Ingebouwde Azure Policy-definities voor Azure Kubernetes Service
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Kubernetes Service. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Initiatieven
| Name | Beschrijving | Beleidsregels | Versie |
|---|---|---|---|
| [Preview]: Gebruik integriteit van installatiekopieën om ervoor te zorgen dat alleen vertrouwde installatiekopieën worden geïmplementeerd | Gebruik Afbeeldingsintegriteit om ervoor te zorgen dat AKS-clusters alleen vertrouwde installatiekopieën implementeren door de afbeeldingsintegriteit en Azure Policy-invoegtoepassingen in AKS-clusters in te schakelen. Invoegtoepassing Voor afbeeldingsintegriteit en Azure Policy-invoegtoepassing zijn beide vereisten voor het gebruik van afbeeldingsintegriteit om te controleren of de installatiekopieën zijn ondertekend bij de implementatie. Ga voor meer informatie naar https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Preview]: Implementatiebeveiligingen moeten ontwikkelaars helpen bij het ontwikkelen van aanbevolen procedures voor AKS | Een verzameling aanbevolen procedures voor Kubernetes die worden aanbevolen door Azure Kubernetes Service (AKS). Gebruik voor de beste ervaring de implementatiebeveiligingen om dit beleidsinitiatief toe te wijzen: https://aka.ms/aks/deployment-safeguards. Azure Policy-invoegtoepassing voor AKS is een vereiste voor het toepassen van deze aanbevolen procedures op uw clusters. Ga naar aka.ms/akspolicydoc voor instructies over het inschakelen van de Azure Policy-invoegtoepassing | 19 | 1.7.0-preview |
| Basislijnstandaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods voor op Linux gebaseerde workloads | Dit initiatief omvat basislijnstandaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Beperkte standaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods voor op Linux gebaseerde workloads | Dit initiatief omvat beperkte standaarden voor het beveiligingsbeleid voor Kubernetes-clusterpods. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Beleidsdefinities
Microsoft.ContainerService
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: [Afbeeldingsintegriteit] Kubernetes-clusters mogen alleen afbeeldingen gebruiken die zijn ondertekend door notatie | Gebruik afbeeldingen die zijn ondertekend door notatie om ervoor te zorgen dat afbeeldingen afkomstig zijn van vertrouwde bronnen en niet schadelijk worden gewijzigd. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: De Azure Backup-extensie moet worden geïnstalleerd in AKS-clusters | Zorg ervoor dat de installatie van de back-upextensie in uw AKS-clusters wordt beveiligd om gebruik te maken van Azure Backup. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup moet zijn ingeschakeld voor AKS-clusters | Zorg voor beveiliging van uw AKS-clusters door Azure Backup in te schakelen. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde Azure Kubernetes Service-clusters moeten zone-redundant zijn | Beheerde Azure Kubernetes Service-clusters kunnen worden geconfigureerd als zone-redundant of niet. Het beleid controleert de knooppuntgroepen in het cluster en zorgt ervoor dat beschikbaarheidszones zijn ingesteld voor alle knooppuntgroepen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kan afzonderlijke knooppunten niet bewerken | Kan afzonderlijke knooppunten niet bewerken. Gebruikers mogen afzonderlijke knooppunten niet bewerken. Bewerk knooppuntgroepen. Het wijzigen van afzonderlijke knooppunten kan leiden tot inconsistente instellingen, operationele uitdagingen en potentiële beveiligingsrisico's. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Integriteit van installatiekopieën implementeren in Azure Kubernetes Service | Implementeer zowel afbeeldingsintegriteit als invoegtoepassingen voor Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | DeployIfNotExists, uitgeschakeld | 1.0.5-preview |
| [Preview]: Installeer de Azure Backup-extensie in AKS-clusters (beheerd cluster) met een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters die een bepaalde tag bevatten. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Installeer de Azure Backup-extensie in AKS-clusters (beheerd cluster) zonder een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters zonder een bepaalde tagwaarde. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clustercontainerinstallatiekopieën moeten de preStop-hook bevatten | Vereist dat containerinstallatiekopieën een preStop-hook bevatten om processen correct te beëindigen tijdens het afsluiten van pods. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Containerinstallatiekopieën van Kubernetes-clusters mogen geen meest recente installatiekopieën tag bevatten | Vereist dat containerinstallatiekopieën niet gebruikmaken van de meest recente tag in Kubernetes. Het is een best practice om reproduceerbaarheid te garanderen, onbedoelde updates te voorkomen en eenvoudiger foutopsporing en terugdraaiacties te vergemakkelijken met behulp van expliciete en geversiede containerinstallatiekopieën. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clustercontainers mogen alleen installatiekopieën ophalen wanneer er pull-geheimen voor installatiekopieën aanwezig zijn | Het ophalen van installatiekopieën van containers beperken om de aanwezigheid van ImagePullSecrets af te dwingen, waardoor veilige en geautoriseerde toegang tot installatiekopieën binnen een Kubernetes-cluster wordt gegarandeerd | Controleren, Weigeren, Uitgeschakeld | 1.1.0-preview |
| [Preview]: Kubernetes-clusterservices moeten gebruikmaken van unieke selectors | Zorg ervoor dat services in een naamruimte unieke selectors hebben. Een unieke serviceselector zorgt ervoor dat elke service in een naamruimte uniek identificeerbaar is op basis van specifieke criteria. Dit beleid synchroniseert toegangsbeheerbronnen naar OPA via Gatekeeper. Voordat u dit toepast, controleert u of de geheugencapaciteit van Gatekeeper-pods niet wordt overschreden. Parameters zijn van toepassing op specifieke naamruimten, maar synchroniseert alle resources van dat type in alle naamruimten. Momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Kubernetes-cluster moet nauwkeurige budgetten voor podonderbreking implementeren | Voorkomt defecte budgetten voor podonderbrekingen, waardoor een minimum aantal operationele pods wordt gegarandeerd. Raadpleeg de officiële Kubernetes-documentatie voor meer informatie. Is afhankelijk van Gatekeeper-gegevensreplicatie en synchroniseert alle toegangsbeheerobjectresources binnen het bereik ervan in OPA. Voordat u dit beleid toepast, moet u ervoor zorgen dat de gesynchroniseerde toegangsbeheerbronnen uw geheugencapaciteit niet belasten. Hoewel parameters specifieke naamruimten evalueren, worden alle resources van dat type tussen naamruimten gesynchroniseerd. Opmerking: momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Kubernetes-clusters moeten het maken van een bepaald resourcetype beperken | Het opgegeven Kubernetes-resourcetype mag niet worden geïmplementeerd in een bepaalde naamruimte. | Controleren, Weigeren, Uitgeschakeld | 2.2.0-preview |
| [Preview]: er moeten antiaffiniteitsregels zijn ingesteld | Dit beleid zorgt ervoor dat pods worden gepland op verschillende knooppunten in het cluster. Door antiaffiniteitsregels af te dwingen, wordt de beschikbaarheid gehandhaafd, zelfs als een van de knooppunten niet meer beschikbaar is. Pods blijven worden uitgevoerd op andere knooppunten, waardoor de tolerantie wordt verbeterd. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: geen specifieke AKS-labels | Hiermee voorkomt u dat klanten AKS-specifieke labels toepassen. AKS maakt gebruik van labels die voorafgegaan zijn door kubernetes.azure.com AKS-onderdelen. De klant mag deze labels niet gebruiken. |
Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Taints van gereserveerde systeemgroep | Beperkt de CriticalAddonsOnly taint tot alleen de systeemgroep. AKS gebruikt de Taint CriticalAddonsOnly om klantpods weg te houden van de systeemgroep. Het zorgt voor een duidelijke scheiding tussen AKS-onderdelen en klantpods, en voorkomt dat klantpods worden verwijderd als ze de CriticalAddonsOnly-taint niet tolereren. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Beperkt de Taint CriticalAddonsOnly tot alleen de systeemgroep. | Om verwijdering van gebruikers-apps uit gebruikersgroepen te voorkomen en de scheiding van problemen tussen de gebruikers- en systeemgroepen te behouden, mag de taint CriticalAddonsOnly niet worden toegepast op gebruikersgroepen. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u CPU-limieten voor Kubernetes-clustercontainers in op standaardwaarden voor het geval deze niet aanwezig zijn. | Cpu-limieten voor containers instellen om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.1.1-preview |
| [Preview]: Hiermee stelt u geheugenlimieten voor Kubernetes-clustercontainers in op standaardwaarden voor het geval deze niet aanwezig zijn. | Stel limieten voor containergeheugen in om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.1.1-preview |
| [Preview]: hiermee stelt u maxUnavailable pods in op 1 voor PodDisruptionBudget-resources | Als u de maximaal beschikbare podwaarde instelt op 1, zorgt u ervoor dat uw toepassing of service beschikbaar is tijdens een onderbreking | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u readOnlyRootFileSystem in de Pod-specificatie in init-containers in op waar als deze niet is ingesteld. | Als u readOnlyRootFileSystem instelt op true, wordt de beveiliging verhoogd door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven. Dit werkt alleen voor Linux-containers. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u readOnlyRootFileSystem in de podspecificatie in op waar als deze niet is ingesteld. | Het instellen van readOnlyRootFileSystem op true verhoogt de beveiliging door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven | Dempen, uitgeschakeld | 1.1.0-preview |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
| Azure Kubernetes-clusters moeten Container Storage Interface (CSI) inschakelen | De Container Storage Interface (CSI) is een standaard voor het beschikbaar maken van willekeurige blok- en bestandsopslagsystemen voor containerworkloads in Azure Kubernetes Service. Voor meer informatie, https://aka.ms/aks-csi-driver | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes-clusters moeten KMS (Key Management Service) inschakelen | Gebruik KMS (Key Management Service) om geheime gegevens in rust te versleutelen in etcd voor kubernetes-clusterbeveiliging. Zie voor meer informatie: https://aka.ms/aks/kmsetcdencryption. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes-clusters moeten Gebruikmaken van Azure CNI | Azure CNI is een vereiste voor sommige Azure Kubernetes Service-functies, waaronder Azure-netwerkbeleid, Windows-knooppuntgroepen en invoegtoepassingen voor virtuele knooppunten. Meer informatie vindt u op: https://aka.ms/aks-azure-cni | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service-clusters moeten opdracht aanroepen uitschakelen | Het aanroepen van opdrachten kan de beveiliging verbeteren door te voorkomen dat beperkte netwerktoegang of op rollen gebaseerd toegangsbeheer van Kubernetes wordt overgeslagen | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van clusters inschakelen | Automatische upgrade van AKS-clusters kan ervoor zorgen dat uw clusters up-to-date zijn en niet de nieuwste functies of patches van AKS en upstream Kubernetes missen. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service-clusters moeten Image Cleaner inschakelen | Image Cleaner voert automatisch kwetsbare, ongebruikte installatiekopieënidentificatie en verwijdering uit, waardoor het risico op verouderde afbeeldingen wordt beperkt en de tijd wordt beperkt die nodig is om ze op te schonen. Zie voor meer informatie: https://aka.ms/aks/image-cleaner. | Controle, uitgeschakeld | 1.0.0 |
| Integratie van Microsoft Entra-id's inSchakelen voor Azure Kubernetes Service Clusters | Door AKS beheerde Microsoft Entra ID-integratie kan de toegang tot de clusters beheren door op rollen gebaseerd toegangsbeheer (Kubernetes RBAC) van Kubernetes te configureren op basis van de identiteit of het lidmaatschap van een directorygroep van een gebruiker. Zie voor meer informatie: https://aka.ms/aks-managed-aad. | Controle, uitgeschakeld | 1.0.2 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van knooppuntbesturingssysteem inschakelen | Beveiligingsupdates op knooppuntniveau van het besturingssysteem van AKS-knooppunten worden automatisch bijgewerkt. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service Clusters moeten workloadidentiteit inschakelen | Met workloadidentiteit kunt u een unieke identiteit toewijzen aan elke Kubernetes-pod en deze koppelen aan met Azure AD beveiligde resources, zoals Azure Key Vault, waardoor beveiligde toegang tot deze resources vanuit de pod mogelijk is. Zie voor meer informatie: https://aka.ms/aks/wi. | Controle, uitgeschakeld | 1.0.0 |
| Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender for Containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
| Voor Azure Kubernetes Service-clusters moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Kubernetes Service-clusters uitsluitend Azure Active Directory-identiteiten voor verificatie vereisen. Zie voor meer informatie: https://aka.ms/aks-disable-local-accounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten beheerde identiteiten gebruiken | Gebruik beheerde identiteiten om service-principals te verpakken, clusterbeheer te vereenvoudigen en de complexiteit te voorkomen die vereist is voor beheerde service-principals. Meer informatie vindt u op: https://aka.ms/aks-update-managed-identities | Controle, uitgeschakeld | 1.0.1 |
| Privéclusters van Azure Kubernetes Service moeten zijn ingeschakeld | Schakel de functie privécluster voor uw Azure Kubernetes Service-cluster in om ervoor te zorgen dat netwerkverkeer tussen uw API-server en uw knooppuntgroepen alleen in het privénetwerk blijft. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
| Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Controle, uitgeschakeld | 1.0.3 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service-clusters configureren om Defender-profiel in te schakelen | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.Defender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om gegevens van beveiligingsevenementen te verzamelen. Meer informatie over Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, uitgeschakeld | 4.1.0 |
| Installatie van Flux-extensie configureren in Kubernetes-cluster | De Flux-extensie installeren op het Kubernetes-cluster om de implementatie van 'fluxconfigurations' in het cluster in te schakelen | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met bucketbron en geheimen in KeyVault | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie is een Bucket SecretKey vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-CA-certificaat | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS CA-certificaat vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS-sleutelgeheim vereist dat is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en lokale geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en SSH-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim van een persoonlijke SSH-sleutel vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van een openbare Git-opslagplaats | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met de opgegeven Flux v2 Bucket-bron met behulp van lokale geheimen | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met https-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn HTTPS-gebruikers- en sleutelgeheimen vereist die zijn opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie zonder geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met behulp van SSH-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim voor een persoonlijke SSH-sleutel in Key Vault vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Microsoft Entra ID geïntegreerde Azure Kubernetes-serviceclusters configureren met vereiste Beheer groepstoegang | Zorg ervoor dat de clusterbeveiliging wordt verbeterd door de toegang van Beheer istrator tot geïntegreerde AKS-clusters van Microsoft Entra ID centraal te beheren. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Automatische upgrade van knooppuntbesturingssysteem configureren in Azure Kubernetes-cluster | Gebruik automatische upgrade van het knooppuntbesturingssysteem om beveiligingsupdates op knooppuntniveau van AKS-clusters (Azure Kubernetes Service) te beheren. Ga voor meer informatie naar https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Implementeren - Diagnostische instellingen configureren voor Azure Kubernetes Service naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Kubernetes Service geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Azure Policy-invoegtoepassing implementeren op Azure Kubernetes Service-clusters | Gebruik een Azure Policy-invoegtoepassing voor het beheren en rapporteren van de compatibiliteitsstatus van uw AKS-clusters (Azure Kubernetes Service). Zie https://aka.ms/akspolicydoc voor meer informatie. | DeployIfNotExists, uitgeschakeld | 4.1.0 |
| Image Cleaner implementeren in Azure Kubernetes Service | Image Cleaner implementeren in Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-cleaner | DeployIfNotExists, uitgeschakeld | 1.0.4 |
| Gepland onderhoud implementeren om upgrades voor uw AKS-cluster (Azure Kubernetes Service) te plannen en beheren | Met gepland onderhoud kunt u wekelijks onderhoudsvensters plannen om updates uit te voeren en de impact van de werkbelasting te minimaliseren. Als de planning is gepland, worden er alleen upgrades uitgevoerd tijdens het venster dat u hebt geselecteerd. Meer informatie vindt u op: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Opdracht aanroepen uitschakelen in Azure Kubernetes Service-clusters | Door opdracht aanroepen uit te schakelen, kan de beveiliging worden verbeterd door de toegang tot de aanroepopdracht tot het cluster te weigeren | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Zorg ervoor dat clustercontainers gereedheids- of livenesstests hebben geconfigureerd | Dit beleid dwingt af dat alle pods gereedheids- en/of livenesstests hebben geconfigureerd. Testtypen kunnen elk van tcpSocket, httpGet en exec zijn. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes cluster containers should not use forbidden sysctl interfaces (Kubernetes-clustercontainers mogen geen gebruik maken van verboden sysctl-interfaces) | Containers mogen geen verboden sysctl-interfaces gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes cluster containers should only use allowed ProcMountType (Kubernetes-clustercontainers mogen alleen gebruik maken van het toegestane ProcMountType) | Podcontainers kunnen alleen toegestane ProcMountTypes gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.1 |
| Kubernetes-clustercontainers mogen alleen toegestane pull-beleid gebruiken | Het pull-beleid van containers beperken om containers af te dwingen om alleen toegestane installatiekopieën voor implementaties te gebruiken | Controleren, Weigeren, Uitgeschakeld | 3.1.0 |
| Kubernetes cluster containers should only use allowed seccomp profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane seccomp-profielen) | Podcontainers kunnen alleen toegestane seccomp-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster pod FlexVolume volumes should only use allowed drivers (FlexVolume-volumes van pods in een Kubernetes-cluster mogen alleen toegestane stuurprogramma's gebruiken) | Pod FlexVolume-volumes mogen alleen toegestane stuurprogramma's gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.1 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster pods and containers should only use allowed SELinux options (Kubernetes-clusterpods en -containers mogen alleen toegestane SELinux-opties gebruiken) | Pods en containers mogen alleen toegestane SELinux-opties gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods should only use allowed volume types (Kubernetes-clusterpods mogen alleen toegestane volumetypen gebruiken) | Pods kunnen alleen toegestane volumetypen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.1 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clusterpods moeten opgegeven labels gebruiken | Gebruik opgegeven labels om de pods in een Kubernetes-cluster te identificeren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | Gebruik toegestane externe IP-adressen om de mogelijke aanval (CVE-2020-8554) in een Kubernetes-cluster te voorkomen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Kubernetes-cluster mag geen naakte pods gebruiken | Gebruik van naakte pods blokkeren. Naakte pods worden niet opnieuw gepland in het geval van een knooppuntfout. Pods moeten worden beheerd door Implementatie, Replicset, Daemonset of Taken | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Windows-containers voor Kubernetes-clusters mogen niet te veel CPU en geheugen overcommitteren | Windows-containerresourceaanvragen moeten kleiner of gelijk zijn aan de resourcelimiet of niet zijn opgegeven om overcommit te voorkomen. Als Windows-geheugen te veel is ingericht, worden pagina's op schijf verwerkt , wat de prestaties kan vertragen - in plaats van de container met onvoldoende geheugen te beëindigen | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Windows-containers voor Kubernetes-clusters mogen niet worden uitgevoerd als container Beheer istrator | Voorkom het gebruik van Container Beheer istrator als de gebruiker om de containerprocessen voor Windows-pods of -containers uit te voeren. Deze aanbeveling is bedoeld om de beveiliging van Windows-knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Windows-containers voor Kubernetes-clusters mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en domeingebruikersgroep | Bepaal de gebruiker die Windows-pods en -containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van Het beveiligingsbeleid voor pods op Windows-knooppunten die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.1.0 |
| Kubernetes-clusters moeten ervoor zorgen dat de rol clusterbeheerder alleen wordt gebruikt waar nodig | De rol 'clusterbeheerder' biedt uitgebreide bevoegdheden over de omgeving en moet alleen worden gebruikt wanneer en wanneer dat nodig is. | Controle, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters moeten het gebruik van jokertekens in rol- en clusterrol minimaliseren | Het gebruik van jokertekens '*' kan een beveiligingsrisico zijn omdat hiermee brede machtigingen worden verleend die mogelijk niet nodig zijn voor een specifieke rol. Als een rol te veel machtigingen heeft, kan deze mogelijk worden misbruikt door een aanvaller of gecompromitteerde gebruiker om onbevoegde toegang te krijgen tot resources in het cluster. | Controle, uitgeschakeld | 1.0.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusters mogen geen machtigingen voor eindpuntbewerkingen van ClusterRole/system:aggregate-to-edit toestaan | ClusterRole/system:aggregate-to-edit mag geen machtigingen voor eindpuntbewerking toestaan vanwege CVE-2021-25740, Endpoint & EndpointSlice-machtigingen staan doorsturen tussen namen toe, https://github.com/kubernetes/kubernetes/issues/103675. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controle, uitgeschakeld | 3.1.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen geen specifieke beveiligingsopties gebruiken | Gebruik geen specifieke beveiligingsopties in Kubernetes-clusters om niet-toegestane bevoegdheden te voorkomen op de Pod-resource. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.1.0 |
| Kubernetes-clusters moeten gebruikmaken van het stuurprogramma StorageClass (Container Storage Interface) (CSI) | De Container Storage Interface (CSI), een standaard voor het beschikbaar maken van willekeurige blok- en opslagsystemen in workloads in containers op Kubernetes. In-tree provisioner StorageClass moet worden afgeschaft sinds AKS versie 1.21. Voor meer informatie, https://aka.ms/aks-csi-driver | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Kubernetes-clusters moeten gebruikmaken van interne load balancers | Gebruik interne load balancers om een Kubernetes-service alleen toegankelijk te maken voor toepassingen die worden uitgevoerd in hetzelfde virtuele netwerk als het Kubernetes-cluster. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-resources moeten vereiste aantekeningen hebben | Zorg ervoor dat de vereiste aantekeningen zijn gekoppeld aan een bepaald Kubernetes-resourcetype voor verbeterd resourcebeheer van uw Kubernetes-resources. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 3.1.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
| Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld | De resourcelogboeken van Azure Kubernetes Service kunnen helpen bij het opnieuw maken van activiteitentrails bij het onderzoeken van beveiligingsincidenten. Schakel deze in om ervoor te zorgen dat de logboeken bestaan wanneer dat nodig is | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.