Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities voor Azure Kubernetes Service. Zie Azure Policy ingebouwde definities voor aanvullende Azure Policy ingebouwde Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Version om de bron in de Azure Policy GitHub-opslagplaats weer te geven.
Initiatieven
| Naam | Beschrijving | Beleid | Versie |
|---|---|---|---|
| [preview]: gebruik afbeeldingsintegriteit om ervoor te zorgen dat alleen vertrouwde installatiekopieën worden geïmplementeerd | Gebruik afbeeldingsintegriteit om ervoor te zorgen dat AKS-clusters alleen vertrouwde installatiekopieën implementeren door de integriteit van de installatiekopie en Azure Policy Add-Ons in AKS-clusters in te schakelen. Afbeeldingsintegriteit Add-On en Azure Policy Add-On zijn beide vereisten voor het gebruik van afbeeldingsintegriteit om te controleren of de installatiekopieën zijn ondertekend bij de implementatie. Ga voor meer informatie naar https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [preview]: Kubernetes-cluster moet de aanbevelingen voor beveiligingsbeheer van Kubernetes-benchmark (CIS) Voor Internet Security (CIS) volgen | Dit initiatief omvat het beleid voor de beveiligingsaanbevelingen van het CIS Kubernetes-benchmark (Center voor Internet Security). U kunt dit initiatief gebruiken om blijvend te voldoen aan de CIS Kubernetes-benchmark. Ga voor meer informatie over CIS-naleving naar: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-preview |
| Beveiligingen voor implementatie moeten ontwikkelaars helpen bij het begeleiden van aanbevolen procedures voor AKS | Een verzameling aanbevolen procedures voor Kubernetes die worden aanbevolen door Azure Kubernetes Service (AKS). Gebruik voor de beste ervaring de implementatiebeveiligingen om dit beleidsinitiatief toe te wijzen: https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On voor AKS is een vereiste voor het toepassen van deze aanbevolen procedures op uw clusters. Ga naar aka.ms/akspolicydoc voor instructies over het inschakelen van de Azure Policy-invoegtoepassing | 27 | 3.0.0 |
| Kubernetes-clusterbeveiligingsbasislijnstandaarden voor linux-workloads | Dit initiatief omvat basislijnstandaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes-clusterpodbeveiligingsstandaarden voor linux-workloads | Dit initiatief omvat beperkte standaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Beleidsdefinities
Microsoft. ContainerService
| Naam (Azure portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: [Afbeeldingsintegriteit] Kubernetes-clusters mogen alleen afbeeldingen gebruiken die zijn ondertekend door notatie | Gebruik afbeeldingen die zijn ondertekend door notatie om ervoor te zorgen dat afbeeldingen afkomstig zijn van vertrouwde bronnen en niet schadelijk worden gewijzigd. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | Controle, uitgeschakeld | 1.1.0-preview |
| [preview]: Azure Backup-extensie moet worden geïnstalleerd in AKS-clusters | Zorg ervoor dat de installatie van de back-upextensie in uw AKS-clusters wordt beveiligd om gebruik te maken van Azure Backup. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Azure Backup moet zijn ingeschakeld voor AKS-clusters | Zorg voor beveiliging van uw AKS-clusters door Azure Backup in te schakelen. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Azure Kubernetes Service beheerde clusters moeten zone-redundant zijn | Azure Kubernetes Service beheerde clusters kunnen worden geconfigureerd als zone-redundant of niet. Het beleid controleert de knooppuntgroepen in het cluster en zorgt ervoor dat beschikbaarheidszones zijn ingesteld voor alle knooppuntgroepen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [preview]: Integriteit van installatiekopieën implementeren op Azure Kubernetes Service | Implementeer zowel afbeeldingsintegriteit als beleid Add-Ons Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | DeployIfNotExists, uitgeschakeld | 1.2.0-preview |
| [preview]: installeer Azure Backup-extensie in AKS-clusters (beheerd cluster) met een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters die een bepaalde tag bevatten. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [preview]: installeer Azure Backup-extensie in AKS-clusters (beheerd cluster) zonder een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters zonder een bepaalde tagwaarde. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clustercontainers mogen alleen toegestane sysctl-interfaces gebruiken | Containers mogen alleen toegestane sysctl-interfaces gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-cluster moet nauwkeurige budgetten voor podonderbreking implementeren | Voorkomt defecte budgetten voor podonderbrekingen, waardoor een minimum aantal operationele pods wordt gegarandeerd. Raadpleeg de officiële Kubernetes-documentatie voor meer informatie. Is afhankelijk van gatekeeper-gegevensreplicatie en synchroniseert alle resources Deployment, StatefulSet en PodDisruptionBudget die hierop zijn gericht in OPA. Voordat u dit beleid toepast, moet u ervoor zorgen dat de gesynchroniseerde resources uw geheugencapaciteit niet belasten. Alle resources van dit type in naamruimten worden gesynchroniseerd. Opmerking: momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.3.1-preview |
| [Preview]: Kubernetes-clusters moeten het maken van een bepaald resourcetype beperken | Het opgegeven Kubernetes-resourcetype mag niet worden geïmplementeerd in een bepaalde naamruimte. | Controleren, Weigeren, Uitgeschakeld | 2.3.0-preview |
| [Preview]: Hiermee voorkomt u dat containers worden uitgevoerd als root door runAsNotRoot in te stellen op true. | Als u runAsNotRoot instelt op true, wordt de beveiliging verhoogd door te voorkomen dat containers als hoofdmap worden uitgevoerd. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee voorkomt u dat init-containers als root worden uitgevoerd door runAsNotRoot in te stellen op true. | Als u runAsNotRoot instelt op true, wordt de beveiliging verhoogd door te voorkomen dat containers als hoofdmap worden uitgevoerd. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u kubernetes-clustercontainer securityContext.runAsUser-velden in op 1000, een niet-hoofdgebruikers-id | Vermindert het kwetsbaarheid voor aanvallen door bevoegdheden te escaleren als hoofdgebruiker in aanwezigheid van beveiligingsproblemen. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: hiermee stelt u het profieltype beveiligde computingmodus van Kubernetes-clustercontainers in op RuntimeDefault als deze niet aanwezig is. | Het instellen van het profieltype beveiligde computingmodus voor containers om onbevoegde en mogelijk schadelijke systeemaanroepen naar de kernel vanuit de gebruikersruimte te voorkomen. | Dempen, uitgeschakeld | 1.2.0-preview |
| [Preview]: Stelt kubernetes-cluster init-containers securityContext.runAsUser-velden in op 1000, een niet-hoofdgebruikers-id | Vermindert het kwetsbaarheid voor aanvallen door bevoegdheden te escaleren als hoofdgebruiker in aanwezigheid van beveiligingsproblemen. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: hiermee stelt u het profieltype beveiligde computingmodus van Kubernetes-cluster init-containers in op RuntimeDefault als deze niet aanwezig is. | Het instellen van het profieltype beveiligde computingmodus voor init-containers om onbevoegde en mogelijk schadelijke systeemaanroepen naar de kernel vanuit de gebruikersruimte te voorkomen. | Dempen, uitgeschakeld | 1.2.0-preview |
| [Preview]: Hiermee stelt u de velden Kubernetes-cluster Pod securityContext.runAsUser in op 1000, een niet-hoofdgebruikers-id | Vermindert het kwetsbaarheid voor aanvallen door bevoegdheden te escaleren als hoofdgebruiker in aanwezigheid van beveiligingsproblemen. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u uitbreiding van bevoegdheden in de podspecificatie in init-containers in op false. | Het instellen van escalatie van bevoegdheden op onwaar init-containers verhoogt de beveiliging door te voorkomen dat containers uitbreiding van bevoegdheden toestaan, zoals via set-user-ID of set-group-ID-bestandsmodus. | Dempen, uitgeschakeld | 1.2.0-preview |
| [Preview]: Hiermee stelt u uitbreiding van bevoegdheden in de podspecificatie in op onwaar. | Het instellen van uitbreiding van bevoegdheden op onwaar verhoogt de beveiliging door te voorkomen dat containers escalatie van bevoegdheden toestaan, zoals via set-user-ID of set-group-ID-bestandsmodus. | Dempen, uitgeschakeld | 1.2.0-preview |
| [preview]: hiermee stelt u Een beschadigdePodEvictionPolicy in op 'AlwaysAllow' | Hiermee stelt u podonderbrekingsbudget 'UnhealthyPodEvictionPolicy' in op AlwaysAllow, zodat zelfs beschadigde pods kunnen worden verwijderd bij het uitvoeren van clusterbeheer | Dempen, uitgeschakeld | 1.1.0-preview |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
| Als u SSH uitschakelt, kunt u uw cluster beveiligen en het kwetsbaarheid voor aanvallen verminderen. Ga voor meer informatie naar: aka.ms/aks/disablessh | Controle, uitgeschakeld | 1.0.0 | |
| De Container Storage Interface (CSI) is een standaard voor het beschikbaar maken van willekeurige blok- en bestandsopslagsystemen voor workloads in containers op Azure Kubernetes Service. Voor meer informatie, https://aka.ms/aks-csi-driver | Controle, uitgeschakeld | 1.0.0 | |
| Gebruik KMS (Key Management Service) om geheime gegevens in rust te versleutelen in etcd voor kubernetes-clusterbeveiliging. Zie voor meer informatie: https://aka.ms/aks/kmsetcdencryption. | Controle, uitgeschakeld | 1.1.0 | |
| Azure Kubernetes-clusters moeten gebruikmaken van Azure CNI | Azure CNI is een vereiste voor sommige Azure Kubernetes Service functies, waaronder Azure netwerkbeleid, Windows knooppuntgroepen en virtuele knooppuntinvoegtoepassingen. Meer informatie vindt u op: https://aka.ms/aks-azure-cni | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service-clusters moeten lid zijn van een Azure Kubernetes Fleet Manager. | Detecteer en rapporteer AKS-clusters die geen lid zijn van een Azure Kubernetes Fleet Manager. Ga naar https://aka.ms/kubernetes-fleet/policy voor meer informatie | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service clusters moeten opdracht aanroepen uitschakelen | Het aanroepen van opdrachten kan de beveiliging verbeteren door te voorkomen dat beperkte netwerktoegang of op rollen gebaseerd toegangsbeheer van Kubernetes wordt overgeslagen | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van clusters inschakelen | Automatische upgrade van AKS-clusters kan ervoor zorgen dat uw clusters up-to-date zijn en niet de nieuwste functies of patches van AKS en upstream Kubernetes missen. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service Clusters moeten Image Cleaner | Image Cleaner voert automatisch kwetsbare, ongebruikte installatiekopieënidentificatie en verwijdering uit, waardoor het risico op verouderde afbeeldingen wordt beperkt en de tijd wordt beperkt die nodig is om ze op te schonen. Zie voor meer informatie: https://aka.ms/aks/image-cleaner. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service Clusters moeten Microsoft Entra ID integratie inschakelen | Met AKS beheerde Microsoft Entra ID-integratie kan de toegang tot de clusters worden beheerd door op rollen gebaseerd toegangsbeheer (Kubernetes RBAC) van Kubernetes te configureren op basis van het lidmaatschap van een gebruikersidentiteit of directorygroep. Zie voor meer informatie: https://aka.ms/aks-managed-aad. | Controle, uitgeschakeld | 1.0.2 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van het knooppuntbesturingssysteem inschakelen | Beveiligingsupdates op knooppuntniveau van het besturingssysteem van AKS-knooppunten worden automatisch bijgewerkt. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service Clusters moeten workloadidentiteit inschakelen | Met de workload-identiteit kunt u een unieke identiteit toewijzen aan elke Kubernetes-pod en deze koppelen aan Azure met AD beveiligde resources, zoals Azure Key Vault, waardoor beveiligde toegang tot deze resources mogelijk is vanuit de Pod. Zie voor meer informatie: https://aka.ms/aks/wi. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | Microsoft Defender voor containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om gegevens van beveiligingsevenementen te verzamelen. Meer informatie over Microsoft Defender voor containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
| Azure Kubernetes Service Clusters moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Kubernetes Service clusters uitsluitend Azure Active Directory identiteiten voor verificatie vereisen. Zie voor meer informatie: https://aka.ms/aks-disable-local-accounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten beheerde identiteiten gebruiken | Gebruik beheerde identiteiten om service-principals te verpakken, clusterbeheer te vereenvoudigen en de complexiteit te voorkomen die vereist is voor beheerde service-principals. Meer informatie vindt u op: https://aka.ms/aks-update-managed-identities | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service privéclusters moeten zijn ingeschakeld | Schakel de functie privécluster voor uw Azure Kubernetes Service-cluster in om ervoor te zorgen dat netwerkverkeer tussen uw API-server en uw knooppuntgroepen alleen in het privénetwerk blijft. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | Azure Policy invoegtoepassing voor Kubernetes Service (AKS) breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA), uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. | Controle, uitgeschakeld | 1.0.2 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Kan afzonderlijke knooppunten niet bewerken | Kan afzonderlijke knooppunten niet bewerken. Gebruikers mogen afzonderlijke knooppunten niet bewerken. Bewerk knooppuntgroepen. Het wijzigen van afzonderlijke knooppunten kan leiden tot inconsistente instellingen, operationele uitdagingen en potentiële beveiligingsrisico's. | Controleren, Weigeren, Uitgeschakeld | 1.3.1 |
| AKS-clusters configureren om automatisch lid te worden van de opgegeven Azure Kubernetes Fleet Manager | Detecteer en zorg ervoor dat AKS-clusters lid worden van een bepaalde Azure Kubernetes Fleet Manager. Selecteer desgewenst een opzoektag om op te geven welke vlootupdategroep moet worden toegevoegd. Ga naar https://aka.ms/kubernetes-fleet/policy voor meer informatie | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Cluster Azure Kubernetes Service s configureren om Defender profiel in te schakelen | Microsoft Defender voor containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile inschakelt. Defender op uw Azure Kubernetes Service-cluster wordt een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender voor containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, uitgeschakeld | 4.3.0 |
| Installatie van Flux-extensie configureren in Kubernetes-cluster | De Flux-extensie installeren op het Kubernetes-cluster om de implementatie van 'fluxconfigurations' in het cluster in te schakelen | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met bucketbron en geheimen in KeyVault | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie is een Bucket SecretKey vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-CA-certificaat | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS CA-certificaat vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS-sleutelgeheim vereist dat is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en lokale geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en SSH-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim van een persoonlijke SSH-sleutel vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van een openbare Git-opslagplaats | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met de opgegeven Flux v2 Bucket-bron met behulp van lokale geheimen | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met https-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn HTTPS-gebruikers- en sleutelgeheimen vereist die zijn opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie zonder geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met behulp van SSH-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim van een persoonlijke SSH-sleutel in Key Vault vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, uitgeschakeld, Uitgeschakeld | 1.1.0 |
| Configure Microsoft Entra ID integrated Azure Kubernetes Service Clusters with required Admin Group Access | Zorg ervoor dat de clusterbeveiliging wordt verbeterd door beheerderstoegang tot Microsoft Entra ID geïntegreerde AKS-clusters centraal te beheren. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Automatische upgrade van knooppuntbesturingssysteem configureren op Azure Kubernetes-cluster | Gebruik automatische upgrade van het knooppuntbesturingssysteem om beveiligingsupdates op knooppuntniveau van Azure Kubernetes Service (AKS) clusters te beheren. Ga voor meer informatie naar https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Deploy: configureer diagnostische instellingen voor Azure Kubernetes Service naar Log Analytics werkruimte | Hiermee worden de diagnostische instellingen voor Azure Kubernetes Service geïmplementeerd om resourcelogboeken naar een Log Analytics werkruimte te streamen. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Deploy Azure Policy-invoegtoepassing voor Azure Kubernetes Service clusters | Gebruik Azure Policy-invoegtoepassing om de nalevingsstatus van uw Azure Kubernetes Service (AKS)-clusters te beheren en te rapporteren. Zie https://aka.ms/akspolicydoc voor meer informatie. | DeployIfNotExists, uitgeschakeld | 4.2.0 |
| Deploy Image Cleaner op Azure Kubernetes Service | Implementeer Image Cleaner op Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-cleaner | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Gepland onderhoud implementeren om upgrades voor uw Azure Kubernetes Service (AKS) cluster te plannen en te beheren | Met gepland onderhoud kunt u wekelijks onderhoudsvensters plannen om updates uit te voeren en de impact van de werkbelasting te minimaliseren. Als de planning is gepland, worden er alleen upgrades uitgevoerd tijdens het venster dat u hebt geselecteerd. Meer informatie vindt u op: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Disable Command Invoke on Azure Kubernetes Service clusters | Door opdracht aanroepen uit te schakelen, kan de beveiliging worden verbeterd door de toegang tot de aanroepopdracht tot het cluster te weigeren | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Zorg ervoor dat clustercontainers gereedheids- of livenesstests hebben geconfigureerd | Dit beleid dwingt af dat alle pods gereedheids- en/of livenesstests hebben geconfigureerd. Testtypen kunnen elk van tcpSocket, httpGet en exec zijn. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | Controleren, Weigeren, Uitgeschakeld | 3.3.0 |
| Containerinstallatiekopieën van Kubernetes-clusters moeten de preStop-hook bevatten | Vereist dat containerinstallatiekopieën een preStop-hook bevatten om processen correct te beëindigen tijdens het afsluiten van pods. | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Containerinstallatiekopieën van Kubernetes-clusters mogen niet de meest recente installatiekopieën van de installatiekopieën bevatten | Vereist dat containerinstallatiekopieën niet gebruikmaken van de meest recente tag in Kubernetes. Het is een best practice om reproduceerbaarheid te garanderen, onbedoelde updates te voorkomen en eenvoudiger foutopsporing en terugdraaiacties te vergemakkelijken met behulp van expliciete en geversiede containerinstallatiekopieën. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Cpu- en geheugenresourceaanvragen voor Kubernetes-clustercontainers moeten worden gedefinieerd | Dwing container-CPU- en geheugenresourceaanvragen af om ervoor te zorgen dat het geplande knooppunt over vereiste resources beschikt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Kubernetes-clustercontainers mogen geen hostnaamruimten delen | Voorkomen dat podcontainers de hostproces-id-naamruimte, host-IPC-naamruimte en hostnetwerknaamruimte delen in een Kubernetes-cluster. Deze aanbeveling is afgestemd op de Kubernetes Pod-beveiligingsstandaarden voor hostnaamruimten en maakt deel uit van CIS 5.2.1, 5.2.2 en 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 6.0.0 |
| Kubernetes cluster containers should not use forbidden sysctl interfaces (Kubernetes-clustercontainers mogen geen gebruik maken van verboden sysctl-interfaces) | Containers mogen geen verboden sysctl-interfaces gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes-clustercontainers mogen alleen installatiekopieën ophalen wanneer installatiekopie pull-geheimen aanwezig zijn | Het ophalen van installatiekopieën van containers beperken om de aanwezigheid van ImagePullSecrets af te dwingen, waardoor veilige en geautoriseerde toegang tot installatiekopieën binnen een Kubernetes-cluster wordt gegarandeerd | Controleren, Weigeren, Uitgeschakeld | 1.3.1 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Kubernetes cluster containers should only use allowed ProcMountType (Kubernetes-clustercontainers mogen alleen gebruik maken van het toegestane ProcMountType) | Podcontainers kunnen alleen toegestane ProcMountTypes gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-clustercontainers mogen alleen toegestane pull-beleid gebruiken | Het pull-beleid van containers beperken om containers af te dwingen om alleen toegestane installatiekopieën voor implementaties te gebruiken | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Kubernetes cluster containers should only use allowed seccomp profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane seccomp-profielen) | Podcontainers kunnen alleen toegestane seccomp-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
| Kubernetes cluster pod FlexVolume volumes should only use allowed drivers (FlexVolume-volumes van pods in een Kubernetes-cluster mogen alleen toegestane stuurprogramma's gebruiken) | Pod FlexVolume-volumes mogen alleen toegestane stuurprogramma's gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
| Kubernetes-clusterpods en -containers moeten voldoen aan SELinux-beveiligingsstandaarden | Dit beleid dwingt Kubernetes Pod Security Standards af voor SELinux-opties. Onder de PSS-modus moeten de velden Gebruiker en Rol leeg zijn en moet het veld Type een van de toegestane waarden zijn. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 8.0.0 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster pods should only use allowed volume types (Kubernetes-clusterpods mogen alleen toegestane volumetypen gebruiken) | Pods kunnen alleen toegestane volumetypen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | Beperk podtoegang tot het hostnetwerk en de toegestane hostpoorten in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren en in overeenstemming te zijn met PSS (Pod Security Standards) voor hostPorts. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 7.0.0 |
| Kubernetes-clusterpods moeten opgegeven labels gebruiken | Gebruik opgegeven labels om de pods in een Kubernetes-cluster te identificeren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | Gebruik toegestane externe IP-adressen om de mogelijke aanval (CVE-2020-8554) in een Kubernetes-cluster te voorkomen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes-clusterservices moeten gebruikmaken van unieke selectors | Zorg ervoor dat services in een naamruimte unieke selectors hebben. Een unieke serviceselector zorgt ervoor dat elke service in een naamruimte uniek identificeerbaar is op basis van specifieke criteria. Dit beleid synchroniseert servicebronnen naar OPA via Gatekeeper. Voordat u dit toepast, controleert u of de geheugencapaciteit van Gatekeeper-pods niet wordt overschreden. Parameters zijn van toepassing op specifieke naamruimten, maar synchroniseert alle resources van dat type in alle naamruimten. Momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.2.2 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes-cluster mag geen naakte pods gebruiken | Gebruik van naakte pods blokkeren. Naakte pods worden niet opnieuw gepland in het geval van een knooppuntfout. Pods moeten worden beheerd door Implementatie, Replicset, Daemonset of Taken | Controleren, Weigeren, Uitgeschakeld | 2.3.1 |
| Kubernetes-cluster Windows-containers mogen de cpu en het geheugen niet overbelasten | Windows containerresourceaanvragen moeten kleiner of gelijk zijn aan de resourcelimiet of niet zijn opgegeven om overcommit te voorkomen. Als Windows geheugen te veel is ingericht, worden pagina's op schijf verwerkt , waardoor de prestaties kunnen worden vertraagd - in plaats van de container met onvoldoende geheugen te beëindigen | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Kubernetes-cluster Windows-containers mogen niet worden uitgevoerd als ContainerAdministrator | Voorkom het gebruik van ContainerAdministrator als de gebruiker om de containerprocessen voor Windows pods of containers uit te voeren. Deze aanbeveling is bedoeld om de beveiliging van Windows knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Kubernetes-cluster Windows-containers mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en domeingebruikersgroep | Bepaal de gebruiker die Windows pods en containers kan gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van Het beveiligingsbeleid voor pods op Windows knooppunten die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Kubernetes-cluster Windows pods mogen geen HostProcess-containers uitvoeren | Voorkom prviledged toegang tot het Windows-knooppunt. Deze aanbeveling is bedoeld om de beveiliging van Windows knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Azure Arc ingeschakelde Kubernetes. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | Controleren, Weigeren, Uitgeschakeld | 9.0.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Kubernetes-clusters moeten ervoor zorgen dat de rol clusterbeheerder alleen wordt gebruikt waar nodig | De rol 'clusterbeheerder' biedt uitgebreide bevoegdheden over de omgeving en moet alleen worden gebruikt wanneer en wanneer dat nodig is. | Controle, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters moeten het gebruik van jokertekens in rol- en clusterrol minimaliseren | Het gebruik van jokertekens '*' kan een beveiligingsrisico zijn omdat hiermee brede machtigingen worden verleend die mogelijk niet nodig zijn voor een specifieke rol. Als een rol te veel machtigingen heeft, kan deze mogelijk worden misbruikt door een aanvaller of gecompromitteerde gebruiker om onbevoegde toegang te krijgen tot resources in het cluster. | Controle, uitgeschakeld | 1.1.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 8.0.0 |
| Kubernetes-clusters mogen geen machtigingen voor eindpuntbewerkingen van ClusterRole/system:aggregate-to-edit toestaan | ClusterRole/system:aggregate-to-edit mag geen machtigingen voor eindpuntbewerking toestaan vanwege CVE-2021-25740, Endpoint & EndpointSlice-machtigingen staan doorsturen tussen namen toe, https://github.com/kubernetes/kubernetes/issues/103675. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controle, uitgeschakeld | 3.2.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen geen specifieke beveiligingsopties gebruiken | Gebruik geen specifieke beveiligingsopties in Kubernetes-clusters om niet-toegestane bevoegdheden te voorkomen op de Pod-resource. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Kubernetes-clusters moeten hostresourceregels voor inkomend verkeer opgeven | Zorg ervoor dat u host in de bronregels voor inkomend verkeer opgeeft om onbedoelde blootstelling van back-endservices aan onbevoegde toegang te voorkomen. Met dit beleid worden Kubernetes-toegangsbeheerbronnen geëvalueerd om ervoor te zorgen dat elke regel een opgegeven hostveld heeft. | Controleren, Weigeren, Uitgeschakeld | 1.1.0-preview |
| Kubernetes-clusters moeten gebruikmaken van het stuurprogramma StorageClass (Container Storage Interface) (CSI) | De Container Storage Interface (CSI), een standaard voor het beschikbaar maken van willekeurige blok- en opslagsystemen in workloads in containers op Kubernetes. In-tree provisioner StorageClass moet worden afgeschaft sinds AKS versie 1.21. Voor meer informatie, https://aka.ms/aks-csi-driver | Controleren, Weigeren, Uitgeschakeld | 2.3.0 |
| Kubernetes-clusters moeten gebruikmaken van interne load balancers | Gebruik interne load balancers om een Kubernetes-service alleen toegankelijk te maken voor toepassingen die worden uitgevoerd in hetzelfde virtuele netwerk als het Kubernetes-cluster. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-resources moeten vereiste aantekeningen hebben | Zorg ervoor dat de vereiste aantekeningen zijn gekoppeld aan een bepaald Kubernetes-resourcetype voor verbeterd resourcebeheer van uw Kubernetes-resources. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
| Er moeten antiaffiniteitsregels of topologiebeperkingen zijn ingesteld | Dit beleid zorgt ervoor dat pods worden gepland op verschillende knooppunten in het cluster. Door antiaffiniteitsregels of beperkingen voor podtopologie af te dwingen, blijft de beschikbaarheid behouden, zelfs als een van de knooppunten niet meer beschikbaar is. Pods blijven worden uitgevoerd op andere knooppunten, waardoor de tolerantie wordt verbeterd. | Controleren, Weigeren, Uitgeschakeld | 1.2.2 |
| K8s-container dempen om alle mogelijkheden te verwijderen | Muteert securityContext.capabilities.drop om 'ALL' toe te voegen. Hierdoor worden alle mogelijkheden voor k8s Linux-containers wegvallen | Dempen, uitgeschakeld | 1.2.1 |
| K8s Init-container dempen om alle mogelijkheden te verwijderen | Muteert securityContext.capabilities.drop om 'ALL' toe te voegen. Hierdoor worden alle mogelijkheden voor k8s Linux-init-containers wegvallen | Dempen, uitgeschakeld | 1.2.1 |
| Geen AKS-specifieke labels | Hiermee voorkomt u dat klanten AKS-specifieke labels toepassen. AKS maakt gebruik van labels die voorafgegaan zijn door kubernetes.azure.com AKS-onderdelen. De klant mag deze labels niet gebruiken. |
Controleren, Weigeren, Uitgeschakeld | 1.2.1 |
| Een bericht afdrukken als een mutatie wordt toegepast | Zoekt de mutatieaantekeningen op die zijn toegepast en drukt een bericht af als er annotatie bestaat. | Controle, uitgeschakeld | 1.2.1 |
| Gereserveerde systeemgroep Taints | Beperkt de CriticalAddonsOnly taint tot alleen de systeemgroep. AKS gebruikt de Taint CriticalAddonsOnly om klantpods weg te houden van de systeemgroep. Het zorgt voor een duidelijke scheiding tussen AKS-onderdelen en klantpods, en voorkomt dat klantpods worden verwijderd als ze de CriticalAddonsOnly-taint niet tolereren. | Controleren, Weigeren, Uitgeschakeld | 1.2.1 |
| Resource-logboeken in Azure Kubernetes Service moeten zijn ingeschakeld | Azure Kubernetes Service resourcelogboeken kunnen helpen bij het opnieuw maken van activiteitentrails bij het onderzoeken van beveiligingsincidenten. Schakel deze in om ervoor te zorgen dat de logboeken bestaan wanneer dat nodig is | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Beperkt de CriticalAddonsOnly taint tot alleen de systeemgroep. | Om verwijdering van gebruikers-apps uit gebruikersgroepen te voorkomen en de scheiding van problemen tussen de gebruikers- en systeemgroepen te behouden, mag de taint CriticalAddonsOnly niet worden toegepast op gebruikersgroepen. | Dempen, uitgeschakeld | 1.3.1 |
| Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Role-Based Access Control (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Controle, uitgeschakeld | 1.1.0 |
| Hiermee stelt u automountServiceAccountToken in de podspecificatie in containers in op false. | Als u automountServiceAccountToken instelt op onwaar, wordt de beveiliging verhoogd door het automatisch koppelen van serviceaccounttokens te voorkomen | Dempen, uitgeschakeld | 1.2.1 |
| Hiermee stelt u CPU-limieten voor Kubernetes-clustercontainers in op standaardwaarden voor het geval deze niet aanwezig zijn. | Cpu-limieten voor containers instellen om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.3.1 |
| Hiermee stelt u geheugenlimieten voor Kubernetes-clustercontainers in op standaardwaarden in het geval dat deze niet aanwezig zijn. | Stel limieten voor containergeheugen in om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.3.1 |
| Hiermee stelt u maxUnavailable pods in op 1 voor PodDisruptionBudget-resources | Als u de maximaal beschikbare podwaarde instelt op 1, zorgt u ervoor dat uw toepassing of service beschikbaar is tijdens een onderbreking | Dempen, uitgeschakeld | 1.3.1 |
| Hiermee stelt u readOnlyRootFileSystem in de podspecificatie in init-containers in op waar als deze niet is ingesteld. | Als u readOnlyRootFileSystem instelt op true, wordt de beveiliging verhoogd door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven. Dit werkt alleen voor Linux-containers. | Dempen, uitgeschakeld | 1.3.1 |
| Hiermee stelt u readOnlyRootFileSystem in de podspecificatie in op waar als deze niet is ingesteld. | Het instellen van readOnlyRootFileSystem op true verhoogt de beveiliging door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven | Dempen, uitgeschakeld | 1.3.1 |
| Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Volgende stappen
- Zie de ingebouwde Azure Policy GitHub opslagplaats.
- Bekijk de definitiestructuur Azure Policy.
- Lees Informatie over de effecten van het beleid.