Azure Policy controlos de Conformidade Regulamentar para Azure Kubernetes Service (AKS)

Artigo
01/28/2023
29 minutos para ler

A Conformidade Regulamentar no Azure Policy fornece definições de iniciativa (incorporadas) criadas e geridas pela Microsoft, para os domínios de conformidade e controlos de segurança relacionados com diferentes normas de conformidade. Esta página lista os domínios de conformidade e os controlos de segurança Azure Kubernetes Service (AKS).

Pode atribuir os incorporados a um controlo de segurança individualmente para ajudar a tornar os seus recursos do Azure em conformidade com a norma específica.

O título de cada definição de política incorporada liga à definição de política no portal do Azure. Utilize a ligação na coluna Versão da Política para ver a origem no repositório Azure Policy GitHub.

Importante

Cada controlo está associado a uma ou mais definições de Azure Policy. Estas políticas podem ajudá-lo a avaliar a conformidade com o controlo. No entanto, muitas vezes não existe uma correspondência um-para-um ou uma correspondência completa entre um controlo e uma ou mais políticas. Como tal, Conforme no Azure Policy refere-se apenas às próprias políticas. Isto não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, a norma de conformidade inclui controlos que não são abordados por nenhuma definição de Azure Policy neste momento. Por conseguinte, a conformidade no Azure Policy é apenas uma vista parcial do seu estado de conformidade geral. As associações entre controlos e Azure Policy definições de Conformidade Regulamentar para estas normas de conformidade podem mudar ao longo do tempo.

Referência de Segurança do Azure

A Referência de Segurança do Azure fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. Para ver como este serviço mapeia completamente para a Referência de Segurança do Azure, veja os ficheiros de mapeamento da Referência de Segurança do Azure.

Para rever a forma como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar Azure Policy – Referência de Segurança do Azure.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Segurança de Rede	NS-2	Proteger serviços cloud com controlos de rede	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Acesso Privilegiado	PA-7	Siga apenas o princípio de administração (privilégio mínimo) suficiente	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Proteção de Dados	DP-3	Encriptar dados confidenciais em trânsito	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Registos e Deteção de Ameaças	LT-1	Ativar capacidades de deteção de ameaças	Azure Kubernetes Service clusters devem ter o perfil do Defender ativado	2.0.0
Registos e Deteção de Ameaças	LT-2	Ativar a deteção de ameaças para gestão de identidades e acessos	Azure Kubernetes Service clusters devem ter o perfil do Defender ativado	2.0.0
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	[Pré-visualização]: Os clusters do Kubernetes devem controlar a implementação de imagens vulneráveis	2.0.1-preview
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters	1.0.2
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados	9.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião	5.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas	9.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas	6.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas	8.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os clusters do Kubernetes devem desativar a montagem automática de credenciais da API	4.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN	5.0.1
Gestão da Postura e da Vulnerabilidade	PV-2	Auditar e impor configurações seguras	Os clusters do Kubernetes não devem utilizar o espaço de nomes predefinido	4.0.1
Gestão da Postura e da Vulnerabilidade	PV-6	Remediar vulnerabilidades de forma rápida e automática	A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos	1.0.1
Segurança de DevOps	DS-6	Impor a segurança da carga de trabalho ao longo do ciclo de vida do DevOps	A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos	1.0.1

Referência de Segurança do Azure v1

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Segurança de Rede	1.1	Proteger recursos através de Grupos de Segurança de Rede ou Azure Firewall no seu Rede Virtual	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção de Dados	4,6	Utilizar o RBAC do Azure para controlar o acesso aos recursos	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Gestão de Vulnerabilidades	5.3	Implementar uma solução automatizada de gestão de patches de software de terceiros	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esta norma de conformidade, veja CIS Microsoft Azure Foundations Benchmark ( CIS Microsoft Azure Foundations Benchmark).

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
8 Outras Considerações de Segurança	CIS Microsoft Azure Foundations Benchmark recommendation 8.5	Ativar o controlo de acesso baseado em funções (RBAC) no Azure Kubernetes Services	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2

CIS Microsoft Azure Foundations Benchmark 1.3.0

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – CIS Microsoft Azure Foundations Benchmark 1.3.0. Para obter mais informações sobre esta norma de conformidade, veja CIS Microsoft Azure Foundations Benchmark ( CIS Microsoft Azure Foundations Benchmark).

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
8 Outras Considerações de Segurança	CIS Microsoft Azure Foundations Benchmark recommendation 8.5	Ativar o controlo de acesso baseado em funções (RBAC) no Azure Kubernetes Services	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2

Nível CMMC 3

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar - Nível CMMC 3. Para obter mais informações sobre esta norma de conformidade, veja Cibersegurança Maturity Model Certification (CMMC).

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Controlo de Acesso	AC.1.001	Limitar o acesso ao sistema de informações a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação).	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Controlo de Acesso	AC.1.001	Limitar o acesso ao sistema de informações a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação).	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2
Controlo de Acesso	AC.1.002	Limitar o acesso do sistema de informações aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar.	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Controlo de Acesso	AC.1.002	Limitar o acesso do sistema de informações aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar.	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2
Controlo de Acesso	AC.2.007	Utilize o princípio do menor privilégio, incluindo para funções de segurança específicas e contas privilegiadas.	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2
Controlo de Acesso	AC.2.016	Controlar o fluxo de CUI de acordo com as autorizações aprovadas.	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2
Gestão da Configuração	CM.2.062	Utilize o princípio da menor funcionalidade ao configurar sistemas organizacionais para fornecer apenas capacidades essenciais.	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado nos Serviços do Kubernetes	1.0.2
Gestão da Configuração	CM.3.068	Restringir, desativar ou impedir a utilização de programas, funções, portas, protocolos e serviços não essenciais.	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Avaliação de Riscos	RM.2.143	Remediar vulnerabilidades de acordo com as avaliações de risco.	Os Serviços do Kubernetes devem ser atualizados para uma versão do Kubernetes não vulnerável	1.0.2
Proteção do Sistema e comunicações	SC.1.175	Monitorizar, controlar e proteger comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e limites internos fundamentais dos sistemas organizacionais.	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Proteção do Sistema e comunicações	SC.3.177	Empregue criptografia validada por FIPS quando utilizada para proteger a confidencialidade da CUI.	Os sistemas operativos e os discos de dados em clusters Azure Kubernetes Service devem ser encriptados por chaves geridas pelo cliente	1.0.1
Proteção do Sistema e comunicações	SC.3.183	Negar o tráfego de comunicações de rede por predefinição e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção).	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Integridade do Sistema e da Informação	SI.1.210	Identifique, comunique e corrija as falhas do sistema de informações e informações em tempo útil.	Os Serviços do Kubernetes devem ser atualizados para uma versão do Kubernetes não vulnerável	1.0.2

FedRAMP Alto

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – FedRAMP High. Para obter mais informações sobre esta norma de conformidade, veja FedRAMP High.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Controlo de Acesso	AC-4	Imposição do Fluxo de Informações	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters	1.0.2
Gestão da Configuração	CM-6	Definições de Configuração	Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião	5.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas	8.0.1
Gestão da Configuração	CM-6	Definições de Configuração	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Proteção do Sistema e comunicações	SC-7	Proteção de Limites	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e comunicações	SC-7 (3)	Pontos de Acesso	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e comunicações	SC-8	Confidencialidade e Integridade da Transmissão	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Proteção do Sistema e comunicações	SC-8 (1)	Proteção Física Alternativa ou Criptográfica	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Proteção do Sistema e comunicações	SC-12	Gestão e Estabelecimento de Chaves Criptográficas	Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente	1.0.1
Proteção do Sistema e comunicações	SC-28	Proteção de Informações Inativas	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Proteção do Sistema e comunicações	SC-28 (1)	Proteção Criptográfica	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Integridade do Sistema e da Informação	SI-2	Remediação de Falhas	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2

FedRAMP Moderado

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – FedRAMP Moderado. Para obter mais informações sobre esta norma de conformidade, veja FedRAMP Moderate.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Controlo de Acesso	AC-4	Imposição do Fluxo de Informações	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters	1.0.2
Gestão da Configuração	CM-6	Definições de Configuração	Os limites da CPU e dos recursos de memória dos contentores de cluster do Kubernetes não devem exceder os limites especificados	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião	5.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros de raiz só de leitura	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods e contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e grupo aprovados	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitriões aprovada e o intervalo de portas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas	8.0.1
Gestão da Configuração	CM-6	Definições de Configuração	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Proteção do Sistema e comunicações	SC-7	Proteção de Limites	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e comunicações	SC-7 (3)	Pontos de Acesso	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e comunicações	SC-8	Confidencialidade e Integridade da Transmissão	Os clusters do Kubernetes só devem estar acessíveis através de HTTPS	8.0.1
Proteção do Sistema e comunicações	SC-8 (1)	Proteção Física Criptográfica ou Alternativa	Os clusters do Kubernetes só devem estar acessíveis através de HTTPS	8.0.1
Proteção do Sistema e comunicações	SC-12	Gestão e Estabelecimento de Chaves Criptográficas	Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente	1.0.1
Proteção do Sistema e comunicações	SC-28	Proteção de Informações Inativas	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Proteção do Sistema e comunicações	SC-28 (1)	Proteção Criptográfica	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Integridade do Sistema e da Informação	SI-2	Remediação de Falhas	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2

HIPAA HITRUST 9.2

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure são mapeadas para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy – HIPAA HITRUST 9.2. Para obter mais informações sobre esta norma de conformidade, consulte HIPAA HITRUST 9.2.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Gestão de Privilégios	1149.01c2Sistema.9 - 01.c	A organização facilita a partilha de informações ao permitir que os utilizadores autorizados determinem o acesso de um parceiro empresarial quando a discrição é permitida conforme definido pela organização e ao utilizar processos manuais ou mecanismos automatizados para ajudar os utilizadores a tomar decisões de partilha/colaboração de informações.	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
11 Controlo de Acesso	1153.01c3Sistema.35-01.c	1153.01c3Sistema.35-01.c 01.02 Acesso Autorizado a Sistemas de Informação	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
12 Monitorização do Registo & de Auditoria	1229.09c1Organização.1-09.c	1229.09c1Organização.1-09.c 09.01 Procedimentos Operacionais Documentados	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2

NIST SP 800-53 Rev. 5

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar Azure Policy - NIST SP 800-53 Rev. 5. Para obter mais informações sobre esta norma de conformidade, consulte NIST SP 800-53 Rev. 5.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Controlo de Acesso	AC-3 (7)	Controlo de Acesso Baseado em Funções	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Controlo de Acesso	AC-4	Imposição do Fluxo de Informações	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters	1.0.2
Gestão da Configuração	CM-6	Definições de Configuração	Os limites de recursos de memória e CPU de contentores de cluster do Kubernetes não devem exceder os limites especificados	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião	5.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar perfis AppArmor permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes só devem utilizar imagens permitidas	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os volumes hostPath do pod de cluster do Kubernetes só devem utilizar caminhos de anfitrião permitidos	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas	6.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas	8.0.1
Gestão da Configuração	CM-6	Definições de Configuração	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Gestão da Configuração	CM-6	Definições de Configuração	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Proteção do Sistema e das Comunicações	SC-7	Proteção de Limites	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e das Comunicações	SC-7 (3)	Pontos de Acesso	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Proteção do Sistema e das Comunicações	SC-8	Confidencialidade e Integridade da Transmissão	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Proteção do Sistema e das Comunicações	SC-8 (1)	Proteção Criptográfica	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Proteção do Sistema e das Comunicações	SC-12	Gestão e Estabelecimento de Chaves Criptográficas	Tanto os sistemas operativos como os discos de dados no Azure Kubernetes Service clusters devem ser encriptados por chaves geridas pelo cliente	1.0.1
Proteção do Sistema e das Comunicações	SC-28	Proteção de Informações Inativas	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Proteção do Sistema e das Comunicações	SC-28 (1)	Proteção Criptográfica	Os discos temporários e a cache dos conjuntos de nós de agente no Azure Kubernetes Service clusters devem ser encriptados no anfitrião	1.0.1
Integridade do Sistema e da Informação	SI-2	Remediação de Falhas	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2
Integridade do Sistema e da Informação	SI-2 (6)	Remoção de Versões Anteriores do Software e Firmware	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2

NZ ISM Restrito v3.5

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy - NZ ISM Restrito v3.5. Para obter mais informações sobre esta norma de conformidade, veja NZ ISM Restricted v3.5.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Controlo de Acesso e Palavras-passe	NZISM Security Benchmark AC-18	16.6.9 Eventos a registar	Os registos de recursos do Azure Kubernetes Service devem estar ativados	1.0.0
Segurança do gateway	NZISM Security Benchmark GS-2	19.1.11 Com Gateways	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Infraestrutura	NZISM Security Benchmark INF-9	10.8.35 Arquitetura de Segurança	Azure Policy Suplemento para o serviço Kubernetes (AKS) deve ser instalado e ativado nos clusters	1.0.2
Infraestrutura	NZISM Security Benchmark INF-9	10.8.35 Arquitetura de Segurança	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os contentores de cluster do Kubernetes não devem partilhar o ID do processo de anfitrião ou o espaço de nomes IPC do anfitrião	5.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura	6.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os clusters do Kubernetes devem desativar a montagem automática de credenciais da API	4.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN	5.0.1
Segurança de software	NZISM Security Benchmark SS-3	14.1.9 Manter SOEs endurecidos	Os clusters do Kubernetes não devem utilizar o espaço de nomes predefinido	4.0.1

Reserve Bank of India - IT Framework for NBFC

Para rever como as Azure Policy incorporadas disponíveis para todos os serviços do Azure são mapeadas para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy - Reserve Bank of India - It Framework for NBFC. Para obter mais informações sobre esta norma de conformidade, veja Reserve Bank of India - IT Framework for NBFC (Reserve Bank of India - IT Framework for NBFC).

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Governação de TI	RBI IT Framework 1	Governação de TI-1	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2
Informações e Cibersegurança	RBI IT Framework 3.1.a	Identificação e Classificação de Recursos de Informação-3.1	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Informações e Cibersegurança	RBI IT Framework 3.1.c	Controlo de Acesso-3.1 baseado em funções	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Informações e Cibersegurança	RBI IT Framework 3.1.g	Trilhos-3.1	Azure Kubernetes Service clusters devem ter o perfil do Defender ativado	2.0.0
Informações e Cibersegurança	RBI IT Framework 3.3	Gestão de Vulnerabilidades-3.3	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2
Informações e Cibersegurança	RBI IT Framework 3.3	Gestão de Vulnerabilidades-3.3	A execução de imagens de contentor deve ter os resultados de vulnerabilidades resolvidos	1.0.1

Reserve Bank of India IT Framework for Banks v2016

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure são mapeados para esta norma de conformidade, veja Conformidade Regulamentar do Azure Policy – ITF Banks v2016 da RBI. Para obter mais informações sobre esta norma de conformidade, veja RBI ITF Banks v2016 (PDF).

RMIT Malásia

Para rever como os Azure Policy incorporados disponíveis para todos os serviços do Azure mapeiam para esta norma de conformidade, veja Azure Policy Conformidade Regulamentar – RMIT Malásia. Para obter mais informações sobre esta norma de conformidade, veja RMIT Malaysia.

Domínio	ID de Controlo	Título do controlo	Política _{(portal do Azure)}	Versão da política _(GitHub)
Criptografia	RMiT 10.19	Criptografia - 10.19	Os sistemas operativos e os discos de dados em clusters Azure Kubernetes Service devem ser encriptados por chaves geridas pelo cliente	1.0.1
Controlo de Acesso	RMiT 10.54	Controlo de Acesso - 10.54	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Controlo de Acesso	RMiT 10.55	Controlo de Acesso - 10,55	Os contentores de cluster do Kubernetes só devem utilizar capacidades permitidas	6.0.1
Controlo de Acesso	RMiT 10.55	Controlo de Acesso - 10,55	Os contentores de cluster do Kubernetes devem ser executados com um sistema de ficheiros raiz só de leitura	6.0.1
Controlo de Acesso	RMiT 10.55	Controlo de Acesso - 10,55	Os pods e os contentores do cluster do Kubernetes só devem ser executados com IDs de utilizador e de grupo aprovados	6.0.1
Controlo de Acesso	RMiT 10.55	Controlo de Acesso - 10,55	O cluster do Kubernetes não deve permitir contentores com privilégios	9.0.1
Controlo de Acesso	RMiT 10.55	Controlo de Acesso - 10,55	Os clusters do Kubernetes não devem permitir o escalamento de privilégios dos contentores	7.0.1
Controlo de Acesso	RMiT 10.60	Controlo de Acesso - 10.60	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Controlo de Acesso	RMiT 10.61	Controlo de Acesso - 10.61	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Controlo de Acesso	RMiT 10.62	Controlo de Acesso - 10.62	O Controlo de Acesso Baseado em Funções (RBAC) deve ser utilizado no Kubernetes Services	1.0.2
Gestão de Sistemas de Fim de Vida e Patch	RMiT 10.65	Gestão de Sistemas de Fim de Vida e Patch – 10.65	O Kubernetes Services deve ser atualizado para uma versão do Kubernetes não vulnerável	1.0.2
Centro de Operações de Segurança (SOC)	RMiT 11.17	Centro de Operações de Segurança (SOC) - 11.17	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Centro de Operações de Segurança (SOC)	RMiT 11.17	Centro de Operações de Segurança (SOC) - 11.17	Os intervalos de IP autorizados devem ser definidos no Kubernetes Services	2.0.1
Medidas de Controlo sobre Cibersegurança	Apêndice RMiT 5.5	Medidas de Controlo sobre Cibersegurança – Apêndice 5.5	Os serviços de cluster do Kubernetes só devem utilizar IPs externos permitidos	5.0.1
Medidas de Controlo sobre Cibersegurança	Apêndice RMiT 5.6	Medidas de Controlo sobre Cibersegurança – Apêndice 5.6	Os pods de cluster do Kubernetes só devem utilizar a rede de anfitrião aprovada e o intervalo de portas	6.0.1
Medidas de Controlo sobre Cibersegurança	Apêndice RMiT 5.6	Medidas de Controlo sobre Cibersegurança – Apêndice 5.6	Os serviços de cluster do Kubernetes devem escutar apenas nas portas permitidas	8.0.1
Medidas de Controlo sobre Cibersegurança	Apêndice RMiT 5.6	Medidas de Controlo sobre Cibersegurança – Apêndice 5.6	Os clusters do Kubernetes devem estar acessíveis apenas através de HTTPS	8.0.1

Passos seguintes

Saiba mais sobre Azure Policy Conformidade Regulamentar.
Veja as incorporações no repositório do GitHub do Azure Policy.