Политика Azure встроенные определения для Kubernetes с поддержкой Azure Arc
Эта страница представляет собой индекс встроенных определений политик Политика Azure для Kubernetes с поддержкой Azure Arc. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Kubernetes с поддержкой Azure Arc
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [предварительная версия]: расширение Azure Backup должно быть установлено в кластерах AKS | Убедитесь, что установка расширения резервного копирования в кластерах AKS позволяет использовать Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]: настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [предварительная версия]: кластеры Kubernetes должны ограничить создание заданного типа ресурса | Не следует развертывать заданный тип ресурса Kubernetes в определенном пространстве имен. | Audit, Deny, Disabled | 2.2.0-preview |
| Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure | Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Кластеры kubernetes с поддержкой Azure Arc должны быть настроены с помощью области Приватный канал Azure Arc | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение "Открытая сетка службы" | Расширение "Открытая сетка службы" предоставляет все стандартные возможности сетки служб для обеспечения безопасности, управления трафиком и наблюдаемости служб приложений. Дополнительные сведения приведены здесь: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Strimzi Kafka | Расширение Strimzi Kafka предоставляет операторам установку Kafka для создания конвейеров данных в режиме реального времени и потоковой передачи приложений с возможностями безопасности и наблюдаемости. Дополнительные сведения см. здесь https://aka.ms/arc-strimzikafka-doc: | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Политика Azure | Разверните расширение Политики Azure для Azure Arc, чтобы обеспечить согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка кластеров Kubernetes с поддержкой Azure Arc для использования области Приватный канал Azure Arc | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив серверы с поддержкой Azure Arc с областью приватного канала Azure Arc, настроенной с использованием частной конечной точки, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
| Настройка установки расширения Flux в кластере Kubernetes | Установите расширение Flux в кластере Kubernetes, чтобы включить развертывание "fluxconfigurations" в кластере | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью источника контейнера и секретов в KeyVault | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуется секретный ключ контейнера, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и сертификата ЦС HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется сертификат ЦС HTTPS. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет ключа HTTPS, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов SSH | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет закрытого ключа SSH, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью общедоступного репозитория Git | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с указанным источником контейнеров Flux v2 с использованием локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов HTTPS | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуются секреты ключа и пользователя HTTPS, хранимые в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps без использования секретов | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов SSH | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуется секрет закрытого ключа SSH в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности | Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes не должны использовать запрещенные интерфейсы sysctl | Контейнеры не должны использовать запрещенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType | Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения | Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях | Audit, Deny, Disabled | 3.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp | Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома FlexVolume объектов pod в кластере Kubernetes должны использовать только разрешенные драйверы | Тома FlexVolume объектов pod должны использовать только разрешенные драйверы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны использовать только разрешенные параметры SELinux | Объекты pod и контейнеры должны использовать только разрешенные параметры SELinux в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов | Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Объекты pod кластера Kubernetes должны использовать указанные метки | Использование заданных меток для идентификации объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса | Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластер Kubernetes не должен использовать незащищенные объекты Pod | Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs | Audit, Deny, Disabled | 2.1.0 |
| Контейнеры Windows в кластере Kubernetes не должны допускать избыточного выделения ЦП и памяти | Запросы ресурсов контейнера Windows не должны превышать установленное ограничение ресурсов или не должны быть заданы вообще во избежание повышенных обязательств. Если память Windows избыточно подготовлена, она будет обрабатывать страницы на диске, что может замедлить производительность вместо завершения работы контейнера по причине недостаточного объема памяти | Audit, Deny, Disabled | 2.1.0 |
| Контейнеры Windows кластера Kubernetes не должны выполняться в качестве контейнера Администратор istrator | Запретить использование контейнера Администратор istrator в качестве пользователя для выполнения процессов контейнера для модулей pod или контейнеров Windows. Эта рекомендация предназначена для повышения безопасности узлов Windows. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Контейнеры Windows в кластере Kubernetes должны запускаться только с утвержденными пользователями и группами пользователей домена | Управляйте пользователями, которых объекты Pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта рекомендация является частью политик безопасности объекта Pod на узлах Windows, которые предназначены для повышения уровня безопасности сред Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Кластеры Kubernetes должны запрещать использование разрешений на изменение конечных точек в ClusterRole/system:aggregate-to-edit | В ClusterRole/system:aggregate-to-edit должно быть запрещено использование разрешений на изменение конечных точек из-за уязвимости CVE-2021-25740 (подробное описание: https://github.com/kubernetes/kubernetes/issues/103675). Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать определенные возможности защиты | Запретите определенные возможности защиты в кластерах Kubernetes, чтобы предотвратить использование непредоставленных прав доступа к ресурсу Pod. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления систем хранения произвольных блоков и файлов для контейнерных рабочих нагрузок в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Ресурсы Kubernetes должны иметь обязательные примечания | Убедитесь, что необходимые заметки подключены к определенному типу ресурсов Kubernetes для повышения эффективности управления ресурсами Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.