Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс Политика Azure встроенных определений политик для Служба Azure Kubernetes. Дополнительные встроенные Политика Azure для других служб см. в разделе Политика Azure встроенные определения.
Имя каждого встроенного определения политики ссылается на определение политики на портале Azure. Используйте ссылку в столбце Version для просмотра источника в репозитории Политика Azure GitHub.
Инициативы
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [предварительная версия]: используйте целостность изображений, чтобы обеспечить развертывание только доверенных образов | Используйте целостность изображений, чтобы обеспечить развертывание кластеров AKS только доверенных образов, включив целостность изображений и Политика Azure Add-Ons в кластерах AKS. Целостность изображений Add-On и Политика Azure Add-On являются предварительными условиями использования целостности изображений для проверки того, подписан ли образ при развертывании. Дополнительные сведения см. в статье https://aka.ms/aks/image-integrity. | 3 | 1.1.0 (предварительная версия) |
| [предварительная версия]: кластер Kubernetes должен следовать рекомендациям по управлению безопасностью Центра безопасности Интернета (CIS) Kubernetes benchmark | Эта инициатива включает в себя политики для рекомендаций по безопасности Центра безопасности Интернета (CIS) Kubernetes, вы можете использовать эту инициативу для обеспечения соответствия стандартам CIS Kubernetes. Дополнительные сведения о соответствии CIS см. по адресу: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0 (предварительная версия) |
| защита Deployment должна помочь разработчикам в отношении рекомендуемых рекомендаций AKS | Коллекция рекомендаций Kubernetes, рекомендуемых Azure Kubernetes Service (AKS). Для лучшего использования используйте средства защиты развертывания, чтобы назначить эту инициативу политики: https://aka.ms/aks/deployment-safeguards Политика Azure Add-On для AKS является необходимым условием для применения этих рекомендаций к кластерам. Инструкции по включению надстройки Политика Azure см. в aka.ms/akspolicydoc | двадцать семь | 3.0.0 |
| Kubernetes cluster pod базовые стандарты безопасности для рабочих нагрузок на основе Linux | Эта инициатива включает политики стандартов базовой конфигурации безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes cluster pod с ограниченными стандартами безопасности для рабочих нагрузок на основе Linux | Эта инициатива включает политики стандартов безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Определения политик
Майкрософт. ContainerService
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: [Целостность изображений] Кластеры Kubernetes должны использовать только изображения, подписанные нотацией | Используйте образы, подписанные нотацией, чтобы гарантировать, что образы приходят из доверенных источников и не будут вредоносным образом изменены. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | Аудит, отключено | 1.1.0-preview |
| [предварительная версия]: расширение Azure Backup должно быть установлено в кластерах AKS | Убедитесь, что установка расширения резервного копирования в кластерах AKS позволяет использовать Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Azure Backup следует включить для кластеров AKS | Обеспечьте защиту кластеров AKS, включив Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, отключено | 1.0.0-preview |
| [предварительная версия]: Служба Azure Kubernetes управляемые кластеры должны быть избыточными по зонам | Служба Azure Kubernetes управляемые кластеры можно настроить как избыточные зоны или нет. Политика проверяет пулы узлов в кластере и гарантирует, что для всех пулов узлов заданы зоны avaialbilty. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [предварительная версия]: развертывание целостности образа в Служба Azure Kubernetes | Разверните кластеры целостности изображений и политики Add-Ons Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0-preview |
| [предварительная версия]: установите расширение Azure Backup в кластерах AKS (управляемый кластер) с заданным тегом. | Установка расширения Azure Backup является необходимым условием для защиты кластеров AKS. Принудительное применение установки расширения резервного копирования во всех кластерах AKS, содержащих заданный тег. Это позволяет управлять резервным копированием кластеров AKS в большом масштабе. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0-preview |
| [предварительная версия]: установите расширение Azure Backup в кластерах AKS (управляемый кластер) без заданного тега. | Установка расширения Azure Backup является необходимым условием для защиты кластеров AKS. Принудительное применение установки расширения резервного копирования во всех кластерах AKS без определенного значения тега. Это позволяет управлять резервным копированием кластеров AKS в большом масштабе. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0-preview |
| [Предварительная версия]: контейнеры кластера Kubernetes должны использовать только разрешенные интерфейсы sysctl | Контейнеры должны использовать только разрешенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| [предварительная версия]: кластер Kubernetes должен реализовать точные бюджеты нарушений pod | Предотвращает неисправные бюджеты сбоев pod, обеспечивая минимальное количество операционных модулей pod. Дополнительные сведения см. в официальной документации Kubernetes. Использует репликацию данных Gatekeeper и синхронизирует все ресурсы Deployment, StatefulSet и PodDisruptionBudget, ограниченные в OPA. Перед применением этой политики убедитесь, что синхронизированные ресурсы не напрягают емкость памяти. Все ресурсы этих типов в пространствах имен синхронизируются. Примечание. В настоящее время в предварительной версии службы Kubernetes (AKS). | Аудит, отказ в доступе, отключено | 1.3.1-preview |
| [предварительная версия]: кластеры Kubernetes должны ограничить создание заданного типа ресурса | Не следует развертывать заданный тип ресурса Kubernetes в определенном пространстве имен. | Аудит, отказ в доступе, отключено | 2.3.0-preview |
| [предварительная версия]: запрещает запуск контейнеров в качестве корневого элемента путем установки параметра runAsNotRoot значение true. | При задании runAsNotRoot значение true повышает безопасность, предотвращая запуск контейнеров в качестве корневого каталога. | Модификация, Отключено | 1.1.0-preview |
| [предварительная версия]: запрещает запуск контейнеров init в качестве корневого элемента путем установки параметра runAsNotRoot значение true. | При задании runAsNotRoot значение true повышает безопасность, предотвращая запуск контейнеров в качестве корневого каталога. | Модификация, Отключено | 1.1.0-preview |
| [Предварительная версия]: задает для контейнеров кластера Kubernetes securityContext.runAsUser значение 1000, идентификатор пользователя, отличного от корневого каталога. | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0-preview |
| [Предварительная версия]: задает тип профиля безопасного вычислительного режима контейнеров кластера Kubernetes в значение RuntimeDefault, если он отсутствует. | Установка типа профиля безопасного вычислительного режима для контейнеров, чтобы предотвратить несанкционированные и потенциально опасные вызовы системы к ядру из пользовательского пространства. | Модификация, Отключено | 1.2.0-preview |
| [Предварительная версия]: задает для контейнеров kubernetes init контейнеры securityContext.runAsUser значение 1000, а не корневой идентификатор пользователя | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0-preview |
| [Предварительная версия]: задает тип профиля безопасного вычислительного режима кластера Kubernetes в режиме безопасных вычислений в значение RuntimeDefault, если он отсутствует. | Задание типа профиля безопасного вычислительного режима для контейнеров init, чтобы предотвратить несанкционированные и потенциально опасные вызовы системы в ядро из пользовательского пространства. | Модификация, Отключено | 1.2.0-preview |
| [Предварительная версия]: задает поля Pod pod кластера Kubernetes securityContext.runAsUser значение 1000, идентификатор пользователя, отличного от корневого пользователя. | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0-preview |
| [предварительная версия]. Задает повышение привилегий в спецификации Pod в контейнерах init значение false. | Настройка эскалации привилегий на значение false в контейнерах init повышает безопасность, предотвращая эскалацию привилегий контейнеров, например с помощью режима файла set-user-ID или set-group-ID. | Модификация, Отключено | 1.2.0-preview |
| [предварительная версия]: задает для спецификации Pod значение false. | Настройка эскалации привилегий на значение false повышает безопасность, запрещая контейнерам разрешать эскалацию привилегий, например с помощью режима файла set-user-ID или set-group-ID. | Модификация, Отключено | 1.2.0-preview |
| [предварительная версия]: задает неработоспособныйPodEvictionPolicy значение AlwaysAllow | Задает для неработоспособного бюджета PodEvictionPolicy значение AlwaysAllow, чтобы разрешить вытеснение даже неработоспособных модулей pod при выполнении администрирования кластера | Модификация, Отключено | 1.1.0-preview |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, отключено | 2.0.1 |
| Azure Кластеры Kubernetes должны отключить SSH | Отключение SSH позволяет защитить кластер и уменьшить область атаки. Дополнительные сведения см. в статье aka.ms/aks/disablessh | Аудит, отключено | 1.0.0 |
| Azure кластеры Kubernetes должны включить интерфейс хранилища контейнеров (CSI) | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления произвольных блоков и файловых систем хранилища контейнерным рабочим нагрузкам в Служба Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Аудит, отключено | 1.0.0 |
| Azure кластеры Kubernetes должны включить службу управления ключами (KMS) | Используйте служба управления ключами (KMS) для шифрования неактивных данных секретов в etcd для безопасности кластера Kubernetes. См. дополнительные сведения: https://aka.ms/aks/kmsetcdencryption. | Аудит, отключено | 1.1.0 |
| Azure кластеры Kubernetes должны использовать Azure CNI | Azure CNI является обязательным условием для некоторых функций Служба Azure Kubernetes, включая политики сети Azure, пулы узлов Windows и надстройки виртуальных узлов. См. дополнительные сведения: https://aka.ms/aks-azure-cni. | Аудит, отключено | 1.0.1 |
| кластеры Служба Azure Kubernetes должны быть членом Azure Kubernetes Fleet Manager. | Обнаруживайте и сообщайте все кластеры AKS, которые не являются членами Azure диспетчера парка Kubernetes. Дополнительные сведения см. в https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, отключено | 1.0.0 |
| кластеры Служба Azure Kubernetes должны отключить командный вызов | Отключение вызова команды может повысить безопасность путем избегания обхода ограниченного сетевого доступа или управления доступом на основе ролей Kubernetes | Аудит, отключено | 1.0.1 |
| кластеры Служба Azure Kubernetes должны включить автоматическое обновление кластера | Автоматическое обновление кластера AKS может обеспечить актуальность кластеров и не пропускать последние функции или исправления из AKS и вышестоящего Kubernetes. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Аудит, отключено | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить Image Cleaner | Image Clean выполняет автоматически уязвимые, неиспользуемые идентификации и удаления изображений, что снижает риск устаревших изображений и сокращает время, необходимое для их очистки. См. дополнительные сведения: https://aka.ms/aks/image-cleaner. | Аудит, отключено | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включать интеграцию Microsoft Entra ID | Интеграция с управляемыми AKS Microsoft Entra ID может управлять доступом к кластерам, настроив управление доступом на основе ролей Kubernetes (Kubernetes RBAC) на основе удостоверения пользователя или членства в группе каталогов. См. дополнительные сведения: https://aka.ms/aks-managed-aad. | Аудит, отключено | 1.0.2 |
| кластеры Служба Azure Kubernetes должны включить автоматическое обновление ос узла | Обновления системы автоматического обновления узла AKS управляют обновлениями безопасности ОС на уровне узла. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Аудит, отключено | 1.0.0 |
| кластеры Служба Azure Kubernetes должны включать удостоверение рабочей нагрузки | Удостоверение рабочей нагрузки позволяет назначить уникальное удостоверение каждому pod Kubernetes и связать его с защищенными ресурсами Azure AD, такими как Azure Key Vault, что обеспечивает безопасный доступ к этим ресурсам из pod. См. дополнительные сведения: https://aka.ms/aks/wi. | Аудит, отключено | 1.0.0 |
| кластеры Служба Azure Kubernetes должны быть включены Defender профиля | Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Дополнительные сведения о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Аудит, отключено | 2.0.1 |
| кластеры Служба Azure Kubernetes должны иметь отключенные локальные методы проверки подлинности | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Служба Azure Kubernetes кластеры должны требовать исключительно Azure Active Directory удостоверения для проверки подлинности. См. дополнительные сведения: https://aka.ms/aks-disable-local-accounts. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кластеры Служба Azure Kubernetes должны использовать управляемые удостоверения | Используйте управляемые удостоверения для создания оболочки для субъектов-служб, более удобного управления кластерами и уменьшения сложности, связанной с управляемыми субъектами-службами. См. дополнительные сведения: https://aka.ms/aks-update-managed-identities. | Аудит, отключено | 1.0.1 |
| Служба Azure Kubernetes частные кластеры должны быть включены | Включите функцию частного кластера для кластера Служба Azure Kubernetes, чтобы убедиться, что сетевой трафик между сервером API и пулами узлов остается только в частной сети. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Политика Azure надстройка для службы Kubernetes (AKS) должна быть установлена и включена в кластерах | Политика Azure надстройка для службы Kubernetes (AKS) расширяет шлюз версии 3, веб-перехватчик контроллера допуска для агента open Policy Agent (OPA), чтобы применять масштабируемые принудительное применение и защиту в кластерах централизованно, согласованно. | Аудит, отключено | 1.0.2 |
| Azure для запуска образов контейнеров должны быть устранены уязвимости (на Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | AuditIfNotExists, отключено | 1.0.1 |
| Both операционные системы и диски данных в кластерах Служба Azure Kubernetes должны быть зашифрованы ключами, управляемыми клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Не удается изменить отдельные узлы | Не удается изменить отдельные узлы. Пользователи не должны изменять отдельные узлы. Измените пулы узлов. Изменение отдельных узлов может привести к несогласованным параметрам, операционным проблемам и потенциальным рискам безопасности. | Аудит, отказ в доступе, отключено | 1.3.1 |
| Настройка кластеров AKS для автоматического присоединения к указанному Azure Диспетчеру флота Kubernetes | Определите и убедитесь, что кластеры AKS присоединяются к заданному Azure Диспетчеру парка Kubernetes. При необходимости выберите тег для поиска, чтобы указать, к какой группе обновления парка вы хотите присоединиться. Дополнительные сведения см. в https://aka.ms/kubernetes-fleet/policy | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| кластеры Configure Служба Azure Kubernetes для включения Defender профиля | Microsoft Defender для контейнеров предоставляет облачные возможности безопасности Kubernetes, включая защиту среды, защиту рабочей нагрузки и защиту во время выполнения. При включении SecurityProfile. Defender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Дополнительные сведения о Microsoft Defender для контейнеров: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | РазвернутьЕслиНеСуществует, Отключено | 4.3.0 |
| Настройка установки расширения Flux в кластере Kubernetes | Установите расширение Flux в кластере Kubernetes, чтобы включить развертывание "fluxconfigurations" в кластере | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью источника контейнера и секретов в KeyVault | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуется секретный ключ контейнера, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и сертификата ЦС HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется сертификат ЦС HTTPS. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет ключа HTTPS, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов SSH | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет закрытого ключа SSH, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью общедоступного репозитория Git | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с указанным источником контейнеров Flux v2 с использованием локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов HTTPS | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуются секреты пользователей и ключей HTTPS, хранящиеся в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps без использования секретов | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов SSH | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуется секрет закрытого ключа SSH в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Configure Microsoft Entra ID интегрированные кластеры Служба Azure Kubernetes с необходимым доступом к группам администраторов | Обеспечение повышения безопасности кластера путем централизованного управления доступом администратора к Microsoft Entra ID интегрированным кластерам AKS. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Настройка автоматического обновления ОС узла Azure кластере Kubernetes | Используйте автоматическое обновление ОС узла для управления обновлениями безопасности ос на уровне узла Azure Kubernetes Service (AKS) кластерах. Дополнительные сведения см. в статье https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Deploy — настройка параметров диагностики для Служба Azure Kubernetes рабочей области Log Analytics | Развертывает параметры диагностики для Служба Azure Kubernetes для потоковой передачи журналов ресурсов в рабочую область Log Analytics. | РазвернутьЕслиНеСуществует, Отключено | 3.0.0 |
| Deploy Политика Azure надстройка для кластеров Служба Azure Kubernetes | Используйте надстройку Политика Azure для управления и отчета о состоянии соответствия кластеров Azure Kubernetes Service (AKS). Дополнительные сведения см. в разделе https://aka.ms/akspolicydoc. | РазвернутьЕслиНеСуществует, Отключено | 4.2.0 |
| Deploy Image Cleaner на Служба Azure Kubernetes | Разверните средство Очистки образов в кластерах Kubernetes Azure. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-cleaner. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Deploy Planned Maintenance to schedule and control upgrades for your Azure Kubernetes Service (AKS) cluster | Плановое обслуживание позволяет планировать еженедельные периоды обслуживания для выполнения обновлений и минимизации влияния на рабочую нагрузку. После планирования обновления выполняются только в выбранном окне. См. дополнительные сведения: https://aka.ms/aks/planned-maintenance. | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| командный вызов Disable в кластерах Служба Azure Kubernetes | Отключение вызова команды может повысить безопасность путем отклонения доступа invoke-command к кластеру | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности | Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 3.3.0 |
| Образы контейнеров кластера Kubernetes должны включать престопный перехватчик | Требуется, чтобы образы контейнеров включали престоп-перехватчик для корректного завершения процессов во время завершения работы pod. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Образы контейнеров кластера Kubernetes не должны содержать последний тег образа | Требуется, чтобы образы контейнеров не использовали последний тег в Kubernetes, рекомендуется обеспечить воспроизводимость, предотвратить непредвиденные обновления и упростить отладку и откаты с помощью явных и версий образов контейнеров. | Аудит, отказ в доступе, отключено | 2.0.1 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.3.0 |
| Необходимо определить запросы ресурсов ЦП и ресурсов ресурсов кластера Kubernetes | Принудительное применение запросов ресурсов ЦП и памяти контейнера, чтобы убедиться, что запланированный узел имеет необходимые ресурсы. | Аудит, отказ в доступе, отключено | 1.0.0-preview |
| Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | Блокировка доступа к пространству имен идентификатора процесса узла, пространству имен IPC узла и пространству имен сети узла в кластере Kubernetes. Эта рекомендация соответствует стандартам безопасности Pod Kubernetes для пространств имен узлов и входит в состав CIS 5.2.1, 5.2.2 и 5.2.3, предназначенных для повышения безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 6.0.0 |
| Контейнеры в кластере Kubernetes не должны использовать запрещенные интерфейсы sysctl | Контейнеры не должны использовать запрещенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Контейнеры кластера Kubernetes должны извлекать образы только при наличии секретов извлечения образа | Ограничение извлечения образов контейнеров для принудительного применения функции ImagePullSecrets, обеспечение безопасного и авторизованного доступа к образам в кластере Kubernetes | Аудит, отказ в доступе, отключено | 1.3.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.3.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType | Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения | Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях | Аудит, отказ в доступе, отключено | 3.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp | Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.3.0 |
| Тома FlexVolume объектов pod в кластере Kubernetes должны использовать только разрешенные драйверы | Тома FlexVolume объектов pod должны использовать только разрешенные драйверы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Azure Arc включена Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.3.0 |
| Модули pod и контейнеры кластера Kubernetes должны соответствовать стандартам безопасности SELinux | Эта политика применяет стандарты безопасности Pod Kubernetes для параметров SELinux. В режиме PSS поля "пользователь" и "роль" должны быть пустыми, а поле "тип" должно быть одним из допустимых значений. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 8.0.0 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.0 |
| Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов | Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Модули pod кластера Kubernetes должны использовать только утвержденный список узлов и списка портов. | Ограничение доступа pod к сети узла и допустимым портам узла в кластере Kubernetes. Эта рекомендация является частью CIS 5.2.4, которая предназначена для повышения безопасности сред Kubernetes и соответствует стандартам безопасности Pod (PSS) для hostPorts. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 7.0.0 |
| Объекты pod кластера Kubernetes должны использовать указанные метки | Использование заданных меток для идентификации объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса | Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Службы кластеров Kubernetes должны использовать уникальные селекторы | Убедитесь, что службы в пространстве имен имеют уникальные селекторы. Уникальный селектор службы гарантирует, что каждая служба в пространстве имен однозначно идентифицируется на основе определенных критериев. Эта политика синхронизирует ресурсы службы с OPA через Gatekeeper. Перед применением убедитесь, что емкость памяти pod Gatekeeper не будет превышена. Параметры применяются к определенным пространствам имен, но синхронизирует все ресурсы этого типа во всех пространствах имен. В настоящее время в предварительной версии службы Kubernetes (AKS). | Аудит, отказ в доступе, отключено | 1.2.2 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.2.0 |
| Кластер Kubernetes не должен использовать незащищенные объекты Pod | Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs | Аудит, отказ в доступе, отключено | 2.3.1 |
| Kubernetes Windows контейнерам не следует перезаверять ЦП и память | Windows запросы ресурсов контейнера должны быть меньше или равны пределу ресурса или не указано, чтобы избежать чрезмерной работы. Если Windows память подготовлена, она будет обрабатывать страницы на диске , что может замедлить производительность, а не завершив контейнер с нехваткой памяти | Аудит, отказ в доступе, отключено | 2.2.0 |
| Кубернетес кластера Windows контейнеров не должен выполняться как ContainerAdministrator | Запретить использование ContainerAdministrator в качестве пользователя для выполнения процессов контейнера для Windows модулей pod или контейнеров. Эта рекомендация предназначена для повышения безопасности Windows узлов. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Аудит, отказ в доступе, отключено | 1.2.0 |
| Кубернетес кластера Windows контейнеры должны выполняться только с утвержденной группой пользователей и домена | Управляйте пользователем, Windows модулями pod и контейнерами, которые могут использоваться для запуска в кластере Kubernetes. Эта рекомендация является частью политик безопасности Pod на Windows узлах, которые предназначены для повышения безопасности сред Kubernetes. | Аудит, отказ в доступе, отключено | 2.2.0 |
| кластер Kubernetes Windows pod не должен запускать контейнеры HostProcess | Запретить prviledged доступ к узлу Windows. Эта рекомендация предназначена для повышения безопасности Windows узлов. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 9.0.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 4.2.0 |
| Кластеры Kubernetes должны убедиться, что роль администратора кластера используется только при необходимости. | Роль "cluster-admin" предоставляет широкие возможности по сравнению с средой и должна использоваться только там, где и когда это необходимо. | Аудит, отключено | 1.1.0 |
| Кластеры Kubernetes должны свести к минимуму использование подстановочных знаков в роли и роли кластера | Использование подстановочных знаков "*" может быть угрозой безопасности, так как предоставляет широкие разрешения, которые могут не потребоваться для определенной роли. Если у роли слишком много разрешений, возможно, злоумышленник или скомпрометированный пользователь может получить несанкционированный доступ к ресурсам в кластере. | Аудит, отключено | 1.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 8.0.0 |
| Кластеры Kubernetes должны запрещать использование разрешений на изменение конечных точек в ClusterRole/system:aggregate-to-edit | В ClusterRole/system:aggregate-to-edit должно быть запрещено использование разрешений на изменение конечных точек из-за уязвимости CVE-2021-25740 (подробное описание: https://github.com/kubernetes/kubernetes/issues/103675). Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отключено | 3.2.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.1.0 |
| Кластеры Kubernetes не должны использовать определенные возможности защиты | Запретите определенные возможности защиты в кластерах Kubernetes, чтобы предотвратить использование непредоставленных прав доступа к ресурсу Pod. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 4.2.0 |
| Кластеры Kubernetes должны указывать узел в правилах ресурсов входящего трафика | Убедитесь, что узел указан в правилах ресурсов входящего трафика, чтобы предотвратить непреднамеренный доступ внутренних служб к несанкционированному доступу. Эта политика оценивает ресурсы входящего трафика Kubernetes, чтобы убедиться, что каждое правило имеет указанное поле узла. | Аудит, отказ в доступе, отключено | 1.1.0-preview |
| Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления систем хранения произвольных блоков и файлов для контейнерных рабочих нагрузок в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Аудит, отказ в доступе, отключено | 2.3.0 |
| Кластеры Kubernetes должны использовать внутренние подсистемы балансировки нагрузки | Использование внутренних подсистем балансировки нагрузки для ограничения доступа к Службе Kubernetes только приложениями, запущенными в той же виртуальной сети, что и кластер Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Ресурсы Kubernetes должны иметь обязательные примечания | Убедитесь, что необходимые заметки подключены к определенному типу ресурсов Kubernetes для повышения эффективности управления ресурсами Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 3.2.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Аудит, отключено | 1.0.2 |
| Должен иметь правила сходства или ограничения распространения топологии | Эта политика гарантирует, что модули pod запланированы на разных узлах кластера. При применении правил защиты от сходства или ограничений распространения топологии pod доступность сохраняется даже в том случае, если один из узлов становится недоступным. Модули Pod будут продолжать работать на других узлах, повышая устойчивость. | Аудит, отказ в доступе, отключено | 1.2.2 |
| Изменение контейнера K8s для удаления всех возможностей | Мутирует securityContext.capabilities.drop, чтобы добавить значение "ALL". Это удаляет все возможности для контейнеров Linux k8s | Модификация, Отключено | 1.2.1 |
| Изменение контейнера Init K8s для удаления всех возможностей | Мутирует securityContext.capabilities.drop, чтобы добавить значение "ALL". Это удаляет все возможности для контейнеров инициализации linux k8s | Модификация, Отключено | 1.2.1 |
| Нет конкретных меток AKS | Запрещает клиентам применять определенные метки AKS. AKS использует префиксы меток, заданные для kubernetes.azure.com обозначения принадлежащих AKS компонентов. Клиент не должен использовать эти метки. |
Аудит, отказ в доступе, отключено | 1.2.1 |
| Выводит сообщение, если применяется мутация | Ищет примененные заметки о мутациях и выводит сообщение, если заметка существует. | Аудит, отключено | 1.2.1 |
| Зарезервированный пул системных фрагментов | Ограничивает только системный пул критическихaddonsOnly. AKS использует интрант CriticalAddonsOnly, чтобы сохранить модули pod клиента от системного пула. Это обеспечивает четкое разделение между компонентами AKS и клиентскими модулями pod, а также предотвращает вытеснение модулей pod клиентов, если они не допускают то, что критически важные элементыOnly не допускаются. | Аудит, отказ в доступе, отключено | 1.2.1 |
| журналы Resource в Служба Azure Kubernetes должны быть включены | журналы ресурсов Служба Azure Kubernetes помогут воссоздать следы действий при расследовании инцидентов безопасности. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. | AuditIfNotExists, отключено | 1.0.0 |
| Ограничивает только системный пул критическихaddonsOnly. | Чтобы избежать вытеснения пользовательских приложений из пулов пользователей и поддержания разделения проблем между пулами пользователей и системными пулами, не следует применять и к пулам пользователей. | Модификация, Отключено | 1.3.1 |
| Role-Based контроль доступа (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте Role-Based контроль доступа (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройки соответствующих политик авторизации. | Аудит, отключено | 1.1.0 |
| Задает значение automountServiceAccountToken в спецификации Pod в контейнерах значение false. | Установка параметра automountServiceAccountToken на значение false повышает безопасность, избегая автоматического подключения маркеров учетной записи службы по умолчанию. | Модификация, Отключено | 1.2.1 |
| Задает контейнеры кластера Kubernetes для ЦП по умолчанию, если они отсутствуют. | Установка ограничений ЦП контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Модификация, Отключено | 1.3.1 |
| Задает для контейнеров кластера Kubernetes ограничения памяти по умолчанию в случае, если они отсутствуют. | Установка ограничений памяти контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Модификация, Отключено | 1.3.1 |
| Задает для ресурсов Pod MaxUnavailable значение 1 для ресурсов PodDisruptionBudget | Установка максимального значения недоступного модуля pod равным 1 гарантирует доступность приложения или службы во время сбоя. | Модификация, Отключено | 1.3.1 |
| Задает значение readOnlyRootFileSystem в спецификации Pod в контейнерах init, если оно не задано. | Если задать значение readOnlyRootFileSystem, это повышает безопасность, предотвращая запись контейнеров в корневая файловая система. Это работает только для контейнеров Linux. | Модификация, Отключено | 1.3.1 |
| Задает значение readOnlyRootFileSystem в спецификации Pod значение true, если оно не задано. | Установка параметра readOnlyRootFileSystem на значение true повышает безопасность путем предотвращения записи контейнеров в корневая файловая система | Модификация, Отключено | 1.3.1 |
| Temp-диски и кэш для пулов узлов агента в кластерах Служба Azure Kubernetes должны быть зашифрованы на узле | Чтобы повысить безопасность данных, данные, хранящиеся на узле виртуальных машин Служба Azure Kubernetes узлов, должны быть зашифрованы неактивных данных. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
Следующие шаги
- См. встроенные компоненты репозитория Политика Azure GitHub.
- Просмотрите структуру определения Политика Azure.
- Изучите сведения о действии политик.