Inbyggda Azure Policy-definitioner för Azure Arc-aktiverade Kubernetes
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Arc-aktiverade Kubernetes. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure Arc-aktiverade Kubernetes
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
| [Förhandsversion]: Azure Backup-tillägget ska installeras i AKS-kluster | Se till att säkerhetsinstallationen av säkerhetskopieringstillägget i dina AKS-kluster används för att utnyttja Azure Backup. Azure Backup för AKS är en säker och molnbaserad dataskyddslösning för AKS-kluster | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Konfigurera Azure Arc-aktiverade Kubernetes-kluster för att installera Microsoft Defender för molnet-tillägget | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, inaktiverad | 7.1.0-preview |
| [Förhandsversion]: Kubernetes-kluster bör begränsa skapandet av en viss resurstyp | Angiven Kubernetes-resurstyp bör inte distribueras i ett visst namnområde. | Granska, neka, inaktiverad | 2.2.0-preview |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat | Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | AuditIfNotExists, inaktiverad | 1.1.0 |
| Azure Arc-aktiverade kubernetes-kluster bör konfigureras med ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Granska, neka, inaktiverad | 1.0.0 |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Open Service Mesh-tillägget installerat | Open Service Mesh-tillägget innehåller alla standardfunktioner för servicenät för säkerhet, trafikhantering och observerbarhet för programtjänster. Läs mer här: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Azure Arc-aktiverade Kubernetes-kluster bör ha Strimzi Kafka-tillägget installerat | Strimzi Kafka-tillägget ger operatörerna möjlighet att installera Kafka för att skapa realtidsdatapipelines och strömmande program med säkerhets- och observerbarhetsfunktioner. Läs mer här: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Konfigurera Azure Arc-aktiverade Kubernetes-kluster för att installera Azure Policy-tillägget | Distribuera Azure Policy-tillägget för Azure Arc för att tillhandahålla skalbara tillämpningsåtgärder och skydda dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera Azure Arc-aktiverade Kubernetes-kluster så att de använder ett Azure Arc Private Link-omfång | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa Azure Arc-aktiverade servrar till ett Azure Arc Private Link-omfång som har konfigurerats med en privat slutpunkt minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink. | Ändra, inaktiverad | 1.0.0 |
| Konfigurera installation av Flux-tillägget i Kubernetes-kluster | Installera Flux-tillägget i Kubernetes-klustret för att aktivera distribution av "fluxkonfigurationer" i klustret | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med bucketkälla och hemligheter i KeyVault | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver en Bucket SecretKey som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med Git-lagringsplats och HTTPS CA-certifikat | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver ett HTTPS CA-certifikat. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och HTTPS-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en HTTPS-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och SSH-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av en offentlig Git-lagringsplats | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven Flux v2 Bucket-källa med hjälp av lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av HTTPS-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver HTTPS-användar- och nyckelhemligheter som lagras i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration utan hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av SSH-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Se till att klustercontainrar har konfigurerat beredskaps- eller liveness-avsökningar | Den här principen framtvingar att alla poddar har konfigurerat beredskaps- och/eller liveness-avsökningar. Avsökningstyper kan vara tcpSocket, httpGet och exec. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Anvisningar om hur du använder den här principen finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.2.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-klustercontainrar bör inte använda förbjudna sysctl-gränssnitt | Containrar bör inte använda förbjudna sysctl-gränssnitt i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna ProcMountType | Podcontainrar kan bara använda tillåtna ProcMountTypes i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåten pull-princip | Begränsa containrarnas pull-princip för att framtvinga att containrar endast använder tillåtna avbildningar i distributioner | Granska, neka, inaktiverad | 3.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna seccomp-profiler | Podcontainrar kan bara använda tillåtna seccomp-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klusterpoddens FlexVolume-volymer bör endast använda tillåtna drivrutiner | Pod FlexVolume-volymer bör endast använda tillåtna drivrutiner i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och containrar bör endast använda tillåtna SELinux-alternativ | Poddar och containrar bör endast använda tillåtna SELinux-alternativ i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klusterpoddar bör endast använda tillåtna volymtyper | Poddar kan bara använda tillåtna volymtyper i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klusterpoddar bör använda angivna etiketter | Använd angivna etiketter för att identifiera poddarna i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser | Använd tillåtna externa IP-adresser för att undvika den potentiella attacken (CVE-2020-8554) i ett Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Kubernetes-kluster ska inte använda nakna poddar | Blockera användning av nakna poddar. Nakna poddar kommer inte att schemaläggas om i händelse av ett nodfel. Poddar ska hanteras av Distribution, Replicset, Daemonset eller Jobb | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar bör inte överbekräja processor och minne | Resursbegäranden för Windows-containrar ska vara mindre eller lika med resursgränsen eller ospecificerade för att undvika övertagande. Om Windows-minnet är överetablerad bearbetas sidor i disken – vilket kan göra prestandan långsammare – i stället för att avsluta containern med slut på minne | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar ska inte köras som ContainerAdministrator | Förhindra användning av ContainerAdministrator som användare för att köra containerprocesserna för Windows-poddar eller -containrar. Den här rekommendationen är avsedd att förbättra säkerheten för Windows-noder. Mer information finns i https://kubernetes.io/docs/concepts/windows/intro/ . | Granska, neka, inaktiverad | 1.1.0 |
| Kubernetes-kluster Windows-containrar bör endast köras med godkänd användar- och domänanvändargrupp | Kontrollera den användare som Windows-poddar och containrar kan använda för att köra i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper på Windows-noder som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-kluster bör inte tillåta behörigheter för slutpunktsredigering för ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit bör inte tillåta behörigheter för slutpunktsredigering på grund av CVE-2021-25740, Endpoint & EndpointSlice-behörigheter tillåter vidarebefordran mellan namnområden, https://github.com/kubernetes/kubernetes/issues/103675. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granskning, inaktiverad | 3.1.0 |
| Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda specifika säkerhetsfunktioner | Förhindra specifika säkerhetsfunktioner i Kubernetes-kluster för att förhindra oanvänd behörighet på poddresursen. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör använda CSI-drivrutinen (Container Storage Interface) StorageClass | Container Storage Interface (CSI) är en standard för att exponera godtyckliga block- och fillagringssystem för containerbaserade arbetsbelastningar på Kubernetes. In-tree provisioner StorageClass bör vara inaktuell sedan AKS version 1.21. Mer information finns i https://aka.ms/aks-csi-driver | Granska, neka, inaktiverad | 2.2.0 |
| Kubernetes-resurser ska ha nödvändiga anteckningar | Se till att nödvändiga anteckningar är kopplade till en viss Kubernetes-resurstyp för förbättrad resurshantering av dina Kubernetes-resurser. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.