Efterlevnadskontroller för Azure Policy för Azure Kubernetes Service (AKS)
Regelefterlevnad i Azure Policy tillhandahåller initiativdefinitioner (inbyggda) som skapats och hanteras av Microsoft för efterlevnadsdomäner och säkerhetskontroller som är relaterade till olika efterlevnadsstandarder. På den här sidan visas efterlevnadsdomäner och säkerhetskontroller för Azure Kubernetes Service (AKS).
Du kan tilldela de inbyggda för en säkerhetskontroll individuellt för att göra dina Azure-resurser kompatibla med den specifika standarden.
Rubriken för varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Principversion för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Viktigt!
Varje kontroll är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy Regulatory Compliance-definitioner för dessa efterlevnadsstandarder kan ändras över tid.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CIS Microsoft Azure Foundations Benchmark 1.1.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| 8 Andra säkerhetsöverväganden | 8.5 | Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CIS Microsoft Azure Foundations Benchmark 1.3.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| 8 Andra säkerhetsöverväganden | 8.5 | Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för CIS v1.4.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| 8 Andra säkerhetsöverväganden | 8.7 | Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
CMMC-nivå 3
Mer information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – CMMC-nivå 3. Mer information om den här efterlevnadsstandarden finns i CmMC (Cybersecurity Maturity Model Certification).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Åtkomstkontroll | AC.1.001 | Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Åtkomstkontroll | AC.1.002 | Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare har behörighet att köra. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Åtkomstkontroll | AC.2.007 | Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Åtkomstkontroll | AC.2.016 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Konfigurationshantering | CM.2.062 | Använd principen om minsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Konfigurationshantering | CM.3.068 | Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Riskbedömning | RM.2.143 | Åtgärda sårbarheter i enlighet med riskbedömningar. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| System- och kommunikationsskydd | SC.1.175 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| System- och kommunikationsskydd | SC.3.177 | Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI. | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
| System- och kommunikationsskydd | SC.3.183 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| System- och informationsintegritet | SI.1.210 | Identifiera, rapportera och korrigera fel i informations- och informationssystemet i tid. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
FedRAMP High
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP High. Mer information om den här efterlevnadsstandarden finns i FedRAMP High.
FedRAMP Moderate
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – FedRAMP Moderate( FedRAMP Moderate). Mer information om den här efterlevnadsstandarden finns i FedRAMP Moderate.
HIPAA HITRUST 9.2
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – HIPAA HITRUST 9.2. Mer information om den här efterlevnadsstandarden finns i HIPAA HITRUST 9.2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Privilege Management | 1149.01c2System.9 – 01.c | Organisationen underlättar informationsdelning genom att ge behöriga användare möjlighet att fastställa en affärspartners åtkomst när diskretion tillåts enligt organisationens definition och genom att använda manuella processer eller automatiserade mekanismer för att hjälpa användare att fatta beslut om informationsdelning/samarbete. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| 11 Åtkomstkontroll | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Auktoriserad åtkomst till informationssystem | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| 12 Granskningsloggning och övervakning | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumenterade driftprocedurer | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
Konfidentiella principer för Microsoft Cloud for Sovereignty Baseline
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för sekretessprinciper för MCfS-suveränitetsbaslinje. Mer information om den här efterlevnadsstandarden finns i Microsoft Cloud for Sovereignty Policy-portföljen.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| SO.3 – Kundhanterade nycklar | SO.3 | Azure-produkter måste konfigureras för att använda kundhanterade nycklar när det är möjligt. | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
Microsoft Cloud Security Benchmark
Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Information om hur den här tjänsten helt mappar till Microsofts molnsäkerhetsmått finns i mappningsfilerna för Azure Security Benchmark.
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Microsoft Cloud Security Benchmark.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Nätverkssäkerhet | NS-2 | Skydda molntjänster med nätverkskontroller | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| Privilegierad åtkomst | PA-7 | Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet) | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Dataskydd | DP-3 | Kryptera känsliga data under överföring | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| Loggning och hotidentifiering | LT-1 | Aktivera funktioner för hotidentifiering | Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | 2.0.1 |
| Loggning och hotidentifiering | LT-2 | Aktivera hotidentifiering för identitets- och åtkomsthantering | Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | 2.0.1 |
| Loggning och hotidentifiering | LT-3 | Aktivera loggning för säkerhetsundersökning | Resursloggar i Azure Kubernetes Service ska vara aktiverade | 1.0.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | 4.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | 5.1.0 |
| Status- och sårbarhetshantering | PV-2 | Granska och framtvinga säkra konfigurationer | Kubernetes-kluster bör inte använda standardnamnområdet | 4.2.0 |
| Status- och sårbarhetshantering | PV-6 | Åtgärda säkerhetsrisker snabbt och automatiskt | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Upravljanje ranjivostima za Microsoft Defender) | 1.0.1 |
| DevOps-säkerhet | DS-6 | Framtvinga arbetsbelastningssäkerhet i hela DevOps-livscykeln | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Upravljanje ranjivostima za Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Mer information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-171 R2. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Åtkomstkontroll | 3.1.3 | Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| System- och kommunikationsskydd | 3.13.1 | Övervaka, kontrollera och skydda kommunikation (dvs. information som överförs eller tas emot av organisationssystem) vid de yttre gränserna och viktiga interna gränser för organisationssystem. | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| System- och kommunikationsskydd | 3.13.10 | Upprätta och hantera kryptografiska nycklar för kryptografi som används i organisationssystem. | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
| System- och kommunikationsskydd | 3.13.16 | Skydda konfidentialiteten för CUI i vila. | Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | 1.0.1 |
| System- och kommunikationsskydd | 3.13.2 | Använd arkitekturdesign, programvaruutvecklingstekniker och systemteknikprinciper som främjar effektiv informationssäkerhet i organisationssystem. | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| System- och kommunikationsskydd | 3.13.5 | Implementera undernät för offentligt tillgängliga systemkomponenter som är fysiskt eller logiskt åtskilda från interna nätverk. | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| System- och kommunikationsskydd | 3.13.6 | Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| System- och kommunikationsskydd | 3.13.8 | Implementera kryptografiska mekanismer för att förhindra obehörigt avslöjande av CUI under överföring om inget annat skyddas av alternativa fysiska skyddsåtgärder. | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| System- och informationsintegritet | 3.14.1 | Identifiera, rapportera och korrigera systemfel i tid. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| Konfigurationshantering | 3.4.1 | Upprätta och underhålla baslinjekonfigurationer och inventeringar av organisationssystem (inklusive maskinvara, programvara, inbyggd programvara och dokumentation) under respektive livscykel för systemutveckling. | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| Konfigurationshantering | 3.4.2 | Upprätta och tillämpa säkerhetskonfigurationsinställningar för informationsteknikprodukter som används i organisationssystem. | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
NIST SP 800-53 Rev. 4
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 4. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – NIST SP 800-53 Rev. 5. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 5.
NL BIO-molntema
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för NL BIO Cloud Theme. Mer information om den här efterlevnadsstandarden finns i Baseline Information Security Government Cybersecurity – Digital Government (digitaleoverheid.nl).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| C.04.3 Teknisk upravljanje ranjivostima – tidslinjer | C.04.3 | Om sannolikheten för missbruk och den förväntade skadan båda är hög installeras korrigeringar senast inom en vecka. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| C.04.6 Teknisk upravljanje ranjivostima – tidslinjer | C.04.6 | Tekniska svagheter kan åtgärdas genom att utföra korrigeringshantering i tid. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | 4.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | 5.1.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes-kluster bör inte använda standardnamnområdet | 4.2.0 |
| C.04.7 Teknisk upravljanje ranjivostima – Utvärderad | C.04.7 | Utvärderingar av tekniska säkerhetsrisker registreras och rapporteras. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| U.05.1 Dataskydd – kryptografiska mått | U.05.1 | Datatransport skyddas med kryptografi där nyckelhantering utförs av själva CSC om möjligt. | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
| U.05.2 Dataskydd – kryptografiska mått | U.05.2 | Data som lagras i molntjänsten ska skyddas mot den senaste tekniken. | Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | 1.0.1 |
| U.07.1 Dataavgränsning – isolerad | U.07.1 | Permanent isolering av data är en arkitektur för flera klientorganisationer. Korrigeringar realiseras på ett kontrollerat sätt. | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| U.07.3-dataavgränsning – hanteringsfunktioner | U.07.3 | U.07.3 – Behörigheterna att visa eller ändra CSC-data och/eller krypteringsnycklar beviljas på ett kontrollerat sätt och användningen loggas. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| U.09.3 Skydd mot skadlig kod – identifiering, förebyggande och återställning | U.09.3 | Skydd mot skadlig kod körs i olika miljöer. | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| U.10.2 Åtkomst till IT-tjänster och data – Användare | U.10.2 | Under csp-programmets ansvar beviljas åtkomst till administratörer. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| U.10.3 Åtkomst till IT-tjänster och data – Användare | U.10.3 | Endast användare med autentiserad utrustning kan komma åt IT-tjänster och data. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| U.10.5 Åtkomst till IT-tjänster och data – Kompetent | U.10.5 | Åtkomsten till IT-tjänster och data begränsas av tekniska åtgärder och har implementerats. | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| U.11.1 Cryptoservices – Princip | U.11.1 | I kryptografipolicyn har åtminstone ämnena i enlighet med BIO utvecklats. | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| U.11.2 Cryptoservices – Kryptografiska mått | U.11.2 | Om det gäller PKIoverheid-certifikat använder du PKIoverheid-krav för nyckelhantering. I andra situationer använder du ISO11770. | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
| U.11.3 Cryptoservices – Krypterad | U.11.3 | Känsliga data krypteras alltid med privata nycklar som hanteras av CSC. | Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | 1.0.1 |
| U.15.1 Loggning och övervakning – Händelser loggade | U.15.1 | Brott mot principreglerna registreras av CSP och CSC. | Resursloggar i Azure Kubernetes Service ska vara aktiverade | 1.0.0 |
Reserve Bank of India – IT-ramverk för NBFC
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Reserve Bank of India – IT Framework för NBFC. Mer information om den här efterlevnadsstandarden finns i Reserve Bank of India – IT Framework för NBFC.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| IT-styrning | 1 | IT-styrning-1 | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
| Information och cybersäkerhet | 3.1.a | Identifiering och klassificering av informationstillgångar-3.1 | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Information och cybersäkerhet | 3.1.c | Rollbaserad åtkomstkontroll-3.1 | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Information och cybersäkerhet | 3.1.g | Spår-3.1 | Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | 2.0.1 |
| Information och cybersäkerhet | 3.3 | Sårbarhetshantering-3.3 | Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | 1.0.2 |
Reserve Bank of India IT Framework för banker v2016
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – RBI ITF Banks v2016. Mer information om den här efterlevnadsstandarden finns i RBI ITF Banks v2016 (PDF).
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Korrigering/sårbarhets- och ändringshantering | Korrigering/sårbarhet och ändringshantering-7.7 | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 | |
| Avancerat realtidsremiss till försvar och ledning | Avancerat i realtid mot försvar och ledning-13,2 | Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | 2.0.1 | |
| Användaråtkomstkontroll/hantering | Användaråtkomstkontroll/Hantering-8.1 | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
RMIT Malaysia
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – RMIT Malaysia. Mer information om den här efterlevnadsstandarden finns i RMIT Malaysia.
Spanien ENS
Mer information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för Spanien ENS. Mer information om den här efterlevnadsstandarden finns i CCN-STIC 884.
SWIFT CSP-CSCF v2021
Mer information om hur de tillgängliga inbyggda Azure Policy-tjänsterna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Information om regelefterlevnad i Azure Policy för SWIFT CSP-CSCF v2021. Mer information om den här efterlevnadsstandarden finns i SWIFT CSP CSCF v2021.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| SWIFT-miljöskydd | 1,1 | SWIFT-miljöskydd | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| SWIFT-miljöskydd | 1.4 | Begränsning av Internetåtkomst | Auktoriserade IP-intervall ska definieras i Kubernetes Services | 2.0.1 |
| Minska attackytan och sårbarheter | 2.1 | Säkerhet för internt dataflöde | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| Identifiera avvikande aktivitet till system- eller transaktionsposter | 6,2 | Programvaruintegritet | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
| Identifiera avvikande aktivitet till system- eller transaktionsposter | 6.5A | Intrångsidentifiering | Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | 1.0.1 |
System- och organisationskontroller (SOC) 2
Information om hur de tillgängliga inbyggda Azure Policy-principerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance details for System and Organization Controls (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2.
| Domän | Kontroll-ID | Kontrollrubrik | Policy (Azure-portalen) |
Principversion (GitHub) |
|---|---|---|---|---|
| Logiska och fysiska åtkomstkontroller | CC6.1 | Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.3 | Rol-baserad åtkomst och minsta behörighet | Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | 1.0.4 |
| Logiska och fysiska åtkomstkontroller | CC6.6 | Säkerhetsåtgärder mot hot utanför systemgränser | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.7 | Begränsa förflyttning av information till behöriga användare | Kubernetes-kluster bör endast vara tillgängliga via HTTPS | 8.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | 4.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | 5.1.0 |
| Logiska och fysiska åtkomstkontroller | CC6.8 | Förhindra eller identifiera mot obehörig eller skadlig programvara | Kubernetes-kluster bör inte använda standardnamnområdet | 4.2.0 |
| Systemåtgärder | CC7.2 | Övervaka systemkomponenter för avvikande beteende | Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | 2.0.1 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | 1.0.2 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | 9.3.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | 5.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | 6.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | 6.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | 9.3.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | 6.3.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | 6.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | 6.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | 6.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | 8.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-kluster bör inte tillåta privilegierade containrar | 9.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | 4.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | 7.2.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | 5.1.0 |
| Ändringshantering | CC8.1 | Ändringar i infrastruktur, data och programvara | Kubernetes-kluster bör inte använda standardnamnområdet | 4.2.0 |
Nästa steg
- Läs mer om regelefterlevnad i Azure Policy.
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
Samarbeta med oss på GitHub
Källan för det här innehållet finns på GitHub, där du även kan skapa och granska ärenden och pull-begäranden. Se vår deltagarguide för mer information.
Azure Kubernetes Service