Встроенные определения в Политике Azure для Службы Azure Kubernetes
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Службы Azure Kubernetes. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Инициативы
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]. Использование целостности изображений для обеспечения развертывания только доверенных образов | Используйте целостность изображений, чтобы обеспечить развертывание кластеров AKS только доверенных образов, включив целостность изображений и Политика Azure надстройки в кластерах AKS. Надстройка целостности изображений и надстройка Политика Azure являются предварительными условиями использования целостности изображений для проверки того, подписан ли образ при развертывании. Дополнительные сведения см. в статье https://aka.ms/aks/image-integrity. | 3 | 1.1.0 (предварительная версия) |
| [Предварительная версия]: средства защиты развертывания должны помочь разработчикам в отношении рекомендуемых рекомендаций AKS | Коллекция рекомендаций Kubernetes, рекомендуемых Служба Azure Kubernetes (AKS). Для лучшего использования используйте средства защиты развертывания, чтобы назначить эту инициативу политики: https://aka.ms/aks/deployment-safeguards Политика Azure надстройка для AKS является необходимым условием для применения этих рекомендаций к кластерам. Инструкции по включению надстройки Политика Azure см. в aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Стандарты базовой конфигурации безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов базовой конфигурации безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Стандарты безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Определения политик
Microsoft.ContainerService
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: [Целостность изображений] Кластеры Kubernetes должны использовать только изображения, подписанные нотацией | Используйте образы, подписанные нотацией, чтобы гарантировать, что образы приходят из доверенных источников и не будут вредоносным образом изменены. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | Audit, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: расширение Azure Backup должно быть установлено в кластерах AKS | Убедитесь, что установка расширения резервного копирования в кластерах AKS позволяет использовать Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]. Для кластеров AKS необходимо включить резервное копирование Azure | Обеспечьте защиту кластеров AKS, включив Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: Служба Azure Kubernetes управляемые кластеры должны быть избыточными по зонам. | Служба Azure Kubernetes управляемые кластеры можно настроить как избыточные зоны или нет. Политика проверка пулы узлов в кластере и гарантирует, что для всех пулов узлов заданы зоны avaialbilty. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: не удается изменить отдельные узлы | Не удается изменить отдельные узлы. Пользователи не должны изменять отдельные узлы. Измените пулы узлов. Изменение отдельных узлов может привести к несогласованным параметрам, операционным проблемам и потенциальным рискам безопасности. | Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: развертывание целостности изображений на Служба Azure Kubernetes | Развертывание кластеров Azure Kubernetes с целостностью образов и политиками. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | DeployIfNotExists, Disabled | 1.0.5-preview |
| [предварительная версия]: образы контейнеров кластера Kubernetes должны включать престопный перехватчик | Требуется, чтобы образы контейнеров включали престоп-перехватчик для корректного завершения процессов во время завершения работы pod. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [предварительная версия]: образы контейнеров кластера Kubernetes не должны содержать последний тег образа | Требуется, чтобы образы контейнеров не использовали последний тег в Kubernetes, рекомендуется обеспечить воспроизводимость, предотвратить непредвиденные обновления и упростить отладку и откаты с помощью явных и версий образов контейнеров. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Контейнеры кластеров Kubernetes должны извлекать изображения только при наличии секретов извлечения образа. | Ограничение извлечения образов контейнеров для принудительного применения функции ImagePullSecrets, обеспечение безопасного и авторизованного доступа к образам в кластере Kubernetes | Audit, Deny, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]: службы кластеров Kubernetes должны использовать уникальные селекторы | Убедитесь, что службы в пространстве имен имеют уникальные селекторы. Уникальный селектор службы гарантирует, что каждая служба в пространстве имен однозначно идентифицируется на основе определенных критериев. Эта политика синхронизирует ресурсы входящего трафика в OPA через Gatekeeper. Перед применением убедитесь, что емкость памяти pod Gatekeeper не будет превышена. Параметры применяются к определенным пространствам имен, но синхронизирует все ресурсы этого типа во всех пространствах имен. В настоящее время в предварительной версии службы Kubernetes (AKS). | Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: кластер Kubernetes должен реализовать точные бюджеты нарушений pod | Предотвращает неисправные бюджеты сбоев pod, обеспечивая минимальное количество операционных модулей pod. Дополнительные сведения см. в официальной документации Kubernetes. Использует данные Gatekeeper реплика tion и синхронизирует все ресурсы входящего трафика, область с ним в OPA. Прежде чем применять эту политику, убедитесь, что синхронизированные ресурсы входящего трафика не напрягают емкость памяти. Хотя параметры оценивают определенные пространства имен, все ресурсы этого типа в пространствах имен синхронизируются. Примечание. В настоящее время в предварительной версии службы Kubernetes (AKS). | Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: кластеры Kubernetes должны ограничить создание заданного типа ресурса | Не следует развертывать заданный тип ресурса Kubernetes в определенном пространстве имен. | Audit, Deny, Disabled | 2.2.0-preview |
| [предварительная версия]: должен иметь набор правил защиты от сходства | Эта политика гарантирует, что модули pod запланированы на разных узлах кластера. При применении правил защиты от сходства доступность сохраняется даже в том случае, если один из узлов становится недоступным. Модули Pod будут продолжать работать на других узлах, повышая устойчивость. | Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: нет конкретных меток AKS | Запрещает клиентам применять определенные метки AKS. AKS использует префиксы меток, заданные для kubernetes.azure.com обозначения принадлежащих AKS компонентов. Клиент не должен использовать эти метки. |
Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: зарезервированный пул системных фрагментов | Ограничивает только системный пул критическихaddonsOnly. AKS использует интрант CriticalAddonsOnly, чтобы сохранить модули pod клиента от системного пула. Это обеспечивает четкое разделение между компонентами AKS и клиентскими модулями pod, а также предотвращает вытеснение модулей pod клиентов, если они не допускают то, что критически важные элементыOnly не допускаются. | Audit, Deny, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: ограничивает значение критического пула данных CriticalAddonsOnly только для системного пула. | Чтобы избежать вытеснения пользовательских приложений из пулов пользователей и поддержания разделения проблем между пулами пользователей и системными пулами, не следует применять и к пулам пользователей. | Mutate, Disabled | 1.1.0 (предварительная версия) |
| [Предварительная версия]. Задает контейнеры кластера Kubernetes ограничения ЦП по умолчанию в случае, если они отсутствуют. | Установка ограничений ЦП контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Mutate, Disabled | 1.1.1 (предварительный просмотр) |
| [Предварительная версия]: задает ограничения памяти контейнеров кластера Kubernetes значениям по умолчанию в случае, если они отсутствуют. | Установка ограничений памяти контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Mutate, Disabled | 1.1.1 (предварительный просмотр) |
| [предварительная версия]: устанавливает для ресурсов PodDisruptionBudget maxUnavailable значение 1. | Установка максимального значения недоступного модуля pod равным 1 гарантирует доступность приложения или службы во время сбоя. | Mutate, Disabled | 1.1.0 (предварительная версия) |
| [предварительная версия]: задает readOnlyRootFileSystem в спецификации Pod в контейнерах init значение true, если оно не задано. | Если задать значение readOnlyRootFileSystem, это повышает безопасность, предотвращая запись контейнеров в корневая файловая система. Это работает только для контейнеров Linux. | Mutate, Disabled | 1.1.0 (предварительная версия) |
| [предварительная версия]: задает значение readOnlyRootFileSystem в спецификации Pod значение true, если оно не задано. | Установка параметра readOnlyRootFileSystem на значение true повышает безопасность путем предотвращения записи контейнеров в корневая файловая система | Mutate, Disabled | 1.1.0 (предварительная версия) |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Кластеры Azure Kubernetes должны включить интерфейс служба хранилища контейнера (CSI) | Интерфейс служба хранилища контейнера (CSI) — это стандарт для предоставления произвольных блоков и файловых систем хранилища контейнерным рабочим нагрузкам в Служба Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| Кластеры Azure Kubernetes должны включать служба управления ключами (KMS) | Используйте служба управления ключами (KMS) для шифрования неактивных данных секретов в etcd для безопасности кластера Kubernetes. См. дополнительные сведения: https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| Кластеры Azure Kubernetes должны использовать Azure CNI | Azure CNI является необходимым компонентом для некоторых функций Службы Azure Kubernetes, включая политики сети Azure, пулы узлов Windows и надстройку виртуальных узлов. См. дополнительные сведения: https://aka.ms/aks-azure-cni. | Audit, Disabled | 1.0.1 |
| Кластеры службы Azure Kubernetes должны отключить вызов команды | Отключение вызова команды может повысить безопасность путем избегания обхода ограниченного сетевого доступа или управления доступом на основе ролей Kubernetes | Audit, Disabled | 1.0.1 |
| Кластеры Служба Azure Kubernetes должны включить автоматическое обновление кластера | Автоматическое обновление кластера AKS может обеспечить актуальность кластеров и не пропускать последние функции или исправления из AKS и вышестоящий Kubernetes. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить очистку образов | Image Clean выполняет автоматически уязвимые, неиспользуемые идентификации и удаления изображений, что снижает риск устаревших изображений и сокращает время, необходимое для их очистки. См. дополнительные сведения: https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить интеграцию идентификатора Microsoft Entra | Интеграция идентификатора Microsoft Entra, управляемого AKS, может управлять доступом к кластерам, настроив управление доступом на основе ролей Kubernetes (Kubernetes RBAC) на основе удостоверения пользователя или членства в группах каталогов. См. дополнительные сведения: https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| Кластеры Служба Azure Kubernetes должны включить автоматическое обновление ос узла | Обновления системы автоматического обновления узла AKS управляют обновлениями безопасности ОС на уровне узла. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить удостоверение рабочей нагрузки | Удостоверение рабочей нагрузки позволяет назначить уникальное удостоверение каждому pod Kubernetes и связать его с защищенными ресурсами Azure AD, такими как Azure Key Vault, что обеспечивает безопасный доступ к этим ресурсам из pod. См. дополнительные сведения: https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
| Для кластеров Службы Azure Kubernetes должны быть отключены локальные способы проверки подлинности | Отключение локальных способов проверки подлинности повышает уровень безопасности. В этом случае для проверки подлинности кластеры Службы Azure Kubernetes будут требовать исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| Кластеры Службы Azure Kubernetes должны использовать управляемые удостоверения | Используйте управляемые удостоверения для создания оболочки для субъектов-служб, более удобного управления кластерами и уменьшения сложности, связанной с управляемыми субъектами-службами. См. дополнительные сведения: https://aka.ms/aks-update-managed-identities. | Audit, Disabled | 1.0.1 |
| Частные кластеры Службы Azure Kubernetes должны быть включены | Включение функции частных кластеров для кластера Службы Azure Kubernetes для гарантии того, что сетевой трафик между сервером API и пулами узлов останется внутри частной сети. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. | Audit, Disabled | 1.0.3 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | AuditIfNotExists, Disabled | 1.0.1 |
| Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| Настройка кластеров Службы Azure Kubernetes для активации профиля Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.Defender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Настройка установки расширения Flux в кластере Kubernetes | Установите расширение Flux в кластере Kubernetes, чтобы включить развертывание "fluxconfigurations" в кластере | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью источника контейнера и секретов в KeyVault | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуется секретный ключ контейнера, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и сертификата ЦС HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется сертификат ЦС HTTPS. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет ключа HTTPS, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов SSH | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет закрытого ключа SSH, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью общедоступного репозитория Git | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с указанным источником контейнеров Flux v2 с использованием локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов HTTPS | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуются секреты ключа и пользователя HTTPS, хранимые в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps без использования секретов | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов SSH | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуется секрет закрытого ключа SSH в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Настройка интегрированных кластеров Служба Azure Kubernetes идентификатора Microsoft Entra с необходимым доступом к группам Администратор | Обеспечение безопасности кластера путем централизованного управления доступом Администратор istrator к интегрированным кластерам AKS в Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Настройка автоматического обновления ОС узла в кластере Azure Kubernetes | Используйте автоматическое обновление ОС узла для управления обновлениями безопасности ос на уровне узла кластеров Служба Azure Kubernetes (AKS). Дополнительные сведения см. в статье https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Развертывание — настройка параметров диагностики для службы Azure Kubernetes в рабочей области Log Analytics | Развертывание для Службы Azure Kubernetes параметров диагностики, настроенных для потоковой передачи журналов ресурсов в рабочую область Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Развертывание надстройки службы "Политика Azure" в кластерах Службы Azure Kubernetes | Надстройка службы "Политика Azure" позволяет управлять состоянием соответствия кластеров Службы Azure Kubernetes (AKS) и получать уведомления о нем. Дополнительные сведения см. в разделе https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Развертывание очистки образа в Служба Azure Kubernetes | Развертывание image Cleaner в кластерах Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-cleaner. | DeployIfNotExists, Disabled | 1.0.4 |
| Развертывание планового обслуживания для планирования и контроля обновлений для кластера Служба Azure Kubernetes (AKS) | Плановое обслуживание позволяет планировать еженедельные периоды обслуживания для выполнения обновлений и минимизации влияния на рабочую нагрузку. После планирования обновления выполняются только в выбранном окне. См. дополнительные сведения: https://aka.ms/aks/planned-maintenance. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Отключить вызов команды в кластерах службы Azure Kubernetes | Отключение вызова команды может повысить безопасность путем отклонения доступа invoke-command к кластеру | DeployIfNotExists, Disabled | 1.2.0 |
| Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности | Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes не должны использовать запрещенные интерфейсы sysctl | Контейнеры не должны использовать запрещенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType | Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения | Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях | Audit, Deny, Disabled | 3.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp | Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома FlexVolume объектов pod в кластере Kubernetes должны использовать только разрешенные драйверы | Тома FlexVolume объектов pod должны использовать только разрешенные драйверы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны использовать только разрешенные параметры SELinux | Объекты pod и контейнеры должны использовать только разрешенные параметры SELinux в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов | Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Объекты pod кластера Kubernetes должны использовать указанные метки | Использование заданных меток для идентификации объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса | Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластер Kubernetes не должен использовать незащищенные объекты Pod | Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs | Audit, Deny, Disabled | 2.1.0 |
| Контейнеры Windows в кластере Kubernetes не должны допускать избыточного выделения ЦП и памяти | Запросы ресурсов контейнера Windows не должны превышать установленное ограничение ресурсов или не должны быть заданы вообще во избежание повышенных обязательств. Если память Windows избыточно подготовлена, она будет обрабатывать страницы на диске, что может замедлить производительность вместо завершения работы контейнера по причине недостаточного объема памяти | Audit, Deny, Disabled | 2.1.0 |
| Контейнеры Windows кластера Kubernetes не должны выполняться в качестве контейнера Администратор istrator | Запретить использование контейнера Администратор istrator в качестве пользователя для выполнения процессов контейнера для модулей pod или контейнеров Windows. Эта рекомендация предназначена для повышения безопасности узлов Windows. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Контейнеры Windows в кластере Kubernetes должны запускаться только с утвержденными пользователями и группами пользователей домена | Управляйте пользователями, которых объекты Pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта рекомендация является частью политик безопасности объекта Pod на узлах Windows, которые предназначены для повышения уровня безопасности сред Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes должны убедиться, что роль администратора кластера используется только при необходимости. | Роль "cluster-admin" предоставляет широкие возможности по сравнению с средой и должна использоваться только там, где и когда это необходимо. | Audit, Disabled | 1.0.0 |
| Кластеры Kubernetes должны свести к минимуму дикие карта использовать в роли и роли кластера | Использование wild карта s "*" может быть угрозой безопасности, так как она предоставляет широкие разрешения, которые могут не потребоваться для определенной роли. Если у роли слишком много разрешений, возможно, злоумышленник или скомпрометированный пользователь может получить несанкционированный доступ к ресурсам в кластере. | Audit, Disabled | 1.0.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Кластеры Kubernetes должны запрещать использование разрешений на изменение конечных точек в ClusterRole/system:aggregate-to-edit | В ClusterRole/system:aggregate-to-edit должно быть запрещено использование разрешений на изменение конечных точек из-за уязвимости CVE-2021-25740 (подробное описание: https://github.com/kubernetes/kubernetes/issues/103675). Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать определенные возможности защиты | Запретите определенные возможности защиты в кластерах Kubernetes, чтобы предотвратить использование непредоставленных прав доступа к ресурсу Pod. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления систем хранения произвольных блоков и файлов для контейнерных рабочих нагрузок в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Кластеры Kubernetes должны использовать внутренние подсистемы балансировки нагрузки | Использование внутренних подсистем балансировки нагрузки для ограничения доступа к Службе Kubernetes только приложениями, запущенными в той же виртуальной сети, что и кластер Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Ресурсы Kubernetes должны иметь обязательные примечания | Убедитесь, что необходимые заметки подключены к определенному типу ресурсов Kubernetes для повышения эффективности управления ресурсами Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
| Журналы ресурсов в Службе Azure Kubernetes должны быть включены | Журналы ресурсов Службы Azure Kubernetes позволяют восстановить порядок действий при расследовании инцидентов с безопасностью. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. | AuditIfNotExists, Disabled | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.