Ingebouwde Azure Policy-definities voor Kubernetes met Azure Arc
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Kubernetes met Azure Arc. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Kubernetes met Azure Arc
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De Azure Backup-extensie moet worden geïnstalleerd in AKS-clusters | Zorg ervoor dat de installatie van de back-upextensie in uw AKS-clusters wordt beveiligd om gebruik te maken van Azure Backup. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clusters met Azure Arc configureren om Microsoft Defender voor Cloud-extensie te installeren | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, uitgeschakeld | 7.3.0-preview |
| [Preview]: Installeer de Azure Backup-extensie in AKS-clusters (beheerd cluster) met een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters die een bepaalde tag bevatten. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Installeer de Azure Backup-extensie in AKS-clusters (beheerd cluster) zonder een bepaalde tag. | Het installeren van de Azure Backup-extensie is een vereiste voor het beveiligen van uw AKS-clusters. Dwing de installatie van de back-upextensie af op alle AKS-clusters zonder een bepaalde tagwaarde. Dit kan u helpen bij het beheren van back-ups van AKS-clusters op schaal. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clusters moeten het maken van een bepaald resourcetype beperken | Het opgegeven Kubernetes-resourcetype mag niet worden geïmplementeerd in een bepaalde naamruimte. | Controleren, Weigeren, Uitgeschakeld | 2.3.0-preview |
| Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd | De Azure Policy-extensie voor Azure Arc biedt op schaal afdwinging en beveiliging op uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier. Meer informatie op https://aka.ms/akspolicydoc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters met Azure Arc moeten worden geconfigureerd met een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters met Azure Arc moeten de Open Service Mesh-extensie hebben geïnstalleerd | Open Service Mesh-extensie biedt alle standaardservice mesh-mogelijkheden voor beveiliging, verkeerbeheer en waarneembaarheid van toepassingsservices. U vindt hier meer informatie: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters met Azure Arc moeten de Strimzi Kafka-extensie hebben geïnstalleerd | De Strimzi Kafka-extensie biedt de operators om Kafka te installeren voor het bouwen van realtime gegevenspijplijnen en streamingtoepassingen met beveiligings- en waarneembaarheidsmogelijkheden. Meer informatie hier: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters met Azure Arc configureren om de Azure Policy-extensie te installeren | Implementeer de extensie van Azure Policy voor Azure Arc om afdwinging op schaal te bieden en uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier te beveiligen. Meer informatie op https://aka.ms/akspolicydoc. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters met Azure Arc configureren voor het gebruik van een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Installatie van Flux-extensie configureren in Kubernetes-cluster | De Flux-extensie installeren op het Kubernetes-cluster om de implementatie van 'fluxconfigurations' in het cluster in te schakelen | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met bucketbron en geheimen in KeyVault | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie is een Bucket SecretKey vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-CA-certificaat | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS CA-certificaat vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS-sleutelgeheim vereist dat is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en lokale geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en SSH-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim van een persoonlijke SSH-sleutel vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van een openbare Git-opslagplaats | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met de opgegeven Flux v2 Bucket-bron met behulp van lokale geheimen | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met https-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn HTTPS-gebruikers- en sleutelgeheimen vereist die zijn opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie zonder geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met behulp van SSH-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim voor een persoonlijke SSH-sleutel in Key Vault vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Zorg ervoor dat clustercontainers gereedheids- of livenesstests hebben geconfigureerd | Dit beleid dwingt af dat alle pods gereedheids- en/of livenesstests hebben geconfigureerd. Testtypen kunnen elk van tcpSocket, httpGet en exec zijn. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | Controleren, Weigeren, Uitgeschakeld | 3.3.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes cluster containers should not use forbidden sysctl interfaces (Kubernetes-clustercontainers mogen geen gebruik maken van verboden sysctl-interfaces) | Containers mogen geen verboden sysctl-interfaces gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Kubernetes cluster containers should only use allowed ProcMountType (Kubernetes-clustercontainers mogen alleen gebruik maken van het toegestane ProcMountType) | Podcontainers kunnen alleen toegestane ProcMountTypes gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-clustercontainers mogen alleen toegestane pull-beleid gebruiken | Het pull-beleid van containers beperken om containers af te dwingen om alleen toegestane installatiekopieën voor implementaties te gebruiken | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Kubernetes cluster containers should only use allowed seccomp profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane seccomp-profielen) | Podcontainers kunnen alleen toegestane seccomp-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
| Kubernetes cluster pod FlexVolume volumes should only use allowed drivers (FlexVolume-volumes van pods in een Kubernetes-cluster mogen alleen toegestane stuurprogramma's gebruiken) | Pod FlexVolume-volumes mogen alleen toegestane stuurprogramma's gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster pods and containers should only use allowed SELinux options (Kubernetes-clusterpods en -containers mogen alleen toegestane SELinux-opties gebruiken) | Pods en containers mogen alleen toegestane SELinux-opties gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes cluster pods should only use allowed volume types (Kubernetes-clusterpods mogen alleen toegestane volumetypen gebruiken) | Pods kunnen alleen toegestane volumetypen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes-clusterpods moeten opgegeven labels gebruiken | Gebruik opgegeven labels om de pods in een Kubernetes-cluster te identificeren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | Gebruik toegestane externe IP-adressen om de mogelijke aanval (CVE-2020-8554) in een Kubernetes-cluster te voorkomen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes-cluster mag geen naakte pods gebruiken | Gebruik van naakte pods blokkeren. Naakte pods worden niet opnieuw gepland in het geval van een knooppuntfout. Pods moeten worden beheerd door Implementatie, Replicset, Daemonset of Taken | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Windows-containers voor Kubernetes-clusters mogen niet te veel CPU en geheugen overcommitteren | Windows-containerresourceaanvragen moeten kleiner of gelijk zijn aan de resourcelimiet of niet zijn opgegeven om overcommit te voorkomen. Als Windows-geheugen te veel is ingericht, worden pagina's op schijf verwerkt , wat de prestaties kan vertragen - in plaats van de container met onvoldoende geheugen te beëindigen | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Windows-containers voor Kubernetes-clusters mogen niet worden uitgevoerd als ContainerAdministrator | Voorkom het gebruik van ContainerAdministrator als de gebruiker om de containerprocessen voor Windows-pods of -containers uit te voeren. Deze aanbeveling is bedoeld om de beveiliging van Windows-knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Windows-containers voor Kubernetes-clusters mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en domeingebruikersgroep | Bepaal de gebruiker die Windows-pods en -containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van Het beveiligingsbeleid voor pods op Windows-knooppunten die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Windows-pods van Kubernetes-cluster mogen geen HostProcess-containers uitvoeren | Voorkom prviledged toegang tot het Windows-knooppunt. Deze aanbeveling is bedoeld om de beveiliging van Windows-knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.2.0 |
| Kubernetes-clusters mogen geen machtigingen voor eindpuntbewerkingen van ClusterRole/system:aggregate-to-edit toestaan | ClusterRole/system:aggregate-to-edit mag geen machtigingen voor eindpuntbewerking toestaan vanwege CVE-2021-25740, Endpoint & EndpointSlice-machtigingen staan doorsturen tussen namen toe, https://github.com/kubernetes/kubernetes/issues/103675. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controle, uitgeschakeld | 3.2.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen geen specifieke beveiligingsopties gebruiken | Gebruik geen specifieke beveiligingsopties in Kubernetes-clusters om niet-toegestane bevoegdheden te voorkomen op de Pod-resource. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.2.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Kubernetes-clusters moeten gebruikmaken van het stuurprogramma StorageClass (Container Storage Interface) (CSI) | De Container Storage Interface (CSI), een standaard voor het beschikbaar maken van willekeurige blok- en opslagsystemen in workloads in containers op Kubernetes. In-tree provisioner StorageClass moet worden afgeschaft sinds AKS versie 1.21. Voor meer informatie, https://aka.ms/aks-csi-driver | Controleren, Weigeren, Uitgeschakeld | 2.3.0 |
| Kubernetes-resources moeten vereiste aantekeningen hebben | Zorg ervoor dat de vereiste aantekeningen zijn gekoppeld aan een bepaald Kubernetes-resourcetype voor verbeterd resourcebeheer van uw Kubernetes-resources. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.