Элементы управления соответствием Политики Azure для Службы Azure Kubernetes (AKS)

Статья Соответствие нормативным требованиям в Политике Azure содержит определения инициатив (встроенные определения), созданные и управляемые Майкрософт, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Службы Azure Kubernetes (AKS).

Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.

Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

Важно!

Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.

Тестирование безопасности Azure

Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с Azure Security Benchmark, см. на этой странице.

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности системы безопасности Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Безопасность сети NS-2 Защита облачных служб с помощью сетевых элементов управления В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Привилегированный доступ PA-7 Следуйте принципу администрирования с предоставлением минимальных прав В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Защита данных DP-3 Шифрование конфиденциальных данных во время передачи Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Ведение журналов и обнаружение угроз LT-1 Включение возможностей обнаружения угроз В кластерах Службы Azure Kubernetes должен быть включен профиль Defender 2.0.0
Ведение журналов и обнаружение угроз LT-2 Включение возможностей обнаружения угроз для управления удостоверениями и доступом В кластерах Службы Azure Kubernetes должен быть включен профиль Defender 2.0.0
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций [Предварительная версия]: кластеры Kubernetes должны ограничивать развертывание уязвимых образов 2.0.1-preview
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) 1.0.2
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные 9.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла 5.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Контейнеры в кластере Kubernetes должны использовать только разрешенные образы 9.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Службы кластера Kubernetes должны прослушивать только разрешенные порты 8.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Кластеры Kubernetes должны отключить учетные данные API автоподключения 4.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN 5.0.1
Управление состоянием защиты и уязвимостью PV-2 Проведение аудита и внедрение безопасных конфигураций Кластеры Kubernetes не должны использовать пространство имен по умолчанию 4.0.1
Управление состоянием защиты и уязвимостью PV-6 Быстрое и автоматическое устранение уязвимостей Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Безопасность DevOps DS-6 Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1

Тесты производительности системы безопасности Azure версии 1

Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с Azure Security Benchmark, см. на этой странице.

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности системы безопасности Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита данных 4.6 Контроль доступа к ресурсам с помощью RBAC В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление уязвимостями 5,3 Развертывание автоматизированного решения для управления исправлениями ПО сторонних производителей Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2

Тесты для оценки безопасности CIS для платформ Microsoft Azure 1.1.0

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
8. Прочие вопросы по безопасности Рекомендация 8.5 CIS Microsoft Azure Foundations Benchmark Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2

CIS Microsoft Azure Foundations Benchmark 1.3.0

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
8. Прочие вопросы по безопасности Рекомендация 8.5 CIS Microsoft Azure Foundations Benchmark Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2

CMMC уровня 3

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом AC.2.007 Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей. В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом AC.2.016 Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление конфигурацией CM.2.062 Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей. В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Оценка угроз для безопасности RM.2.143 Устранение уязвимостей в соответствии с оценками рисков. Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Защита системы и средств передачи данных SC.3.177 Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом 1.0.1
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2

FedRAMP — высокий уровень

Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — FedRAMP High. Дополнительные сведения об этом стандарте см. здесь.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC-4 Управление потоком информации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Управление конфигурацией CM-6 Параметры конфигурации В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) 1.0.2
Управление конфигурацией CM-6 Параметры конфигурации Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла 5.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные образы 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Службы кластера Kubernetes должны прослушивать только разрешенные порты 8.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Защита системы и связи SC-7 Защита границ В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и связи SC-7 (3) Точки доступа В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и связи SC-8 Конфиденциальность и целостность передачи Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и связи SC-8 (1) Криптографическая или альтернативная физическая защита Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и связи SC-12 Создание криптографических ключей и управление ими Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом 1.0.1
Защита системы и связи SC-28 Защита неактивной информации Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Защита системы и связи SC-28 (1) Криптографическая защита Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Целостность системы и информации SI-2 Исправление ошибок Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2

FedRAMP — средний уровень

Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC-4 Управление потоком информации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Управление конфигурацией CM-6 Параметры конфигурации В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) 1.0.2
Управление конфигурацией CM-6 Параметры конфигурации Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла 5.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные образы 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Службы кластера Kubernetes должны прослушивать только разрешенные порты 8.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Защита системы и связи SC-7 Защита границ В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и связи SC-7 (3) Точки доступа В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и связи SC-8 Конфиденциальность и целостность передачи Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и связи SC-8 (1) Криптографическая или альтернативная физическая защита Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и связи SC-12 Создание криптографических ключей и управление ими Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом 1.0.1
Защита системы и связи SC-28 Защита неактивной информации Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Защита системы и связи SC-28 (1) Криптографическая защита Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Целостность системы и информации SI-2 Исправление ошибок Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2

HIPAA HITRUST 9.2

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье со сведениями о встроенной инициативе по обеспечению соответствия стандарту HIPAA HITRUST 9.2. Дополнительные сведения об этом стандарте соответствия см. на странице описания HIPAA HITRUST 9.2.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление правами 1149.01c2System.9 — 01.c Организация упрощает обмен информацией, позволяя полномочным пользователям определять права доступа бизнес-партнера, если такая свобода действия допускается организацией, и применять процессы, выполняемые вручную, или автоматические механизмы, помогающие пользователям в принятии решений по обмену информацией и совместной работе. В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
11 контроль доступа 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Авторизованный доступ к информационным системам В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
12 Мониторинг ведения журнала & аудита 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Документированные операционные процедуры В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2

NIST SP 800-53, ред. 5

Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям —NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC-3 (7) Управление доступом на основе ролей В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом AC-4 Управление потоком информации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Управление конфигурацией CM-6 Параметры конфигурации В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) 1.0.2
Управление конфигурацией CM-6 Параметры конфигурации Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла 5.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны использовать только разрешенные образы 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Управление конфигурацией CM-6 Параметры конфигурации Службы кластера Kubernetes должны прослушивать только разрешенные порты 8.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Управление конфигурацией CM-6 Параметры конфигурации Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Защита системы и средств передачи данных SC-7 Защита границ В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и средств передачи данных SC-7 (3) Точки доступа В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита системы и средств передачи данных SC-8 Конфиденциальность и целостность передаваемых данных Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и средств передачи данных SC-8 (1) Криптографическая защита Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Защита системы и средств передачи данных SC-12 Установка криптографических ключей и управление ими Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом 1.0.1
Защита системы и средств передачи данных SC-28 Защита неактивных данных Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Защита системы и средств передачи данных SC-28 (1) Криптографическая защита Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле 1.0.1
Целостность системы и данных SI-2 Исправление ошибок Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2
Целостность системы и данных SI-2 (6) Удаление предыдущих версий программного обеспечения и встроенного ПО Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2

NZ ISM Restricted версии 3.5

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — NZ ISM Restricted версии 3.5. Дополнительные сведения об этом стандарте соответствия см. на странице об NZ ISM Restricted версии 3.5.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Контроль доступа и пароли NZISM Security Benchmark AC-18 16.6.9 События для записи в журнал Журналы ресурсов в Службе Azure Kubernetes должны быть включены 1.0.0
Защита шлюза NZ ISM Security Benchmark GS-2 19.1.11 Использование шлюзов В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Инфраструктура NZISM Security Benchmark INF-9 10.8.35 Архитектура безопасности В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) 1.0.2
Инфраструктура NZISM Security Benchmark INF-9 10.8.35 Архитектура безопасности В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла 5.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластеры Kubernetes должны отключить учетные данные API автоподключения 4.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN 5.0.1
Безопасность программного обеспечения NZISM Security Benchmark SS-3 14.1.9 Обслуживание защищенных стандартных операционных сред Кластеры Kubernetes не должны использовать пространство имен по умолчанию 4.0.1

Резервный банк Индии — ИТ-структура для NBFC

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. на странице Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-структура для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-структура для NBFC.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Система управления ИТ RBI IT Framework 1 Система управления ИТ-1 Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2
Информация и кибербезопасность RBI IT Framework 3.1.a Идентификация и классификация информационных ресурсов-3.1 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Информация и кибербезопасность RBI IT Framework 3.1.c Управление доступом на основе ролей-3.1 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Информация и кибербезопасность RBI IT Framework 3.1.g Отслеживание-3.1 В кластерах Службы Azure Kubernetes должен быть включен профиль Defender 2.0.0
Информация и кибербезопасность RBI IT Framework 3.3 Управление уязвимостями-3.3 Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2
Информация и кибербезопасность RBI IT Framework 3.3 Управление уязвимостями-3.3 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1

Резервный банк Индии IT Framework для банков v2016

Сведения о том, как доступные Политика Azure встроенные для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — банки RBI ITF версии 2016. Дополнительные сведения об этом стандарте соответствия см. в разделе RBI ITF Banks версии 2016 (PDF).

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями & 7.7 В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями & 7.7 В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Защита от фишинга Защита от фишинга 14.1 В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Расширенная защита Real-Timethreat и управление Advanced Real-Timethreat Defenceand Management-13.2 В кластерах Службы Azure Kubernetes должен быть включен профиль Defender 2.0.0
Контроль доступа пользователей и управление User контроль доступа / Management-8.5 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Контроль доступа пользователей и управление User контроль доступа / Management-8.1 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Контроль доступа пользователей и управление User контроль доступа / Management-8.8 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.3 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.1 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.7 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.6 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.3 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.1 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Предотвращение выполнения несанкционированного программного обеспечения Управление обновлениями безопасности 2.3 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями & 7.6 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление изменениями исправлений и уязвимостей & 7.2 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями-7.1 & Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями & 7.6 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление изменениями исправлений и уязвимостей & 7.2 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Управление изменениями исправлений и уязвимостей & Управление исправлениями и уязвимостями-7.1 & Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.6 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1
Жизненный цикл безопасности приложений (Aslc) Жизненный цикл безопасности приложений (Aslc)-6.7 Необходимо устранить уязвимости в образах работающих контейнеров. 1.0.1

RMIT Malaysia

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в документе RMIT Malaysia.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Шифрование RMiT 10.19 Шифрование — 10.19 Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом 1.0.1
Управление доступом RMiT 10.54 Управление доступом — 10.54 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом RMiT 10.55 Управление доступом — 10.55 Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности 6.0.1
Управление доступом RMiT 10.55 Управление доступом — 10.55 Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения 6.0.1
Управление доступом RMiT 10.55 Управление доступом — 10.55 Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп 6.0.1
Управление доступом RMiT 10.55 Управление доступом — 10.55 Кластер Kubernetes не должен разрешать привилегированные контейнеры 9.0.1
Управление доступом RMiT 10.55 Управление доступом — 10.55 Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров 7.0.1
Управление доступом RMiT 10.60 Управление доступом — 10.60 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом RMiT 10.61 Управление доступом — 10.61 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление доступом RMiT 10.62 Управление доступом — 10.62 В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) 1.0.2
Управление системами: исправления и окончание жизненного цикла RMiT 10.65 Управление системами: исправления и окончание жизненного цикла — 10.65 Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями 1.0.2
Центр информационной безопасности (SOC) RMiT 11.17 Центр информационной безопасности (SOC) — 11.17 В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Центр информационной безопасности (SOC) RMiT 11.17 Центр информационной безопасности (SOC) — 11.17 В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов 2.0.1
Меры по контролю кибербезопасности Приложение RMiT 5.5 Меры по контролю кибербезопасности. Приложение 5.5 Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса 5.0.1
Меры по контролю кибербезопасности Приложение RMiT 5.6 Меры по контролю кибербезопасности. Приложение 5.6 Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов 6.0.1
Меры по контролю кибербезопасности Приложение RMiT 5.6 Меры по контролю кибербезопасности. Приложение 5.6 Службы кластера Kubernetes должны прослушивать только разрешенные порты 8.0.1
Меры по контролю кибербезопасности Приложение RMiT 5.6 Меры по контролю кибербезопасности. Приложение 5.6 Кластеры Kubernetes должны быть доступны только по протоколу HTTPS 8.0.1

Дальнейшие действия