Azure Policy controlos de Conformidade Regulamentar para Azure Kubernetes Service (AKS)

A Conformidade Regulamentar no Azure Policy fornece definições de iniciativa (incorporadas) criadas e geridas pela Microsoft, para os domínios de conformidade e controlos de segurança relacionados com diferentes normas de conformidade. Esta página lista os domínios de conformidade e os controlos de segurança Azure Kubernetes Service (AKS).

Pode atribuir os incorporados a um controlo de segurança individualmente para ajudar a tornar os seus recursos do Azure em conformidade com a norma específica.

O título de cada definição de política incorporada liga à definição de política no portal do Azure. Utilize a ligação na coluna Versão da Política para ver a origem no repositório Azure Policy GitHub.

Importante

Cada controlo está associado a uma ou mais definições de Azure Policy. Estas políticas podem ajudá-lo a avaliar a conformidade com o controlo. No entanto, muitas vezes não existe uma correspondência um-para-um ou uma correspondência completa entre um controlo e uma ou mais políticas. Como tal, Conforme no Azure Policy refere-se apenas às próprias políticas. Isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, a norma de conformidade inclui controlos que não são abordados por nenhuma definição de Azure Policy neste momento. Por conseguinte, a conformidade no Azure Policy é apenas uma vista parcial do seu estado de conformidade geral. As associações entre controlos e Azure Policy definições de Conformidade Regulamentar para estas normas de conformidade podem mudar ao longo do tempo.

Referência de Segurança do Azure

A Referência de Segurança do Azure fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. Para ver como este serviço mapeia completamente para a Referência de Segurança do Azure, veja os ficheiros de mapeamento da Referência de Segurança do Azure.

Para rever a forma como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar Azure Policy – Referência de Segurança do Azure.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Segurança de Rede NS-2 Proteger serviços cloud com controlos de rede Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Acesso Privilegiado PA-7 Siga apenas o princípio de administração (privilégio mínimo) suficiente O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Proteção de Dados DP-3 Encriptar dados confidenciais em trânsito Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Registos e Deteção de Ameaças LT-1 Ativar capacidades de deteção de ameaças Azure Kubernetes Service clusters devem ter o perfil do Defender ativado 2.0.0
Registos e Deteção de Ameaças LT-2 Ativar a deteção de ameaças para gestão de identidades e acessos Azure Kubernetes Service clusters devem ter o perfil do Defender ativado 2.0.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras [Pré-visualização]: Os clusters do Kubernetes devem controlar a implementação de imagens vulneráveis 2.0.1-preview
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters 1.0.2
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados 9.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião 5.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas 9.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas 6.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas 8.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes devem desativar a montagem automática de credenciais da API 4.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.0.1
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem utilizar o espaço de nomes predefinido 4.0.1
Gestão da Postura e da Vulnerabilidade PV-6 Remediar vulnerabilidades de forma rápida e automática A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Segurança de DevOps DS-6 Impor a segurança da carga de trabalho ao longo do ciclo de vida do DevOps A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1

Referência de Segurança do Azure v1

A Referência de Segurança do Azure fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. Para ver como este serviço mapeia completamente para a Referência de Segurança do Azure, veja os ficheiros de mapeamento da Referência de Segurança do Azure.

Para rever a forma como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar Azure Policy – Referência de Segurança do Azure.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Segurança de Rede 1.1 Proteger recursos através de Grupos de Segurança de Rede ou Azure Firewall no seu Rede Virtual Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção de Dados 4,6 Utilizar o RBAC do Azure para controlar o acesso aos recursos O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Gestão de Vulnerabilidades 5.3 Implementar uma solução automatizada de gestão de patches de software de terceiros O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esta norma de conformidade, veja CIS Microsoft Azure Foundations Benchmark ( CIS Microsoft Azure Foundations Benchmark).

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
8 Outras Considerações de Segurança CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ativar o controlo de acesso baseado em funções (RBAC) no Azure Kubernetes Services O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2

CIS Microsoft Azure Foundations Benchmark 1.3.0

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – CIS Microsoft Azure Foundations Benchmark 1.3.0. Para obter mais informações sobre esta norma de conformidade, veja CIS Microsoft Azure Foundations Benchmark ( CIS Microsoft Azure Foundations Benchmark).

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
8 Outras Considerações de Segurança CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ativar o controlo de acesso baseado em funções (RBAC) no Azure Kubernetes Services O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2

Nível CMMC 3

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar - Nível CMMC 3. Para obter mais informações sobre esta norma de conformidade, veja Cibersegurança Maturity Model Certification (CMMC).

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC.1.001 Limitar o acesso ao sistema de informações a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Controlo de Acesso AC.1.001 Limitar o acesso ao sistema de informações a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Controlo de Acesso AC.1.002 Limitar o acesso do sistema de informações aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Controlo de Acesso AC.1.002 Limitar o acesso do sistema de informações aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Controlo de Acesso AC.2.007 Utilize o princípio do menor privilégio, incluindo para funções de segurança específicas e contas privilegiadas. O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Controlo de Acesso AC.2.016 Controlar o fluxo de CUI de acordo com as autorizações aprovadas. O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Gestão da Configuração CM.2.062 Utilize o princípio da menor funcionalidade ao configurar sistemas organizacionais para fornecer apenas capacidades essenciais. O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Gestão da Configuração CM.3.068 Restringir, desativar ou impedir a utilização de programas, funções, portas, protocolos e serviços não essenciais. Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Avaliação de Riscos RM.2.143 Remediar vulnerabilidades de acordo com as avaliações de risco. Os Serviços do Kubernetes devem ser atualizados para uma versão do Kubernetes não vulnerável 1.0.2
Proteção do Sistema e comunicações SC.1.175 Monitorizar, controlar e proteger comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e limites internos fundamentais dos sistemas organizacionais. Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Proteção do Sistema e comunicações SC.3.177 Empregue criptografia validada por FIPS quando utilizada para proteger a confidencialidade da CUI. Os sistemas operativos e os discos de dados em clusters Azure Kubernetes Service devem ser encriptados por chaves geridas pelo cliente 1.0.1
Proteção do Sistema e comunicações SC.3.183 Negar o tráfego de comunicações de rede por predefinição e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Integridade do Sistema e da Informação SI.1.210 Identifique, comunique e corrija as falhas do sistema de informações e informações em tempo útil. Os Serviços do Kubernetes devem ser atualizados para uma versão do Kubernetes não vulnerável 1.0.2

FedRAMP Alto

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – FedRAMP High. Para obter mais informações sobre esta norma de conformidade, veja FedRAMP High.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-4 Imposição do Fluxo de Informações Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Gestão da Configuração CM-6 Definições de Configuração Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters 1.0.2
Gestão da Configuração CM-6 Definições de Configuração Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião 5.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas 8.0.1
Gestão da Configuração CM-6 Definições de Configuração O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Proteção do Sistema e comunicações SC-7 Proteção de Limites Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e comunicações SC-8 Confidencialidade e Integridade da Transmissão Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Proteção do Sistema e comunicações SC-8 (1) Proteção Física Alternativa ou Criptográfica Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Proteção do Sistema e comunicações SC-12 Gestão e Estabelecimento de Chaves Criptográficas Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente 1.0.1
Proteção do Sistema e comunicações SC-28 Proteção de Informações Inativas Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Proteção do Sistema e comunicações SC-28 (1) Proteção Criptográfica Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de Falhas O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2

FedRAMP Moderado

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – FedRAMP Moderado. Para obter mais informações sobre esta norma de conformidade, veja FedRAMP Moderate.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-4 Imposição do Fluxo de Informações Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Gestão da Configuração CM-6 Definições de Configuração Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters 1.0.2
Gestão da Configuração CM-6 Definições de Configuração Os limites da CPU e dos recursos de memória dos contentores de cluster do Kubernetes não devem exceder os limites especificados 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião 5.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros de raiz só de leitura 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods e contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e grupo aprovados 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas 8.0.1
Gestão da Configuração CM-6 Definições de Configuração O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Proteção do Sistema e comunicações SC-7 Proteção de Limites Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e comunicações SC-8 Confidencialidade e Integridade da Transmissão Os clusters do Kubernetes só devem estar acessíveis através de HTTPS 8.0.1
Proteção do Sistema e comunicações SC-8 (1) Proteção Física Criptográfica ou Alternativa Os clusters do Kubernetes só devem estar acessíveis através de HTTPS 8.0.1
Proteção do Sistema e comunicações SC-12 Gestão e Estabelecimento de Chaves Criptográficas Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente 1.0.1
Proteção do Sistema e comunicações SC-28 Proteção de Informações Inativas Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Proteção do Sistema e comunicações SC-28 (1) Proteção Criptográfica Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de Falhas O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2

HIPAA HITRUST 9.2

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure são mapeadas para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy – HIPAA HITRUST 9.2. Para obter mais informações sobre esta norma de conformidade, consulte HIPAA HITRUST 9.2.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Gestão de Privilégios 1149.01c2Sistema.9 - 01.c A organização facilita a partilha de informações ao permitir que os utilizadores autorizados determinem o acesso de um parceiro empresarial quando a discrição é permitida conforme definido pela organização e ao utilizar processos manuais ou mecanismos automatizados para ajudar os utilizadores a tomar decisões de partilha/colaboração de informações. O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
11 Controlo de Acesso 1153.01c3Sistema.35-01.c 1153.01c3Sistema.35-01.c 01.02 Acesso Autorizado a Sistemas de Informação O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
12 Monitorização do Registo & de Auditoria 1229.09c1Organização.1-09.c 1229.09c1Organização.1-09.c 09.01 Procedimentos Operacionais Documentados O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2

NIST SP 800-53 Rev. 5

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar Azure Policy - NIST SP 800-53 Rev. 5. Para obter mais informações sobre esta norma de conformidade, consulte NIST SP 800-53 Rev. 5.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-3 (7) Controlo de Acesso Baseado em Funções O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Controlo de Acesso AC-4 Imposição do Fluxo de Informações Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Gestão da Configuração CM-6 Definições de Configuração Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters 1.0.2
Gestão da Configuração CM-6 Definições de Configuração Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião 5.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas 6.0.1
Gestão da Configuração CM-6 Definições de Configuração Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas 8.0.1
Gestão da Configuração CM-6 Definições de Configuração O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Gestão da Configuração CM-6 Definições de Configuração Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Proteção do Sistema e das Comunicações SC-7 Proteção de Limites Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e das Comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Proteção do Sistema e das Comunicações SC-8 Confidencialidade e Integridade da Transmissão Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Proteção do Sistema e das Comunicações SC-8 (1) Proteção Criptográfica Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Proteção do Sistema e das Comunicações SC-12 Gestão e Estabelecimento de Chaves Criptográficas Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente 1.0.1
Proteção do Sistema e das Comunicações SC-28 Proteção de Informações Inativas Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Proteção do Sistema e das Comunicações SC-28 (1) Proteção Criptográfica Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de Falhas O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2
Integridade do Sistema e da Informação SI-2 (6) Remoção de Versões Anteriores do Software e Firmware O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2

NZ ISM Restrito v3.5

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy - NZ ISM Restrito v3.5. Para obter mais informações sobre esta norma de conformidade, veja NZ ISM Restricted v3.5.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso e Palavras-passe NZISM Security Benchmark AC-18 16.6.9 Eventos a registar Os registos de recursos do Azure Kubernetes Service devem estar ativados 1.0.0
Segurança do gateway NZISM Security Benchmark GS-2 19.1.11 Com Gateways Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Infraestrutura NZISM Security Benchmark INF-9 10.8.35 Arquitetura de Segurança Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters 1.0.2
Infraestrutura NZISM Security Benchmark INF-9 10.8.35 Arquitetura de Segurança O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião 5.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura 6.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os clusters do Kubernetes devem desativar a montagem automática de credenciais da API 4.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.0.1
Segurança de software NZISM Security Benchmark SS-3 14.1.9 Manter SOEs endurecidos Os clusters do Kubernetes não devem utilizar o espaço de nomes predefinido 4.0.1

Reserve Bank of India - IT Framework for NBFC

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure são mapeadas para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy - Reserve Bank of India - It Framework for NBFC. Para obter mais informações sobre esta norma de conformidade, veja Reserve Bank of India - IT Framework for NBFC (Reserve Bank of India - IT Framework for NBFC).

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Governação de TI RBI IT Framework 1 Governação de TI-1 O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2
Informações e Cibersegurança RBI IT Framework 3.1.a Identificação e Classificação de Recursos de Informação-3.1 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Informações e Cibersegurança RBI IT Framework 3.1.c Controlo de Acesso-3.1 baseado em funções O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Informações e Cibersegurança RBI IT Framework 3.1.g Trilhos-3.1 Azure Kubernetes Service clusters devem ter o perfil do Defender ativado 2.0.0
Informações e Cibersegurança RBI IT Framework 3.3 Gestão de Vulnerabilidades-3.3 O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2
Informações e Cibersegurança RBI IT Framework 3.3 Gestão de Vulnerabilidades-3.3 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1

Reserve Bank of India IT Framework for Banks v2016

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy – ITF Banks v2016 da RBI. Para obter mais informações sobre esta norma de conformidade, veja RBI ITF Banks v2016 (PDF).

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches & /Vulnerabilidades-7.7 Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.7 & Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Anti-Phishing Anti-Phishing-14.1 Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Gestão avançada de Defesa e Defesa do Real-Timethreat Advanced Real-Timethreat Defenseand Management-13.2 Azure Kubernetes Service clusters devem ter o perfil do Defender ativado 2.0.0
Controlo de Acesso/Gestão de Utilizadores Controlo de Acesso de Utilizador/ Gestão-8.5 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Controlo de Acesso/Gestão de Utilizadores Controlo de Acesso de Utilizador/ Gestão-8.1 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Controlo de Acesso/Gestão de Utilizadores Controlo de Acesso de Utilizador/ Gestão-8.8 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes 1.0.2
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.3 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.1 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.7 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.6 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.3 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.1 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Impedir a execução de software não autorizado Gestão de Atualizações de Segurança-2.3 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.6 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.2 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.1 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.6 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.2 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Gestão de Alterações de Patches/Vulnerabilidades & Gestão de Alterações de Patches/Vulnerabilidades-7.1 & A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.6 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1
Ciclo de Vida da Segurança da Aplicação (Aslc) Ciclo de Vida da Segurança da Aplicação (Aslc)-6.7 A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos 1.0.1

RMIT Malásia

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – RMIT Malásia. Para obter mais informações sobre esta norma de conformidade, veja RMIT Malaysia.

Domínio ID de Controlo Título do controlo Política
(portal do Azure)
Versão da política
(GitHub)
Criptografia RMiT 10.19 Criptografia - 10.19 Os sistemas operativos e os discos de dados em clusters Azure Kubernetes Service devem ser encriptados por chaves geridas pelo cliente 1.0.1
Controlo de Acesso RMiT 10.54 Controlo de Acesso - 10.54 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Controlo de Acesso RMiT 10.55 Controlo de Acesso - 10,55 Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas 6.0.1
Controlo de Acesso RMiT 10.55 Controlo de Acesso - 10,55 Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura 6.0.1
Controlo de Acesso RMiT 10.55 Controlo de Acesso - 10,55 Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados 6.0.1
Controlo de Acesso RMiT 10.55 Controlo de Acesso - 10,55 O cluster do Kubernetes não deve permitir contentores com privilégios 9.0.1
Controlo de Acesso RMiT 10.55 Controlo de Acesso - 10,55 Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores 7.0.1
Controlo de Acesso RMiT 10.60 Controlo de Acesso - 10.60 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Controlo de Acesso RMiT 10.61 Controlo de Acesso - 10.61 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Controlo de Acesso RMiT 10.62 Controlo de Acesso - 10.62 O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services 1.0.2
Gestão de Sistemas de Fim de Vida e Patch RMiT 10.65 Gestão de Sistemas de Fim de Vida e Patch – 10.65 O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável 1.0.2
Centro de Operações de Segurança (SOC) RMiT 11.17 Centro de Operações de Segurança (SOC) - 11.17 Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Centro de Operações de Segurança (SOC) RMiT 11.17 Centro de Operações de Segurança (SOC) - 11.17 Os intervalos de IP autorizados devem ser definidos no Kubernetes Services 2.0.1
Medidas de Controlo sobre Cibersegurança Apêndice RMiT 5.5 Medidas de Controlo sobre Cibersegurança – Apêndice 5.5 Os serviços de cluster do Kubernetes só devem utilizar IPs externos permitidos 5.0.1
Medidas de Controlo sobre Cibersegurança Apêndice RMiT 5.6 Medidas de Controlo sobre Cibersegurança – Apêndice 5.6 Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas 6.0.1
Medidas de Controlo sobre Cibersegurança Apêndice RMiT 5.6 Medidas de Controlo sobre Cibersegurança – Apêndice 5.6 Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas 8.0.1
Medidas de Controlo sobre Cibersegurança Apêndice RMiT 5.6 Medidas de Controlo sobre Cibersegurança – Apêndice 5.6 Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS 8.0.1

Passos seguintes