Azure Policy kontroller för regelefterlevnad för Azure Kubernetes Service (AKS)

Regelefterlevnad i Azure Policy tillhandahåller initiativdefinitioner (inbyggda) som skapats och hanteras av Microsoft för efterlevnadsdomäner och säkerhetskontroller relaterade till olika efterlevnadsstandarder. På den här sidan visas Azure Kubernetes Service (AKS) efterlevnadsdomäner och säkerhetskontroller.

Du kan tilldela de inbyggda för en säkerhetskontroll individuellt för att göra dina Azure-resurser kompatibla med den specifika standarden.

Rubriken för varje inbyggd principdefinition länkar till principdefinitionen i Azure Portal. Använd länken i kolumnen Principversion för att visa källan på Azure Policy GitHub-lagringsplatsen.

Viktigt

Varje kontroll är associerad med en eller flera Azure Policy definitioner. Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-matchning eller en fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Kompatibel i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav för en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av någon Azure Policy definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy regelefterlevnadsdefinitioner för dessa efterlevnadsstandarder kan ändras med tiden.

Benchmark för Azure-säkerhet

Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Information om hur den här tjänsten mappar helt till Azure Security Benchmark finns i mappningsfilerna för Azure Security Benchmark.

Information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – Azure Security Benchmark.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Nätverkssäkerhet NS-2 Skydda molntjänster med nätverkskontroller Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Privilegierad åtkomst PA-7 Följ principen om precis tillräcklig administration (lägsta behörighet) Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Dataskydd DP-3 Kryptera känsliga data under överföring Kubernetes-kluster ska endast vara tillgängliga via HTTPS 8.0.1
Loggning och hotidentifiering LT-1 Aktivera funktioner för hotidentifiering Azure Kubernetes Service kluster ska ha Defender-profil aktiverad 2.0.0
Loggning och hotidentifiering LT-2 Aktivera hotidentifiering för identitets- och åtkomsthantering Azure Kubernetes Service kluster ska ha Defender-profil aktiverad 2.0.0
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer [Förhandsversion]: Kubernetes-kluster bör gatedistribution av sårbara avbildningar 2.0.1-förhandsversion
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Azure Policy-tillägg för Kubernetes Service (AKS) bör installeras och aktiveras i dina kluster 1.0.2
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Cpu- och minnesresursgränser för Kubernetes-klustercontainrar får inte överskrida de angivna gränserna 9.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde 5.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustercontainrar bör endast använda tillåtna funktioner 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar 9.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall 6.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-klustertjänster bör endast lyssna på tillåtna portar 8.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter 4.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner 5.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-2 Granska och framtvinga säkra konfigurationer Kubernetes-kluster bör inte använda standardnamnområdet 4.0.1
Hantering av säkerhetsposition och säkerhetsrisker PV-6 Åtgärda säkerhetsrisker snabbt och automatiskt Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta 1.0.1
DevOps-säkerhet DS-6 Framtvinga säkerhet för arbetsbelastning under Hela DevOps-livscykeln Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta 1.0.1

Azure Security Benchmark v1

Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Information om hur den här tjänsten mappar helt till Azure Security Benchmark finns i mappningsfilerna för Azure Security Benchmark.

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – Azure Security Benchmark.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Nätverkssäkerhet 1.1 Skydda resurser med hjälp av nätverkssäkerhetsgrupper eller Azure Firewall på Virtual Network Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Dataskydd 4,6 Använda Azure RBAC för att styra åtkomsten till resurser Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
Sårbarhetshantering 5.3 Distribuera automatiserad lösning för programkorrigeringshantering från tredje part Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2

CIS Microsoft Azure Foundations Benchmark 1.1.0

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – CIS Microsoft Azure Foundations Benchmark 1.1.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
8 Andra säkerhetsöverväganden CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2

CIS Microsoft Azure Foundations Benchmark 1.3.0

Information om hur de tillgängliga Azure Policy inbyggda tjänsterna för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – CIS Microsoft Azure Foundations Benchmark 1.3.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
8 Andra säkerhetsöverväganden CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2

CMMC-nivå 3

Information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – CMMC-nivå 3. Mer information om den här efterlevnadsstandarden finns i Certifiering av cybersäkerhetsmognadmodell (CMMC).

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Åtkomstkontroll AC.1.001 Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
Åtkomstkontroll AC.1.001 Begränsa åtkomsten till informationssystemet till behöriga användare, processer som agerar på uppdrag av behöriga användare och enheter (inklusive andra informationssystem). Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll AC.1.002 Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare tillåts att köra. Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
Åtkomstkontroll AC.1.002 Begränsa informationssystemets åtkomst till de typer av transaktioner och funktioner som behöriga användare tillåts att köra. Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll AC.2.007 Använd principen om lägsta behörighet, inklusive för specifika säkerhetsfunktioner och privilegierade konton. Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll AC.2.016 Kontrollera flödet av CUI i enlighet med godkända auktoriseringar. Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Konfigurationshantering CM.2.062 Använd principen om lägsta funktionalitet genom att konfigurera organisationssystem för att endast tillhandahålla viktiga funktioner. Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Konfigurationshantering CM.3.068 Begränsa, inaktivera eller förhindra användning av icke-nödvändiga program, funktioner, portar, protokoll och tjänster. Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
Riskbedömning RM.2.143 Åtgärda säkerhetsrisker i enlighet med riskbedömningar. Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2
System- och kommunikationsskydd SC.1.175 Övervaka, kontrollera och skydda kommunikation (t.ex. information som överförs eller tas emot av organisationssystem) vid de externa gränserna och viktiga interna gränser för organisationssystem. Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
System- och kommunikationsskydd SC.3.177 Använd FIPS-validerad kryptografi när den används för att skydda sekretessen för CUI. Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar 1.0.1
System- och kommunikationsskydd SC.3.183 Neka nätverkskommunikationstrafik som standard och tillåt nätverkskommunikationstrafik med undantag (dvs. neka alla, tillåt med undantag). Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
System- och informationsintegritet SI.1.210 Identifiera, rapportera och korrigera fel i informations- och informationssystemet i rätt tid. Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2

FedRAMP High

Information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – FedRAMP High. Mer information om den här efterlevnadsstandarden finns i FedRAMP High.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Åtkomstkontroll AC-4 Tillämpning av informationsflöde Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Azure Policy-tillägg för Kubernetes Service (AKS) bör installeras och aktiveras i dina kluster 1.0.2
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar cpu- och minnesresursgränser får inte överskrida de angivna gränserna 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde 5.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna funktioner 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustertjänster bör endast lyssna på tillåtna portar 8.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
System- och kommunikationsskydd SC-7 Gränsskydd Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-7 (3) Åtkomstpunkter Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-8 Sekretess och integritet för överföring Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-8 (1) Kryptografiskt eller alternativt fysiskt skydd Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-12 Kryptografisk nyckeletablering och hantering Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar 1.0.1
System- och kommunikationsskydd SC-28 Skydd av vilande information Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och kommunikationsskydd SC-28 (1) Kryptografiskt skydd Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och informationsintegritet SI-2 Reparation av fel Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2

FedRAMP Moderate

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – FedRAMP Moderate. Mer information om den här efterlevnadsstandarden finns i FedRAMP Moderate.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Åtkomstkontroll AC-4 Tvingande informationsflöde Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster 1.0.2
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar cpu- och minnesresursgränser får inte överskrida de angivna gränserna 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde 5.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna funktioner 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustertjänster bör endast lyssna på tillåtna portar 8.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
System- och kommunikationsskydd SC-7 Gränsskydd Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-7 (3) Åtkomstpunkter Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-8 Sekretess och integritet för överföring Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-8 (1) Kryptografiskt eller alternativt fysiskt skydd Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-12 Kryptografisk nyckeletablering och hantering Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar 1.0.1
System- och kommunikationsskydd SC-28 Skydd av vilande information Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och kommunikationsskydd SC-28 (1) Kryptografiskt skydd Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och informationsintegritet SI-2 Reparation av fel Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2

HIPAA HITRUST 9.2

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – HIPAA HITRUST 9.2. Mer information om den här efterlevnadsstandarden finns i HIPAA HITRUST 9.2.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Privilege Management 1149.01c2System.9 – 01.c Organisationen underlättar informationsdelning genom att ge behöriga användare möjlighet att fastställa en affärspartners åtkomst när diskretion tillåts enligt organisationens definition och genom att använda manuella processer eller automatiserade mekanismer för att hjälpa användare att fatta beslut om informationsdelning/samarbete. Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
11 Access Control 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Auktoriserad åtkomst till informationssystem Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
12 Övervakning av granskningsloggning & 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Dokumenterade operativa procedurer Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2

NIST SP 800-53 Rev. 5

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – NIST SP 800–53 Rev. 5. Mer information om den här efterlevnadsstandarden finns i NIST SP 800-53 Rev. 5.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Åtkomstkontroll AC-3 (7) Rollbaserad åtkomstkontroll Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
Åtkomstkontroll AC-4 Tvingande informationsflöde Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster 1.0.2
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar cpu- och minnesresursgränser får inte överskrida de angivna gränserna 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde 5.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna funktioner 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall 6.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-klustertjänster bör endast lyssna på tillåtna portar 8.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Konfigurationshantering CM-6 Konfigurationsinställningar Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
System- och kommunikationsskydd SC-7 Gränsskydd Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-7 (3) Åtkomstpunkter Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
System- och kommunikationsskydd SC-8 Sekretess och integritet för överföring Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-8 (1) Kryptografiskt skydd Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
System- och kommunikationsskydd SC-12 Kryptografisk nyckeletablering och hantering Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar 1.0.1
System- och kommunikationsskydd SC-28 Skydd av information i vila Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och kommunikationsskydd SC-28 (1) Kryptografiskt skydd Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service kluster ska krypteras på värden 1.0.1
System- och informationsintegritet SI-2 Reparation av fel Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2
System- och informationsintegritet SI-2 (6) Borttagning av tidigare versioner av programvara och inbyggd programvara Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2

NZ ISM Restricted v3.5

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – NZ ISM Restricted v3.5. Mer information om den här efterlevnadsstandarden finns i NZ ISM Restricted v3.5.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Access Control och lösenord NZISM Security Benchmark AC-18 16.6.9 Händelser som ska loggas Resursloggar i Azure Kubernetes Service ska vara aktiverade 1.0.0
Gatewaysäkerhet NZISM Security Benchmark GS-2 19.1.11 Använda gatewayer Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Infrastruktur NZISM Security Benchmark INF-9 10.8.35 Säkerhetsarkitektur Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster 1.0.2
Infrastruktur NZISM Security Benchmark INF-9 10.8.35 Säkerhetsarkitektur Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde 5.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör endast vara tillgängliga via HTTPS 8.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter 4.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner 5.0.1
Programvarusäkerhet NZISM Security Benchmark SS-3 14.1.9 Underhåll av härdade soe-företag Kubernetes-kluster bör inte använda standardnamnområdet 4.0.1

Reserve Bank of India – IT Framework för NBFC

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regulatory Compliance – Reserve Bank of India – IT Framework för NBFC. Mer information om den här efterlevnadsstandarden finns i Reserve Bank of India – IT Framework för NBFC.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
IT-styrning RBI IT Framework 1 IT-styrning-1 Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2
Information och cybersäkerhet RBI IT Framework 3.1.a Identifiering och klassificering av informationstillgångar-3.1 Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
Information och cybersäkerhet RBI IT Framework 3.1.c Rollbaserad Access Control-3.1 Rollbaserade Access Control (RBAC) ska användas i Kubernetes Services 1.0.2
Information och cybersäkerhet RBI IT Framework 3.1.g Spår-3.1 Azure Kubernetes Service kluster ska ha Defender-profil aktiverad 2.0.0
Information och cybersäkerhet RBI IT Framework 3.3 Sårbarhetshantering-3.3 Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2
Information och cybersäkerhet RBI IT Framework 3.3 Sårbarhetshantering-3.3 Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta 1.0.1

Reserve Bank of India IT Framework for Banks v2016

Mer information om hur de tillgängliga Azure Policy inbyggda för alla Azure-tjänster mappar till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – RBI ITF Banks v2016. Mer information om den här efterlevnadsstandarden finns i RBI ITF Banks v2016 (PDF).

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Ändringshantering för korrigering/sårbarhet & Hantering av korrigering/sårbarhetsändring-7.7 & Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.7 & Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Skydd mot nätfiske Skydd mot nätfiske-14.1 Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Avancerat Real-Timethreat försvar och ledning Avancerat Real-Timethreat försvar och ledning-13.2 Azure Kubernetes Service kluster ska ha Defender-profil aktiverad 2.0.0
Access Control/Hantering av användare Användare Access Control/Management-8.5 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Access Control/Hantering av användare Användare Access Control/Management-8.1 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Access Control/Hantering av användare Användare Access Control/Management-8.8 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.3 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.1 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.7 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.6 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.3 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.1 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Förhindra körning av otillåten programvara Hantering av säkerhetsuppdateringar-2.3 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.6 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.2 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.1 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.6 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.2 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Ändringshantering för korrigering/sårbarhet & Ändringshantering av säkerhetsrisker-7.1 & Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.6 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1
Livscykel för programsäkerhet (Aslc) Livscykel för programsäkerhet (Aslc)-6.7 Om du kör containeravbildningar bör sårbarhetsresultat vara lösta 1.0.1

RMIT Malaysia

Information om hur de tillgängliga Azure Policy inbyggda funktionerna för alla Azure-tjänster mappas till den här efterlevnadsstandarden finns i Azure Policy Regelefterlevnad – RMIT Malaysia. Mer information om den här efterlevnadsstandarden finns i RMIT Malaysia.

Domain Kontroll-ID Kontrollrubrik Policy
(Azure Portal)
Principversion
(GitHub)
Kryptografi RMiT 10.19 Kryptografi – 10.19 Både operativsystem och datadiskar i Azure Kubernetes Service kluster ska krypteras av kundhanterade nycklar 1.0.1
Åtkomstkontroll RMiT 10.54 Access Control – 10,54 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll RMiT 10,55 Access Control – 10,55 Kubernetes-klustercontainrar bör endast använda tillåtna funktioner 6.0.1
Åtkomstkontroll RMiT 10,55 Access Control – 10,55 Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem 6.0.1
Åtkomstkontroll RMiT 10,55 Access Control – 10,55 Kubernetes-klusterpoddar och -containrar bör endast köras med godkända användar- och grupp-ID:er 6.0.1
Åtkomstkontroll RMiT 10,55 Access Control – 10,55 Kubernetes-kluster bör inte tillåta privilegierade containrar 9.0.1
Åtkomstkontroll RMiT 10,55 Access Control – 10,55 Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar 7.0.1
Åtkomstkontroll RMiT 10.60 Access Control – 10,60 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll RMiT 10.61 Access Control – 10,61 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Åtkomstkontroll RMiT 10.62 Access Control – 10,62 Rollbaserade Access Control (RBAC) ska användas på Kubernetes Services 1.0.2
Korrigering och systemhantering i slutet av livscykeln RMiT 10.65 Korrigering och systemhantering i slutet av livscykeln – 10,65 Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version 1.0.2
Security Operations Centre (SOC) RMiT 11.17 Säkerhetsåtgärdscenter (SOC) – 11.17 Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Security Operations Centre (SOC) RMiT 11.17 Säkerhetsåtgärdscenter (SOC) – 11.17 Auktoriserade IP-intervall ska definieras på Kubernetes Services 2.0.1
Kontrollåtgärder för cybersäkerhet RMiT-bilaga 5.5 Kontrollåtgärder för cybersäkerhet – bilaga 5.5 Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser 5.0.1
Kontrollåtgärder för cybersäkerhet RMiT-tillägg 5.6 Kontrollåtgärder för cybersäkerhet – bilaga 5.6 Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall 6.0.1
Kontrollåtgärder för cybersäkerhet RMiT-tillägg 5.6 Kontrollåtgärder för cybersäkerhet – bilaga 5.6 Kubernetes-klustertjänster bör endast lyssna på tillåtna portar 8.0.1
Kontrollåtgärder för cybersäkerhet RMiT-tillägg 5.6 Kontrollåtgärder för cybersäkerhet – bilaga 5.6 Kubernetes-kluster ska endast vara tillgängliga via HTTPS 8.0.1

Nästa steg