbeheer | AC.1.002 | Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | AC.1.002 | Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Toegangsbeheer | AC.2.007 | Gebruik het principe van minimale bevoegdheden, inclusief voor specifieke beveiligingsfuncties en bevoegde accounts. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | AC.2.016 | De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Configuration Management | CM.2.062 | Gebruik het principe van de minste functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Configuration Management | CM.3.068 | Het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Risicobeoordeling | RM.2.143 | Beveiligingsproblemen herstellen in overeenstemming met risicobeoordelingen. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en communicatiebeveiliging | SC.1.175 | Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Systeem- en communicatiebeveiliging | SC.3.177 | Gebruik FIPS-gevalideerde cryptografie wanneer deze wordt gebruikt om de vertrouwelijkheid van CUI te beschermen. | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC.3.183 | Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Systeem- en gegevensintegriteit | SI.1.210 | Identificeer, rapporteer en corrigeer informatie en informatiesysteemfouten tijdig. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
FedRAMP High
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - FedRAMP High. Zie FedRAMP High voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van data-at-rest | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
FedRAMP Moderate
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - FedRAMP Moderate. Zie FedRAMP Moderate voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van data-at-rest | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
HIPAA HITRUST 9.2
Raadpleeg Naleving van Azure Policy-regelgeving - HIPAA HITRUST 9.2 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie HIPAA HITRUST 9.2 voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Machtigingsbeheer | 1149.01c2System.9 - 01.c | De organisatie faciliteert het delen van informatie door geautoriseerde gebruikers in staat te stellen de toegang van een zakenpartner te bepalen wanneer discretie is toegestaan, zoals gedefinieerd door de organisatie en door gebruik te maken van handmatige processen of geautomatiseerde mechanismen om gebruikers te helpen bij het nemen van beslissingen in verband met delen van of samenwerken aan gegevens. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| 11 Toegangsbeheer | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Geautoriseerde toegang tot informatiesystemen | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| 12 Auditlogboekregistratie en -bewaking | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Gedocumenteerde operationele procedures | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
Vertrouwelijk beleid voor Microsoft Cloud for Sovereignty Baseline
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de details van naleving van Azure Policy-regelgeving voor vertrouwelijke beleidsregels voor MCfS-soevereiniteitsbasislijn. Zie microsoft Cloud for Sovereignty Policy-portfolio voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| SO.3 - Door de klant beheerde sleutels | SO.3 | Azure-producten moeten zo mogelijk worden geconfigureerd voor het gebruik van door de klant beheerde sleutels. | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
Microsoft-benchmark voor cloudbeveiliging
De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. Als u wilt zien hoe deze service volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u de toewijzingsbestanden van Azure Security Benchmark.
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Azure Policy Regulatory Compliance - Microsoft Cloud Security Benchmark.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Netwerkbeveiliging | NS-2 | Cloudservices beveiligen met netwerkbesturingselementen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Bevoegde toegang | PA-7 | Principe van minimale bevoegdheden hanteren | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Gegevensbeveiliging | DP-3 | Gevoelige gegevens tijdens overdracht versleutelen | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Logboekregistratie en bedreigingsdetectie | LT-1 | Mogelijkheden voor detectie van bedreigingen inschakelen | Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | 2.0.1 |
| Logboekregistratie en bedreigingsdetectie | LT-2 | Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer | Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | 2.0.1 |
| Logboekregistratie en bedreigingsdetectie | LT-3 | Logboekregistratie inschakelen voor beveiligingsonderzoek | Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld | 1.0.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-2 | Veilige configuraties controleren en afdwingen | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.1.0 |
| Beheer van beveiligingspostuur en beveiligingsproblemen | PV-6 | Beveiligingsproblemen snel en automatisch oplossen | Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | 1.0.1 |
| DevOps-beveiliging | DS-6 | Beveiliging van workload afdwingen gedurende de DevOps-levenscyclus | Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | 1.0.1 |
NIST SP 800-171 R2
Raadpleeg Naleving van Azure Policy-regelgeving - NIST SP 800-171 R2 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | 3.1.3 | De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.1 | Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.10 | Cryptografische sleutels instellen en beheren voor cryptografie die wordt gebruikt in organisatiesystemen. | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.16 | De vertrouwelijkheid van inactieve CUI beschermen. | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.2 | Gebruik architectuurontwerpen, technieken voor softwareontwikkeling en principes voor systeemtechniek die effectieve informatiebeveiliging binnen organisatiesystemen bevorderen. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.5 | Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.6 | Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.8 | Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en gegevensintegriteit | 3.14.1 | Systeemfouten tijdig identificeren, rapporteren en corrigeren. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
NIST SP 800-53 Rev. 4
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - NIST SP 800-53 Rev. 4. Zie NIST SP 800-53 Rev. 4 voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | AC-3 (7) | Op rollen gebaseerd toegangsbeheer | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van data-at-rest | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en informatieintegriteit | SI-2 (6) | Eerdere versies van software/firmware verwijderen | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
NIST SP 800-53 Rev. 5
Zie Naleving van Azure Policy-regelgeving - NIST SP 800-53 Rev. 5 om te controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie NIST SP 800-53 Rev. 5 voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangsbeheer | AC-3 (7) | Op rollen gebaseerd toegangsbeheer | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuration Management | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Configuration Management | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van overdracht | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Beveiliging van data-at-rest | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Systeem- en gegevensintegriteit | SI-2 | Foutherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en gegevensintegriteit | SI-2 (6) | Eerdere versies van software en firmware verwijderen | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
NL BIO Cloud Thema
Als u wilt bekijken hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de details van naleving van Azure Policy-regelgeving voor NL BIO-cloudthema's. Zie Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl) voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technisch beheer van beveiligingsproblemen - Tijdlijnen | C.04.3 | Als de kans op misbruik en de verwachte schade beide hoog zijn, worden patches uiterlijk binnen een week geïnstalleerd. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| C.04.6 Technisch beheer van beveiligingsproblemen - Tijdlijnen | C.04.6 | Technische zwakke punten kunnen tijdig worden opgelost door patchbeheer uit te voeren. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| U.05.1-gegevensbescherming - Cryptografische metingen | U.05.1 | Gegevenstransport wordt beveiligd met cryptografie waar sleutelbeheer wordt uitgevoerd door de CSC zelf, indien mogelijk. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| U.05.2-gegevensbescherming - Cryptografische metingen | U.05.2 | Gegevens die zijn opgeslagen in de cloudservice, worden beschermd tot de meest recente status. | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| U.05.2-gegevensbescherming - Cryptografische metingen | U.05.2 | Gegevens die zijn opgeslagen in de cloudservice, worden beschermd tot de meest recente status. | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| U.07.1 Gegevensscheiding - Geïsoleerd | U.07.1 | Permanente isolatie van gegevens is een architectuur met meerdere tenants. Patches worden op een gecontroleerde manier gerealiseerd. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| U.07.3 Gegevensscheiding - Beheerfuncties | U.07.3 | U.07.3 - De bevoegdheden voor het weergeven of wijzigen van CSC-gegevens en/of versleutelingssleutels worden op een gecontroleerde manier verleend en het gebruik wordt vastgelegd. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| U.09.3 Malware Protection - Detectie, preventie en herstel | U.09.3 | De malwarebeveiliging wordt uitgevoerd op verschillende omgevingen. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| U.10.2 Toegang tot IT-services en -gegevens - Gebruikers | U.10.2 | Onder de verantwoordelijkheid van de CSP wordt toegang verleend aan beheerders. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| U.10.3 Toegang tot IT-services en -gegevens - Gebruikers | U.10.3 | Alleen gebruikers met geverifieerde apparatuur hebben toegang tot IT-services en -gegevens. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| U.10.5 Toegang tot IT-services en -gegevens - Competent | U.10.5 | De toegang tot IT-services en -gegevens wordt beperkt door technische maatregelen en is geïmplementeerd. | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| U.11.1 Cryptoservices - Beleid | U.11.1 | In het cryptografiebeleid zijn ten minste de onderwerpen in overeenstemming met BIO uitgewerkt. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Cryptoservices U.11.2 - Cryptografische metingen | U.11.2 | In het geval van PKIoverheid-certificaten worden PKIoverheid-vereisten voor sleutelbeheer gebruikt. In andere situaties wordt ISO11770 gebruikt. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| U.11.3 Cryptoservices - Versleuteld | U.11.3 | Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| U.11.3 Cryptoservices - Versleuteld | U.11.3 | Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. | Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | 1.0.1 |
| Logboekregistratie en bewaking van U.15.1 - Vastgelegde gebeurtenissen | U.15.1 | De schending van de beleidsregels wordt vastgelegd door de CSP en de CSC. | Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld | 1.0.0 |
Reserve Bank of India - IT Framework voor NBFC
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - Reserve Bank of India - IT Framework voor NBFC. Zie Reserve Bank of India - IT Framework voor NBFC voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| IT-governance | 1 | IT-governance-1 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Informatie en cyberbeveiliging | 3.1.a | Identificatie en classificatie van informatieassets-3.1 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Informatie en cyberbeveiliging | 3.1.c | Op rollen gebaseerd toegangsbeheer-3.1 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Informatie en cyberbeveiliging | 3.1.g | Trails-3.1 | Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | 2.0.1 |
| Informatie en cyberbeveiliging | 3.3 | Beheer van beveiligingsproblemen-3.3 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
Reserve Bank of India IT Framework for Banks v2016
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - RBI ITF Banks v2016. Zie RBI ITF Banks v2016 (PDF) voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Patch-/beveiligingsproblemen en wijzigingsbeheer | Patch/Vulnerability & Change Management-7.7 | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 | |
| Advanced Real-Timethreat Defenseand Management | Advanced Real-Timethreat Defenseand Management-13.2 | Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | 2.0.1 | |
| Gebruikerstoegangsbeheer/-beheer | Gebruikerstoegangsbeheer /Management-8.1 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
RMIT Maleisië
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - RMIT Maleisië. Zie RMIT Maleisië voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Cryptografie | 10.19 | Cryptografie - 10.19 | Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Toegangsbeheer | 10.54 | Toegangsbeheer - 10.54 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | 10.55 | Toegangsbeheer - 10.55 | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Toegangsbeheer | 10.55 | Toegangsbeheer - 10.55 | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Toegangsbeheer | 10.55 | Toegangsbeheer - 10.55 | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Toegangsbeheer | 10.55 | Toegangsbeheer - 10.55 | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Toegangsbeheer | 10.55 | Toegangsbeheer - 10.55 | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Toegangsbeheer | 10.60 | Toegangsbeheer - 10.60 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | 10.61 | Toegangsbeheer - 10.61 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Toegangsbeheer | 10.62 | Toegangsbeheer - 10.62 | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Patch en end-of-life systeembeheer | 10.65 | Patch en end-of-life systeembeheer - 10.65 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Security Operations Centre (SOC) | 11.17 | Security Operations Centre (SOC) - 11.17 | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.5 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.5 | Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | 5.1.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
SWIFT CSP-CSCF v2021
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de nalevingsdetails van Azure Policy voor SWIFT CSP-CSCF v2021. Zie SWIFT CSP CSCF v2021 voor meer informatie over deze nalevingsstandaard.
Systeem- en organisatiecontroles (SOC) 2
Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u details over naleving van Azure Policy-regelgeving voor SOC (System and Organization Controls) 2. Zie Systeem- en organisatiebeheer (SOC) 2 voor meer informatie over deze nalevingsstandaard.
| Domain | Id van besturingselement | Titel van besturingselement | Beleid (Azure-portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Besturingselementen voor logische en fysieke toegang | CC6.1 | Beveiligingssoftware, infrastructuur en architecturen voor logische toegang | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.3 | Op Rollen gebaseerde toegang en minimale bevoegdheid | Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | 1.0.3 |
| Besturingselementen voor logische en fysieke toegang | CC6.6 | Beveiligingsmaatregelen tegen bedreigingen buiten systeemgrenzen | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.7 | Het verplaatsen van gegevens beperken tot geautoriseerde gebruikers | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 8.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.1.0 |
| Systeembewerkingen | CC7.2 | Systeemonderdelen controleren op afwijkend gedrag | Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | 2.0.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | 5.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.1.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | 9.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.1.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.1.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | 6.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 7.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.1.0 |
Volgende stappen
- Meer informatie over Naleving van Azure Policy-regelgeving.
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.