Share via


Besturingselementen voor Naleving van Azure Policy-regelgeving voor AKS (Azure Kubernetes Service)

Naleving van regelgeving in Azure Policy biedt initiatiefdefinities (ingebouwde) die door Microsoft zijn gemaakt en beheerd, voor de nalevingsdomeinen en beveiligingscontroles met betrekking tot verschillende nalevingsstandaarden. Op deze pagina vindt u de nalevingsdomeinen en beveiligingscontroles van Azure Kubernetes Service (AKS).

U kunt de ingebouwde modules voor een beveiligingsmaatregel afzonderlijk toewijzen om uw Azure-resources de specifieke standaard te laten naleven.

De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Beleidsversie om de bron te bekijken in de Azure Policy GitHub-opslagplaats.

Belangrijk

Elk besturingselement is gekoppeld aan een of meer Azure Policy-definities . Deze beleidsregels kunnen u helpen bij het beoordelen van de naleving van het besturingselement. Er is echter vaak geen een-op-een- of volledige overeenkomst tussen een besturingselement en een of meer beleidsregels. Als zodanig verwijst compatibel in Azure Policy alleen naar het beleid zelf. Dit zorgt er niet voor dat u volledig voldoet aan alle vereisten van een besturingselement. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen besturingselementen en definities voor naleving van regelgeving in Azure Policy voor deze nalevingsstandaarden kunnen na verloop van tijd veranderen.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Raadpleeg Naleving van Azure Policy-regelgeving - CIS Microsoft Azure Foundations Benchmark 1.1.0 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
8 Andere beveiligingsoverwegingen 8.5 Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - CIS Microsoft Azure Foundations Benchmark 1.3.0. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
8 Andere beveiligingsoverwegingen 8.5 Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u details over naleving van Azure Policy-regelgeving voor CIS v1.4.0. Zie CIS Microsoft Azure Foundations Benchmarkvoor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
8 Andere beveiligingsoverwegingen 8.7 Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4

CMMC-niveau 3

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - CMMC-niveau 3. Zie CMMC (Cybersecurity Maturity Model Certification) voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer AC.1.001 Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Toegangsbeheer AC.1.001 Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer AC.1.002 Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Toegangsbeheer AC.1.002 Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer AC.2.007 Gebruik het principe van minimale bevoegdheden, inclusief voor specifieke beveiligingsfuncties en bevoegde accounts. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer AC.2.016 De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Configuration Management CM.2.062 Gebruik het principe van de minste functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Configuration Management CM.3.068 Het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Risicobeoordeling RM.2.143 Beveiligingsproblemen herstellen in overeenstemming met risicobeoordelingen. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Systeem- en communicatiebeveiliging SC.1.175 Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Systeem- en communicatiebeveiliging SC.3.177 Gebruik FIPS-gevalideerde cryptografie wanneer deze wordt gebruikt om de vertrouwelijkheid van CUI te beschermen. Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging SC.3.183 Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Systeem- en gegevensintegriteit SI.1.210 Identificeer, rapporteer en corrigeer informatie en informatiesysteemfouten tijdig. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

FedRAMP High

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - FedRAMP High. Zie FedRAMP High voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer AC-4 Afdwinging van gegevensstromen Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Configuration Management CM-6 Configuratie-instellingen De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management CM-6 Configuratie-instellingen Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Systeem- en communicatiebeveiliging SC-7 Grensbescherming Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-7 (3) Toegangspunten Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-8 Vertrouwelijkheid en integriteit van verzending Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-8 (1) Cryptografische of alternatieve fysieke beveiliging Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-12 Instelling en beheer van cryptografische sleutels Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging SC-28 Bescherming van data-at-rest Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en communicatiebeveiliging SC-28 (1) Cryptografische beveiliging Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en informatieintegriteit SI-2 Foutherstel Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

FedRAMP Moderate

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - FedRAMP Moderate. Zie FedRAMP Moderate voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer AC-4 Afdwinging van gegevensstromen Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Configuration Management CM-6 Configuratie-instellingen De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management CM-6 Configuratie-instellingen Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Systeem- en communicatiebeveiliging SC-7 Grensbescherming Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-7 (3) Toegangspunten Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-8 Vertrouwelijkheid en integriteit van verzending Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-8 (1) Cryptografische of alternatieve fysieke beveiliging Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-12 Instelling en beheer van cryptografische sleutels Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging SC-28 Bescherming van data-at-rest Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en communicatiebeveiliging SC-28 (1) Cryptografische beveiliging Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en informatieintegriteit SI-2 Foutherstel Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

HIPAA HITRUST 9.2

Raadpleeg Naleving van Azure Policy-regelgeving - HIPAA HITRUST 9.2 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie HIPAA HITRUST 9.2 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Machtigingsbeheer 1149.01c2System.9 - 01.c De organisatie faciliteert het delen van informatie door geautoriseerde gebruikers in staat te stellen de toegang van een zakenpartner te bepalen wanneer discretie is toegestaan, zoals gedefinieerd door de organisatie en door gebruik te maken van handmatige processen of geautomatiseerde mechanismen om gebruikers te helpen bij het nemen van beslissingen in verband met delen van of samenwerken aan gegevens. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
11 Toegangsbeheer 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Geautoriseerde toegang tot informatiesystemen Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
12 Auditlogboekregistratie en -bewaking 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Gedocumenteerde operationele procedures Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4

Vertrouwelijk beleid voor Microsoft Cloud for Sovereignty Baseline

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de details van naleving van Azure Policy-regelgeving voor vertrouwelijke beleidsregels voor MCfS-soevereiniteitsbasislijn. Zie microsoft Cloud for Sovereignty Policy-portfolio voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
SO.3 - Door de klant beheerde sleutels SO.3 Azure-producten moeten zo mogelijk worden geconfigureerd voor het gebruik van door de klant beheerde sleutels. Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1

Microsoft-benchmark voor cloudbeveiliging

De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. Als u wilt zien hoe deze service volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u de toewijzingsbestanden van Azure Security Benchmark.

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Azure Policy Regulatory Compliance - Microsoft Cloud Security Benchmark.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Netwerkbeveiliging NS-2 Cloudservices beveiligen met netwerkbesturingselementen Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Bevoegde toegang PA-7 Principe van minimale bevoegdheden hanteren Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Gegevensbeveiliging DP-3 Gevoelige gegevens tijdens overdracht versleutelen Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Logboekregistratie en bedreigingsdetectie LT-1 Mogelijkheden voor detectie van bedreigingen inschakelen Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Logboekregistratie en bedreigingsdetectie LT-2 Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Logboekregistratie en bedreigingsdetectie LT-3 Logboekregistratie inschakelen voor beveiligingsonderzoek Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld 1.0.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen 4.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen 5.1.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-2 Veilige configuraties controleren en afdwingen Kubernetes-clusters mogen de standaard naamruimte niet gebruiken 4.2.0
Beheer van beveiligingspostuur en beveiligingsproblemen PV-6 Beveiligingsproblemen snel en automatisch oplossen Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
DevOps-beveiliging DS-6 Beveiliging van workload afdwingen gedurende de DevOps-levenscyclus Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1

NIST SP 800-171 R2

Raadpleeg Naleving van Azure Policy-regelgeving - NIST SP 800-171 R2 om te zien hoe de beschikbare ingebouwde modules voor Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer 3.1.3 De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging 3.13.1 Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging 3.13.10 Cryptografische sleutels instellen en beheren voor cryptografie die wordt gebruikt in organisatiesystemen. Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging 3.13.16 De vertrouwelijkheid van inactieve CUI beschermen. Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en communicatiebeveiliging 3.13.2 Gebruik architectuurontwerpen, technieken voor softwareontwikkeling en principes voor systeemtechniek die effectieve informatiebeveiliging binnen organisatiesystemen bevorderen. Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging 3.13.5 Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken. Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging 3.13.6 Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging 3.13.8 Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging. Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en gegevensintegriteit 3.14.1 Systeemfouten tijdig identificeren, rapporteren en corrigeren. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management 3.4.1 Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management 3.4.2 Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0

NIST SP 800-53 Rev. 4

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - NIST SP 800-53 Rev. 4. Zie NIST SP 800-53 Rev. 4 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer AC-3 (7) Op rollen gebaseerd toegangsbeheer Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer AC-4 Afdwinging van gegevensstromen Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Configuration Management CM-6 Configuratie-instellingen De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management CM-6 Configuratie-instellingen Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Systeem- en communicatiebeveiliging SC-7 Grensbescherming Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-7 (3) Toegangspunten Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-8 Vertrouwelijkheid en integriteit van verzending Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-8 (1) Cryptografische of alternatieve fysieke beveiliging Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-12 Instelling en beheer van cryptografische sleutels Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging SC-28 Bescherming van data-at-rest Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en communicatiebeveiliging SC-28 (1) Cryptografische beveiliging Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en informatieintegriteit SI-2 Foutherstel Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Systeem- en informatieintegriteit SI-2 (6) Eerdere versies van software/firmware verwijderen Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

NIST SP 800-53 Rev. 5

Zie Naleving van Azure Policy-regelgeving - NIST SP 800-53 Rev. 5 om te controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie NIST SP 800-53 Rev. 5 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Toegangsbeheer AC-3 (7) Op rollen gebaseerd toegangsbeheer Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer AC-4 Afdwinging van gegevensstromen Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Configuration Management CM-6 Configuratie-instellingen De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Configuration Management CM-6 Configuratie-instellingen Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Configuration Management CM-6 Configuratie-instellingen Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Systeem- en communicatiebeveiliging SC-7 Grensbescherming Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-7 (3) Toegangspunten Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Systeem- en communicatiebeveiliging SC-8 Vertrouwelijkheid en integriteit van overdracht Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-8 (1) Cryptografische beveiliging Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Systeem- en communicatiebeveiliging SC-12 Instelling en beheer van cryptografische sleutels Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Systeem- en communicatiebeveiliging SC-28 Beveiliging van data-at-rest Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en communicatiebeveiliging SC-28 (1) Cryptografische beveiliging Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Systeem- en gegevensintegriteit SI-2 Foutherstel Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Systeem- en gegevensintegriteit SI-2 (6) Eerdere versies van software en firmware verwijderen Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

NL BIO Cloud Thema

Als u wilt bekijken hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de details van naleving van Azure Policy-regelgeving voor NL BIO-cloudthema's. Zie Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl) voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
C.04.3 Technisch beheer van beveiligingsproblemen - Tijdlijnen C.04.3 Als de kans op misbruik en de verwachte schade beide hoog zijn, worden patches uiterlijk binnen een week geïnstalleerd. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
C.04.6 Technisch beheer van beveiligingsproblemen - Tijdlijnen C.04.6 Technische zwakke punten kunnen tijdig worden opgelost door patchbeheer uit te voeren. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen 4.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen 5.1.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-clusters mogen de standaard naamruimte niet gebruiken 4.2.0
C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd C.04.7 Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
U.05.1-gegevensbescherming - Cryptografische metingen U.05.1 Gegevenstransport wordt beveiligd met cryptografie waar sleutelbeheer wordt uitgevoerd door de CSC zelf, indien mogelijk. Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
U.05.2-gegevensbescherming - Cryptografische metingen U.05.2 Gegevens die zijn opgeslagen in de cloudservice, worden beschermd tot de meest recente status. Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
U.05.2-gegevensbescherming - Cryptografische metingen U.05.2 Gegevens die zijn opgeslagen in de cloudservice, worden beschermd tot de meest recente status. Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
U.07.1 Gegevensscheiding - Geïsoleerd U.07.1 Permanente isolatie van gegevens is een architectuur met meerdere tenants. Patches worden op een gecontroleerde manier gerealiseerd. Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
U.07.3 Gegevensscheiding - Beheerfuncties U.07.3 U.07.3 - De bevoegdheden voor het weergeven of wijzigen van CSC-gegevens en/of versleutelingssleutels worden op een gecontroleerde manier verleend en het gebruik wordt vastgelegd. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
U.09.3 Malware Protection - Detectie, preventie en herstel U.09.3 De malwarebeveiliging wordt uitgevoerd op verschillende omgevingen. Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
U.10.2 Toegang tot IT-services en -gegevens - Gebruikers U.10.2 Onder de verantwoordelijkheid van de CSP wordt toegang verleend aan beheerders. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
U.10.3 Toegang tot IT-services en -gegevens - Gebruikers U.10.3 Alleen gebruikers met geverifieerde apparatuur hebben toegang tot IT-services en -gegevens. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
U.10.5 Toegang tot IT-services en -gegevens - Competent U.10.5 De toegang tot IT-services en -gegevens wordt beperkt door technische maatregelen en is geïmplementeerd. Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
U.11.1 Cryptoservices - Beleid U.11.1 In het cryptografiebeleid zijn ten minste de onderwerpen in overeenstemming met BIO uitgewerkt. Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Cryptoservices U.11.2 - Cryptografische metingen U.11.2 In het geval van PKIoverheid-certificaten worden PKIoverheid-vereisten voor sleutelbeheer gebruikt. In andere situaties wordt ISO11770 gebruikt. Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
U.11.3 Cryptoservices - Versleuteld U.11.3 Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
U.11.3 Cryptoservices - Versleuteld U.11.3 Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host 1.0.1
Logboekregistratie en bewaking van U.15.1 - Vastgelegde gebeurtenissen U.15.1 De schending van de beleidsregels wordt vastgelegd door de CSP en de CSC. Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld 1.0.0

Reserve Bank of India - IT Framework voor NBFC

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - Reserve Bank of India - IT Framework voor NBFC. Zie Reserve Bank of India - IT Framework voor NBFC voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
IT-governance 1 IT-governance-1 Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Informatie en cyberbeveiliging 3.1.a Identificatie en classificatie van informatieassets-3.1 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Informatie en cyberbeveiliging 3.1.c Op rollen gebaseerd toegangsbeheer-3.1 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Informatie en cyberbeveiliging 3.1.g Trails-3.1 Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Informatie en cyberbeveiliging 3.3 Beheer van beveiligingsproblemen-3.3 Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2

Reserve Bank of India IT Framework for Banks v2016

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - RBI ITF Banks v2016. Zie RBI ITF Banks v2016 (PDF) voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Patch-/beveiligingsproblemen en wijzigingsbeheer Patch/Vulnerability & Change Management-7.7 Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Advanced Real-Timethreat Defenseand Management Advanced Real-Timethreat Defenseand Management-13.2 Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Gebruikerstoegangsbeheer/-beheer Gebruikerstoegangsbeheer /Management-8.1 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4

RMIT Maleisië

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Naleving van Azure Policy-regelgeving - RMIT Maleisië. Zie RMIT Maleisië voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Cryptografie 10.19 Cryptografie - 10.19 Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Toegangsbeheer 10.54 Toegangsbeheer - 10.54 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer 10.55 Toegangsbeheer - 10.55 Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Toegangsbeheer 10.55 Toegangsbeheer - 10.55 Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Toegangsbeheer 10.55 Toegangsbeheer - 10.55 Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Toegangsbeheer 10.55 Toegangsbeheer - 10.55 Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Toegangsbeheer 10.55 Toegangsbeheer - 10.55 Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Toegangsbeheer 10.60 Toegangsbeheer - 10.60 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer 10.61 Toegangsbeheer - 10.61 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Toegangsbeheer 10.62 Toegangsbeheer - 10.62 Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Patch en end-of-life systeembeheer 10.65 Patch en end-of-life systeembeheer - 10.65 Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie 1.0.2
Security Operations Centre (SOC) 11.17 Security Operations Centre (SOC) - 11.17 Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Controlemaatregelen voor cyberbeveiliging Bijlage 5.5 Controlemaatregelen inzake cyberbeveiliging - bijlage 5.5 Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken 5.2.0
Controlemaatregelen voor cyberbeveiliging Bijlage 5.6 Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Controlemaatregelen voor cyberbeveiliging Bijlage 5.6 Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Controlemaatregelen voor cyberbeveiliging Bijlage 5.6 Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0

Spanje ENS

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u details over naleving van Azure Policy-regelgeving voor Spanje ENS. Zie CCN-STIC 884 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Beschermende maatregelen mp.s.3 Bescherming van services De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Operationeel framework op.exp.2 Operation Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
Operationeel framework op.exp.3 Operation Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
Operationeel framework op.exp.4 Operation Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
Operationeel framework op.exp.5 Operation Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
Operationeel framework op.exp.6 Operation Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Operationeel framework op.exp.6 Operation Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1
Operationeel framework op.exp.6 Operation Azure Kubernetes Service-clusters configureren om Defender-profiel in te schakelen 4.3.0
Operationeel framework op.exp.7 Operation Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Operationeel framework op.exp.8 Operation Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld 1.0.0
Operationeel framework op.mon.3 Systeembewaking Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) 1.0.1

SWIFT CSP-CSCF v2021

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-services voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u de nalevingsdetails van Azure Policy voor SWIFT CSP-CSCF v2021. Zie SWIFT CSP CSCF v2021 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
SWIFT Environment Protection 1.1 SWIFT Environment Protection Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
SWIFT Environment Protection 1.4 Beperking van internettoegang Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services 2.0.1
Kwetsbaarheid voor aanvallen en beveiligingsproblemen verminderen 2.1 Interne Gegevensstroom-beveiliging Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Afwijkende activiteit detecteren in systemen of transactierecords 6,2 Software-integriteit Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1
Afwijkende activiteit detecteren in systemen of transactierecords 6.5A Inbraakdetectie Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels 1.0.1

Systeem- en organisatiecontroles (SOC) 2

Als u wilt controleren hoe de beschikbare ingebouwde Azure Policy-functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u details over naleving van Azure Policy-regelgeving voor SOC (System and Organization Controls) 2. Zie Systeem- en organisatiebeheer (SOC) 2 voor meer informatie over deze nalevingsstandaard.

Domein Id van besturingselement Titel van besturingselement Beleid
(Azure-portal)
Beleidsversie
(GitHub)
Besturingselementen voor logische en fysieke toegang CC6.1 Beveiligingssoftware, infrastructuur en architecturen voor logische toegang Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Besturingselementen voor logische en fysieke toegang CC6.3 Op Rollen gebaseerde toegang en minimale bevoegdheid Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services 1.0.4
Besturingselementen voor logische en fysieke toegang CC6.6 Beveiligingsmaatregelen tegen bedreigingen buiten systeemgrenzen Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Besturingselementen voor logische en fysieke toegang CC6.7 Het verplaatsen van gegevens beperken tot geautoriseerde gebruikers Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS 8.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen 4.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen 5.1.0
Besturingselementen voor logische en fysieke toegang CC6.8 Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software Kubernetes-clusters mogen de standaard naamruimte niet gebruiken 4.2.0
Systeembewerkingen CC7.2 Systeemonderdelen controleren op afwijkend gedrag Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld 2.0.1
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters 1.0.2
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten 9.3.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen 5.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) 6.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) 6.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken 9.3.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) 6.3.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) 6.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) 6.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) 6.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten 8.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-cluster mag geen bevoegde containers toestaan 9.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen 4.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) 7.2.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen 5.1.0
Wijzigingsbeheer CC8.1 Wijzigingen in infrastructuur, gegevens en software Kubernetes-clusters mogen de standaard naamruimte niet gebruiken 4.2.0

Volgende stappen