Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Regulatory Compliance in Azure Policy udostępnia definicje inicjatyw (built-ins) utworzone i zarządzane przez Microsoft dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Ta strona zawiera listę domen zgodności Azure Kubernetes Service (AKS) i mechanizmów kontroli zabezpieczeń.
Możesz przypisać wbudowane elementy dla kontroli zabezpieczeń indywidualnie, aby ułatwić osiągnięcie zgodności zasobów Azure z określonym standardem.
Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w portalu Azure. Użyj linku w kolumnie Policy Version aby wyświetlić źródło w repozytorium Azure Policy GitHub.
Ważne
Każda kontrolka jest skojarzona z co najmniej jedną definicją Azure Policy. Te zasady mogą pomóc ocenić zgodność z kontrolą. Często jednak nie ma jednoznacznego lub pełnego dopasowania między kontrolą a jedną lub więcej zasadami. W związku z tym Compliant w Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje Azure Policy. W związku z tym zgodność w Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między mechanizmami kontroli a definicjami zgodności z przepisami Azure Policy dla tych standardów zgodności mogą ulegać zmianom z biegiem czasu.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Aby sprawdzić, jak wbudowane zasady Azure Policy odnoszą się do tego standardu zgodności dla wszystkich usług Azure, zobacz standard zgodności z przepisami — CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.5 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usłudze Azure Kubernetes Services | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Aby sprawdzić, jak wbudowane zasady Azure Policy dla wszystkich usług Azure odpowiadają temu standardowi zgodności, zobacz Azure Policy Zgodność z przepisami — CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.5 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usłudze Azure Kubernetes Services | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Aby sprawdzić, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zapoznaj się ze Szczegółami zgodności z przepisami Azure Policy dla CIS w wersji 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 8 Inne zagadnienia dotyczące zabezpieczeń | 8.7 | Włączanie kontroli dostępu opartej na rolach (RBAC) w usłudze Azure Kubernetes Services | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
CMMC poziom 3
Aby sprawdzić, w jaki sposób dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami Azure Policy — CMMC Level 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Kontrola dostępu | AC.2.007 | Zastosuj zasadę najniższych uprawnień, w tym dla określonych funkcji zabezpieczeń i uprzywilejowanych kont. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Kontrola dostępu | AC.2.016 | Kontroluj przepływ CUI zgodnie z udzielonymi upoważnieniami. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Zarządzanie konfiguracją | CM.2.062 | Zastosowanie zasady najmniejszych funkcji przez skonfigurowanie systemów organizacyjnych w celu zapewnienia tylko podstawowych możliwości. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliw korzystanie z nieistotnych programów, funkcji, portów, protokołów i usług. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Ocena ryzyka | RM.2.143 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Ochrona systemu i komunikacji | SC.3.177 | Stosuj kryptografię zatwierdzoną przez standard FIPS do ochrony poufności CUI. | Zarówno systemy operacyjne, jak i dyski danych w klastrach Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Integralność systemu i informacji | SI.1.210 | Identyfikuj, zgłaszaj i w odpowiednim czasie koryguj defekty w informacjach i systemach informacyjnych. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
FedRAMP High
Aby sprawdzić, jak wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz Azure Policy - Zgodność z przepisami: FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.
FedRAMP Moderate
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Azure Policy Zgodność z przepisami — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.
HIPAA (Ustawa o przenośności ubezpieczenia zdrowotnego i odpowiedzialności) HITRUST (Zaufany Sojusz ds. Zarządzania Bezpieczeństwem Informacji)
Aby sprawdzić, jak wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Azure Policy Zgodność z przepisami — HIPAA HITRUST. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz HIPAA HITRUST.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie uprawnieniami | 1149.01c2System.9 — 01.c | Organizacja ułatwia udostępnianie informacji, umożliwiając autoryzowanym użytkownikom określenie dostępu partnera biznesowego, gdy dyskrecja jest dozwolona zgodnie z definicją organizacji, oraz przez zastosowanie procesów ręcznych lub zautomatyzowanych mechanizmów ułatwiających użytkownikom podejmowanie decyzji dotyczących udostępniania/współpracy informacji. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| 11 Kontrola Dostępu | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| 12 Rejestrowanie zdarzeń audytowych i monitorowanie | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Udokumentowane procedury operacyjne | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
Zasady bazowe poufności Microsoft Cloud for Sovereignty
Aby sprawdzić, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure odpowiadają temu standardowi zgodności, zapoznaj się z Azure Policy – szczegóły zgodności z przepisami dotyczącymi zasad poufnych punktu odniesienia suwerenności MCfS. Aby uzyskać więcej informacji na temat tego standardu zgodności, odwiedź Microsoft Cloud for Sovereignty portfel zasad.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| SO.3 — Klucze zarządzane przez klienta | SO.3 | Produkty Azure muszą być skonfigurowane do używania kluczy zarządzanych przez klienta, tam, gdzie to możliwe. | Zarówno systemy operacyjne, jak i dyski danych w klastrach Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
test porównawczy zabezpieczeń Microsoft w chmurze
Test porównawczy zabezpieczeń chmury Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na Azure. Aby zobaczyć, w jaki sposób ta usługa w pełni odpowiada porównawczemu standardowi zabezpieczeń Microsoft Cloud, zapoznaj się z plikami mapowania Azure Security Benchmark.
Aby sprawdzić, jak wbudowane zasady Azure dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Zgodność z przepisami Azure Policy — Porównawczy test zabezpieczeń chmury Microsoft.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Bezpieczeństwo sieci | NS-2 | NS-2 Zabezpieczanie usług w chmurze za pomocą kontrolek sieci | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Dostęp uprzywilejowany | PA-7 | PA-7 Kieruj się zasadą administrowania z minimalnymi uprawnieniami (zasada najmniejszych uprawnień) | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Ochrona danych | DP-3 | DP-3 Szyfruj poufne dane podczas przesyłania | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-1 | LT-1 Włączanie możliwości wykrywania zagrożeń | klastry Azure Kubernetes Service powinny mieć włączony profil Defender | 2.0.1 |
| Rejestrowanie i wykrywanie zagrożeń | LT-2 | LT-2 Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem | klastry Azure Kubernetes Service powinny mieć włączony profil Defender | 2.0.1 |
| Rejestrowanie i wykrywanie zagrożeń | LT-3 | LT-3 Włączanie rejestrowania na potrzeby badania zabezpieczeń | Dzienniki zasobów w usłudze Azure Kubernetes powinny być włączone | 1.0.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Dodatek Azure Policy dla usługi Kubernetes (AKS) powinien być zainstalowany i włączony na Twoich klastrach | 1.0.2 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-2 | PV-2 Inspekcja i wymuszanie bezpiecznych konfiguracji | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.2.0 |
| Zarządzanie postawą i lukami w zabezpieczeniach | PV-6 | Pv-6 Szybko i automatycznie koryguje luki w zabezpieczeniach | Obrazy kontenerów uruchamiane przez Azure powinny mieć zidentyfikowane luki w zabezpieczeniach rozwiązane (obsługiwane przez Zarządzanie Lukami w Zabezpieczeniach Microsoft Defender) | 1.0.1 |
| Zabezpieczenia metodyki DevOps | DS-6 | DS-6 Zapewnienie bezpieczeństwa obciążeń w całym cyklu życia DevOps | Obrazy kontenerów uruchamiane przez Azure powinny mieć zidentyfikowane luki w zabezpieczeniach rozwiązane (obsługiwane przez Zarządzanie Lukami w Zabezpieczeniach Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Aby sprawdzić, jak dostępne Azure Policy wbudowane dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz Azure Policy Zgodność z przepisami — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | 3.1.3 | Kontroluj przepływ CUI zgodnie z udzielonymi upoważnieniami. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.10 | Ustanów klucze kryptograficzne dla kryptografii stosowanej w systemach organizacyjnych i zarządzaj nimi. | Zarówno systemy operacyjne, jak i dyski danych w klastrach Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona systemu i komunikacji | 3.13.16 | Chroń poufność CUI w spoczynku. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agentów w klastrach Azure Kubernetes Service powinna być szyfrowana na poziomie hosta | 1.0.1 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Ochrona systemu i komunikacji | 3.13.8 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu CUI podczas transmisji, chyba że są one chronione alternatywnymi zabezpieczeniami fizycznymi. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Dodatek Azure Policy dla usługi Kubernetes (AKS) powinien być zainstalowany i włączony na Twoich klastrach | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Dodatek Azure Policy dla usługi Kubernetes (AKS) powinien być zainstalowany i włączony na Twoich klastrach | 1.0.2 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
NIST SP 800-53 Rev. 4
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy odnoszą się do niniejszego standardu zgodności dla wszystkich usług Azure, zobacz Azure Policy Zgodność z przepisami — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Aby sprawdzić, jak wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, sprawdź Azure Policy Zgodność z przepisami — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.
Motyw NL BIO Cloud
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz szczegóły zgodności z przepisami Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie technicznymi lukami w zabezpieczeniach C.04.3 — Harmonogramy | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Zarządzanie lukami w zabezpieczeniach technicznych C.04.6 — Harmonogram | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Dodatek Azure Policy dla usługi Kubernetes (AKS) powinien być zainstalowany i włączony na Twoich klastrach | 1.0.2 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.2.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Ochrona danych u.05.1 — środki kryptograficzne | U.05.1 | Transport danych jest zabezpieczony za pomocą kryptografii, w której zarządzanie kluczami odbywa się przez samą csc, jeśli jest to możliwe. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione zgodnie z najnowszymi osiągnięciami techniki. | Zarówno systemy operacyjne, jak i dyski danych w klastrach Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione zgodnie z najnowszymi osiągnięciami techniki. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agentów w klastrach Azure Kubernetes Service powinna być szyfrowana na poziomie hosta | 1.0.1 |
| U.07.1 Separacja danych - izolowana | U.07.1 | Stała izolacja danych jest architekturą wielotenantową. Poprawki są realizowane w kontrolowany sposób. | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 |
| Separacja danych U.07.3 — funkcje zarządzania | U.07.3 | U.07.3 — uprawnienia do wyświetlania lub modyfikowania danych CSC i/lub kluczy szyfrowania są przyznawane w kontrolowany sposób i są rejestrowane. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| U.10.5 Dostęp do usług i danych IT — Kompetentny | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| U.11.1 Usługi kryptograficzne - Polityka | U.11.1 | W polityce kryptograficznej przynajmniej tematy zgodne z BIO są szczegółowo opisane. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| U.11.3 Usługi kryptograficzne — Zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Zarówno systemy operacyjne, jak i dyski danych w klastrach Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | 1.0.1 |
| U.11.3 Usługi kryptograficzne — Zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Dyski tymczasowe i pamięć podręczna dla pul węzłów agentów w klastrach Azure Kubernetes Service powinna być szyfrowana na poziomie hosta | 1.0.1 |
| U.15.1 Rejestrowanie i monitorowanie – Zdarzenia rejestrowane | U.15.1 | Naruszenie reguł jest rejestrowane przez CSP i CSC. | Dzienniki zasobów w usłudze Azure Kubernetes powinny być włączone | 1.0.0 |
Bank rezerw Indii — struktura IT dla NBFC
Aby sprawdzić, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Azure Policy Zgodność z przepisami — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India — struktura IT dla NBFC.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Nadzór IT | 1 | Zarządzanie IT-1 | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
| Informacje i zabezpieczenia cybernetyczne | 3.1.a | Identyfikacja i klasyfikacja zasobów informacyjnych-3.1 | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Informacje i zabezpieczenia cybernetyczne | 3.1.c | Kontrola dostępu oparta na rolach-3.1 | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Informacje i zabezpieczenia cybernetyczne | 3.1.g | Szlaki-3.1 | klastry Azure Kubernetes Service powinny mieć włączony profil Defender | 2.0.1 |
| Informacje i zabezpieczenia cybernetyczne | 3.3 | Zarządzanie lukami w zabezpieczeniach —3.3 | Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | 1.0.2 |
Informatyczna Struktura Ramowa dla Banków Banku Rezerw Indii v2016
Aby sprawdzić, jak dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz Azure Policy zgodność z przepisami — RBI ITF Banks v2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RBI ITF Banks v2016 (PDF).
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie poprawkami, lukami w zabezpieczeniach oraz zmianami | Zarządzanie poprawkami/zarządzanie lukami w bezpieczeństwie i zmianami-7.7 | Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | 2.0.1 | |
| Zaawansowana obrona i zarządzanie zagrożeniami w czasie rzeczywistym | Zaawansowana obrona i zarządzanie zagrożeniami w czasie rzeczywistym-13.2 | klastry Azure Kubernetes Service powinny mieć włączony profil Defender | 2.0.1 | |
| Kontrola dostępu użytkownika / zarządzanie | Kontrola Dostępu Użytkownika / Zarządzanie-8.1 | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
RMIT Malezja
Aby sprawdzić sposób, w jaki dostępne wbudowane zasady Azure Policy dla wszystkich usług Azure są przypisywane do tego standardu zgodności, zobacz Azure Policy Zgodność z przepisami — RMIT Malaysia. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RMIT Malaysia.
Hiszpania ENS
Aby zapoznać się z tym, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz szczegóły zgodności Azure Policy z przepisami dla Hiszpanii ENS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CCN-STIC 884.
SWIFT CSP-CSCF v2021
Aby sprawdzić, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure odnoszą się do tego standardu zgodności, zobacz szczegóły Azure Policy zgodności z przepisami dla CSP-CSCF SWIFT w wersji 2021. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2021.
Kontrolki systemu i organizacji (SOC) 2
Aby sprawdzić, w jaki sposób wbudowane zasady Azure Policy dla wszystkich usług Azure są mapowane na ten standard zgodności, zobacz szczegóły zgodności z normami prawnymi dla kontroli systemu i organizacji (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2.
| Domena | Identyfikator kontrolny | Tytuł elementu sterującego | Policy (portal Azure) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.3 | Dostęp oparty na rolach i zasada najmniejszego przywileju | Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | 1.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | 9.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Dodatek Azure Policy do usługi Kubernetes (AKS) powinien być zainstalowany i włączony na klastrach | 1.0.2 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.2.0 |
| Operacje systemowe | CC7.2 | Monitorowanie składników systemowych pod kątem nietypowego zachowania | klastry Azure Kubernetes Service powinny mieć włączony profil Defender | 2.0.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Dodatek Azure Policy do usługi Kubernetes (AKS) powinien być zainstalowany i włączony na klastrach | 1.0.2 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | 9.3.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | 6.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | 6.2.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | 6.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | 9.3.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | 6.3.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | 6.3.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | 6.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | 7.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | 8.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | 9.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | 4.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | 8.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | 5.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | 4.2.0 |
Dalsze kroki
- Dowiedz się więcej o Regulacyjne wymagania zgodności Azure Policy.
- Zobacz elementy wbudowane w repozytorium Azure Policy GitHub.