Mechanizmy kontroli zgodności z przepisami usługi Azure Policy dla usługi Azure Kubernetes Service (AKS)
Zgodność z przepisami w usłudze Azure Policy udostępnia definicje inicjatyw (wbudowane) utworzone i zarządzane przez firmę Microsoft dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Na tej stronie wymieniono domeny zgodności usługi Azure Kubernetes Service (AKS) i mechanizmy kontroli zabezpieczeń.
Wbudowane funkcje kontroli zabezpieczeń można przypisać indywidualnie, aby ułatwić zapewnienie zgodności zasobów platformy Azure z określonym standardem.
Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja zasad, aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Ważne
Każda kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą. Jednak często między kontrolką a co najmniej jedną zasadą nie występuje dopasowanie jeden do jednego lub całkowitego dopasowania. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami zgodności z przepisami usługi Azure Policy dla tych standardów zgodności mogą ulec zmianie w czasie.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.5 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.5 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla modelu CIS w wersji 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.7 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
CmMC Poziom 3
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — poziom 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Kontrola dostępu | AC.2.007 | Zastosuj zasadę najniższych uprawnień, w tym dla określonych funkcji zabezpieczeń i uprzywilejowanych kont. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Kontrola dostępu | AC.2.016 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Zarządzanie konfiguracją | CM.2.062 | Zastosowanie zasady najmniejszych funkcji przez skonfigurowanie systemów organizacyjnych w celu zapewnienia tylko podstawowych możliwości. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwia korzystanie z programów, funkcji, portów, protokołów i usług. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Ocena ryzyka | RM.2.143 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Ochrona systemu i komunikacji | SC.3.177 | Stosowanie kryptografii zweryfikowanej przez standard FIPS w przypadku ochrony poufności cuI. | Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Integralność systemu i informacji | SI.1.210 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu informacji i informacji w odpowiednim czasie. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
FedRAMP High
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.
FedRAMP Moderate
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.
HIPAA HITRUST 9.2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — HIPAA HITRUST 9.2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz HIPAA HITRUST 9.2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie uprawnieniami | 1149.01c2System.9 — 01.c | Organizacja ułatwia udostępnianie informacji, umożliwiając autoryzowanym użytkownikom określenie dostępu partnera biznesowego, gdy dyskrecja jest dozwolona zgodnie z definicją organizacji, oraz przez zastosowanie procesów ręcznych lub zautomatyzowanych mechanizmów ułatwiających użytkownikom podejmowanie decyzji dotyczących udostępniania/współpracy informacji. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| 11 Kontrola dostępu | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| 12 Inspekcja rejestrowania i monitorowania | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Udokumentowane procedury operacyjne | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
Zasady poufne punktu odniesienia dla chmury firmy Microsoft dla suwerenności
Aby dowiedzieć się, w jaki sposób dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla zasad poufnych punktu odniesienia suwerenności MCfS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Portfolio zasad suwerenności usługi Microsoft Cloud for Sovereignty Policy.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| SO.3 — Klucze zarządzane przez klienta | SO.3 | Produkty platformy Azure muszą być skonfigurowane do korzystania z kluczy zarządzanych przez klienta, jeśli jest to możliwe. | Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
Wzorzec bezpieczeństwa w chmurze Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Aby zobaczyć, jak ta usługa całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pliki mapowania testów porównawczych zabezpieczeń platformy Azure.
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Artykuł Azure Policy Regulatory Compliance — Microsoft Cloud Security Benchmark (Zgodność z przepisami usługi Azure Policy — test porównawczy zabezpieczeń w chmurze firmy Microsoft).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Bezpieczeństwo sieci | NS-2 | Zabezpieczanie usług w chmurze za pomocą kontrolek sieci | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Dostęp uprzywilejowany | PA-7 | Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień) | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Ochrona danych | DP-3 | Szyfrowanie poufnych danych przesyłanych | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-1 | Włączanie możliwości wykrywania zagrożeń | Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | 2.0.1 |
| Rejestrowanie i wykrywanie zagrożeń | LT-2 | Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem | Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | 2.0.1 |
| Rejestrowanie i wykrywanie zagrożeń | LT-3 | Włączanie rejestrowania na potrzeby badania zabezpieczeń | Dzienniki zasobów w usłudze Azure Kubernetes Service powinny być włączone | 1.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-2 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | 1.0.1 |
| Zabezpieczenia metodyki DevOps | DS-6 | Wymuszanie zabezpieczeń obciążenia w całym cyklu życia metodyki DevOps | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.10 | Ustanów klucze kryptograficzne dla kryptografii stosowanej w systemach organizacyjnych i zarządzaj nimi. | Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona systemu i komunikacji | 3.13.16 | Ochrona poufności aktualizacji CUI magazynowanych. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | 1.0.1 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.8 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu cuI podczas transmisji, chyba że są chronione w inny sposób przez alternatywne zabezpieczenia fizyczne. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
NIST SP 800-53 Rev. 4
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.
Motyw chmury NL BIO
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.6 — osie czasu | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Ochrona danych u.05.1 — środki kryptograficzne | U.05.1 | Transport danych jest zabezpieczony za pomocą kryptografii, w której zarządzanie kluczami odbywa się przez samą csc, jeśli jest to możliwe. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | 1.0.1 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Separacja danych U.07.3 — funkcje zarządzania | U.07.3 | U.07.3 — uprawnienia do wyświetlania lub modyfikowania danych CSC i/lub kluczy szyfrowania są przyznawane w kontrolowany sposób i są rejestrowane. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Kryptografia U.11.1 — zasady | U.11.1 | W polityce kryptograficznej co najmniej podmioty zgodne z BIO zostały opracowane. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | 1.0.1 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Dzienniki zasobów w usłudze Azure Kubernetes Service powinny być włączone | 1.0.0 |
Bank rezerw Indii — struktura IT dla NBFC
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India - IT Framework for NBFC (Bank of India — struktura IT Framework dla NBFC).
Reserve Bank of India IT Framework for Banks v2016
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RBI ITF Banks v2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RBI ITF Banks v2016 (PDF).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Stosowanie poprawek/luk w zabezpieczeniach i zarządzanie zmianami | Patch/Vulnerability & Change Management-7.7 | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 | |
| Zaawansowane zarządzanie obroną w czasie rzeczywistym | Advanced Real-Timethreat Defenseand Management-13.2 | Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | 2.0.1 | |
| Kontrola dostępu użytkowników/zarządzanie | Kontrola dostępu użytkowników /Zarządzanie-8.1 | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
RMIT Malezja
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RMIT Malaysia. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RMIT Malaysia.
SWIFT CSP-CSCF v2021
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla swift CSP-CSCF v2021. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2021.
Kontrolki systemu i organizacji (SOC) 2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla kontroli systemu i organizacji (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.3 | Dostęp oparty na rolach i najniższy dostęp | Kontrola dostępu oparta na rolach (RBAC) platformy Azure powinna być używana w usługach Kubernetes Services | 1.0.3 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 8.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.1.0 |
| Operacje systemowe | CC7.2 | Monitorowanie składników systemowych pod kątem nietypowego zachowania | Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | 2.0.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | 1.0.2 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | 5.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.1.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | 6.1.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.1.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | 6.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 7.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.1.0 |
Następne kroki
- Dowiedz się więcej o zgodności z przepisami usługi Azure Policy.
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.