Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfa, Azure Kubernetes Service için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her bir yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanmaktadır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Girişimler
| Veri Akışı Adı | Açıklama | İlkeler | Sürüm |
|---|---|---|---|
| [Önizleme]: Yalnızca güvenilen görüntülerin dağıtıldığından emin olmak için Görüntü Bütünlüğünü kullanın | AKS kümelerinde Görüntü Bütünlüğünü ve Azure İlkesi Eklentilerini etkinleştirerek AKS kümelerinin yalnızca güvenilen görüntüleri dağıtmasını sağlamak için Görüntü Bütünlüğü'nü kullanın. Görüntü Bütünlüğü Eklentisi ve Azure İlkesi Eklentisi, görüntünün dağıtım sırasında imzalanıp imzalanmadığını doğrulamak için Görüntü Bütünlüğünü kullanmak için önkoşullardır. Daha fazla bilgi için adresini ziyaret edin https://aka.ms/aks/image-integrity. | 3 | 1.1.0-önizleme |
| [Önizleme]: Kubernetes kümesi İnternet Güvenliği Merkezi (CIS) Kubernetes karşılaştırmasının güvenlik denetimi önerilerini izlemelidir | Bu girişim İnternet Güvenliği Merkezi (CIS) Kubernetes karşılaştırması için güvenlik önerisi ilkelerini içerir. CiS Kubernetes karşılaştırmasıyla uyumlu kalmak için bu girişimi kullanabilirsiniz. CIS uyumluluğu hakkında daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-önizleme |
| Dağıtım korumaları geliştiricilerin AKS için önerilen en iyi yöntemler konusunda yol göstermesine yardımcı olmalıdır | Azure Kubernetes Service (AKS) tarafından önerilen Kubernetes en iyi deneyimlerinden oluşan bir koleksiyon. En iyi deneyim için dağıtım korumalarını kullanarak şu ilke girişimini atayın: https://aka.ms/aks/deployment-safeguards. AKS için Azure İlkesi Eklentisi, kümelerinize bu en iyi yöntemleri uygulamak için bir önkoşuldur. Azure İlkesi Eklentisini etkinleştirme yönergeleri için aka.ms/akspolicydoc | 27 | 3.0.0 |
| Linux tabanlı iş yükleri için Kubernetes kümesi pod güvenlik temeli standartları | Bu girişim, Kubernetes kümesi pod güvenlik temeli standartlarına yönelik ilkeleri içerir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Linux tabanlı iş yükleri için Kubernetes küme pod güvenliği kısıtlanmış standartları | Bu girişim, Kubernetes kümesi pod güvenliği kısıtlanmış standartlarına yönelik ilkeleri içerir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
İlke tanımları
Microsoft.KonteynerServisi
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: [Görüntü Bütünlüğü] Kubernetes kümeleri yalnızca gösterimle imzalanan görüntüleri kullanmalıdır | Görüntülerin güvenilir kaynaklardan geldiğinden ve kötü amaçlı olarak değiştirilmediğinden emin olmak için gösterimi tarafından imzalanan görüntüleri kullanın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | Denetim, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı AKS kümelerine yüklenmelidir | Azure Backup'ı kullanmak için AKS Kümelerinizde yedekleme uzantısının koruma yüklemesini sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: AKS kümeleri için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek AKS Kümelerinizin korunmasını sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olmalıdır | Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. İlke, kümedeki düğüm havuzlarını denetler ve kullanılabilirlik alanlarının tüm düğüm havuzları için ayarlandığından emin olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kubernetes Service'te Görüntü Bütünlüğünü Dağıtma | Hem Görüntü Bütünlüğü hem de İlke Eklentileri Azure Kubernetes kümelerini dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | DeployIfNotExists, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı'nı belirli bir etiketle AKS kümelerine (Yönetilen Küme) yükleyin. | Azure Backup Uzantısı'nı yüklemek, AKS Kümelerinizi korumak için bir önkoşuldur. Belirli bir etiket içeren tüm AKS kümelerinde yedekleme uzantısının yüklenmesini zorunlu kılma. Bunu yapmak, AKS Kümelerini büyük ölçekte yedeklemeyi yönetmenize yardımcı olabilir. | DenetimYoksaDenetle, DağıtımYoksaDağıt, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı'nı belirli bir etiket olmadan AKS kümelerine (Yönetilen Küme) yükleyin. | Azure Backup Uzantısı'nı yüklemek, AKS Kümelerinizi korumak için bir önkoşuldur. Belirli bir etiket değeri olmadan tüm AKS kümelerinde yedekleme uzantısının yüklenmesini zorunlu kılma. Bunu yapmak, AKS Kümelerini büyük ölçekte yedeklemeyi yönetmenize yardımcı olabilir. | DenetimYoksaDenetle, DağıtımYoksaDağıt, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları yalnızca izin verilen sysctl arabirimlerini kullanmalıdır | Kapsayıcılar bir Kubernetes kümesinde yalnızca izin verilen sysctl arabirimlerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes kümesi doğru Pod Kesintisi Bütçeleri uygulamalıdır | Hatalı Pod Kesintisi Bütçelerini önleyerek en az sayıda işlem podunun olmasını sağlar. Ayrıntılar için resmi Kubernetes belgelerine bakın. Gatekeeper veri çoğaltmasına dayanır ve kapsamı OPA olarak belirlenmiş tüm Deployment, StatefulSet ve PodDisruptionBudget kaynaklarını eşitler. Bu ilkeyi uygulamadan önce, eşitlenen kaynakların bellek kapasitenizi zorlamadığından emin olun. Bu türlerdeki tüm kaynaklar ad alanları arasında eşitlenir. Not: Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.3.1-önizleme |
| [Önizleme]: Kubernetes kümeleri belirli bir kaynak türünün oluşturulmasını kısıtlamalıdır | Verilen Kubernetes kaynak türü belirli ad alanında dağıtılmamalıdır. | Denetim, Reddetme, Devre Dışı | 2.3.0-önizleme |
| [Önizleme]: runAsNotRoot değerini true olarak ayarlayarak kapsayıcıların kök olarak çalıştırılmasını engeller. | runAsNotRoot değerini true olarak ayarlamak, kapsayıcıların kök olarak çalıştırılmasını engelleyerek güvenliği artırır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: runAsNotRoot değerini true olarak ayarlayarak init kapsayıcılarının kök olarak çalıştırılmasını engeller. | runAsNotRoot değerini true olarak ayarlamak, kapsayıcıların kök olarak çalıştırılmasını engelleyerek güvenliği artırır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcısı securityContext.runAsUser alanlarını kök olmayan bir kullanıcı kimliği olan 1000 olarak ayarlar | Güvenlik açıklarının varlığında kök kullanıcı olarak ayrıcalıkları yükselterek ortaya çıkarılan saldırı yüzeyini azaltır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcılarının güvenli bilgi işlem modu profil türünü yoksa RuntimeDefault olarak ayarlar. | Kullanıcı alanından çekirdeğe yetkisiz ve zararlı olabilecek sistem çağrılarını önlemek için kapsayıcılar için güvenli bilgi işlem modu profil türü ayarlama. | Sesi Kapat, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Kubernetes cluster init containers securityContext.runAsUser alanlarını kök olmayan bir kullanıcı kimliği olan 1000 olarak ayarlar | Güvenlik açıklarının varlığında kök kullanıcı olarak ayrıcalıkları yükselterek ortaya çıkarılan saldırı yüzeyini azaltır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes cluster init kapsayıcılarının güvenli bilgi işlem modu profil türünü yoksa RuntimeDefault olarak ayarlar. | Kullanıcı alanından çekirdeğe yetkisiz ve zararlı olabilecek sistem çağrılarını önlemek için init kapsayıcıları için güvenli bilgi işlem modu profil türü ayarlama. | Sesi Kapat, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Kubernetes kümesi Pod securityContext.runAsUser alanlarını kök olmayan bir kullanıcı kimliği olan 1000 olarak ayarlar | Güvenlik açıklarının varlığında kök kullanıcı olarak ayrıcalıkları yükselterek ortaya çıkarılan saldırı yüzeyini azaltır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Init kapsayıcılarındaki Pod belirtimindeki Ayrıcalık yükseltmesini false olarak ayarlar. | Başlatma kapsayıcılarında Ayrıcalık yükseltme özelliğini false olarak ayarlamak, kapsayıcıların set-user-ID veya set-group-ID dosya modu gibi ayrıcalık yükseltmesine izin vermesini engelleyerek güvenliği artırır. | Sesi Kapat, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: Pod belirtimindeki Ayrıcalık yükseltmesini false olarak ayarlar. | Ayrıcalık yükseltmeyi false olarak ayarlamak, kapsayıcıların set-user-ID veya set-group-ID dosya modu gibi ayrıcalık yükseltmesine izin vermesini engelleyerek güvenliği artırır. | Sesi Kapat, Devre Dışı | 1.2.0-önizleme |
| [Önizleme]: UnhealthyPodEvictionPolicy'yi 'AlwaysAllow' olarak ayarlar | Küme yönetimi gerçekleştirirken iyi durumda olmayan podların bile çıkarılmasına olanak sağlamak için Pod Kesinti bütçesinin UnalthyPodEvictionPolicy'sini 'AlwaysAllow' olarak ayarlar | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure Kubernetes Kümeleri SSH'yi devre dışı bırakmalıdır | SSH'yi devre dışı bırakma, kümenizin güvenliğini sağlama ve saldırı yüzeyini azaltma olanağı sağlar. Daha fazla bilgi edinmek için şu adresi ziyaret edin: aka.ms/aks/disablessh | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Kapsayıcı Depolama Arabirimi'ni (CSI) etkinleştirmelidir | Kapsayıcı Depolama Arabirimi (CSI), Azure Kubernetes Service'te kapsayıcılı iş yüklerine rastgele blok ve dosya depolama sistemlerini kullanıma sunar. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Anahtar Yönetim Merkezi (KMS) etkinleştirmelidir | Kubernetes kümesi güvenliği için etcd'de bekleyen gizli dizi verilerini şifrelemek için Anahtar Yönetim Merkezi (KMS) kullanın. Daha fazla bilgi için: https://aka.ms/aks/kmsetcdencryption. | Denetim, Devre Dışı | 1.1.0 |
| Azure Kubernetes Kümeleri Azure CNI kullanmalıdır | Azure CNI, Azure ağ ilkeleri, Windows düğüm havuzları ve sanal düğümler eklentisi gibi bazı Azure Kubernetes Service özellikleri için önkoşuldur. Daha fazla bilgi için: https://aka.ms/aks-azure-cni | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service kümeleri bir Azure Kubernetes Fleet Manager üyesi olmalıdır. | Azure Kubernetes Fleet Manager üyesi olmayan AKS kümelerini algılayın ve raporlayın. Daha fazla bilgi edinmek için https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Komut Çağırmayı devre dışı bırakmalıdır | Komut çağrısını devre dışı bırakmak, kısıtlı ağ erişiminin veya Kubernetes rol tabanlı erişim denetiminin atlanmasından kaçınarak güvenliği artırabilir | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri küme otomatik yükseltmesini etkinleştirmelidir | AKS kümesi otomatik yükseltmesi, kümelerinizin güncel olduğundan ve AKS ve yukarı akış Kubernetes'ten en son özellikleri veya düzeltme eklerini kaçırmadığından emin olabilir. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Görüntü Temizleyici'yi etkinleştirmelidir | Görüntü Temizleyici, eski görüntü riskini azaltan ve bunları temizlemek için gereken süreyi azaltan otomatik savunmasız, kullanılmayan görüntü tanımlama ve kaldırma işlemlerini gerçekleştirir. Daha fazla bilgi için: https://aka.ms/aks/image-cleaner. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Microsoft Entra ID tümleştirmesini etkinleştirmelidir | AKS tarafından yönetilen Microsoft Entra Id tümleştirmesi, kullanıcının kimliğine veya dizin grubu üyeliğine göre Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) yapılandırarak kümelere erişimi yönetebilir. Daha fazla bilgi için: https://aka.ms/aks-managed-aad. | Denetim, Devre Dışı | 1.0.2 |
| Azure Kubernetes Service Kümeleri düğüm işletim sistemi otomatik yükseltmesini etkinleştirmelidir | AKS düğüm işletim sistemi otomatik yükseltmesi düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetler. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri iş yükü kimliğini etkinleştirmelidir | İş yükü kimliği, her Kubernetes Pod'una benzersiz bir kimlik atamanıza ve bunu Azure Key Vault gibi Azure AD korumalı kaynaklarla ilişkilendirmenize olanak tanıyarak pod içinden bu kaynaklara güvenli erişim sağlar. Daha fazla bilgi için: https://aka.ms/aks/wi. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
| Azure Kubernetes Service Kümelerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Kubernetes Service Kümelerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aks-disable-local-accounts. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri yönetilen kimlikleri kullanmalıdır | Hizmet sorumlularını sarmak, küme yönetimini basitleştirmek ve yönetilen hizmet sorumluları için gereken karmaşıklığı önlemek için yönetilen kimlikleri kullanın. Daha fazla bilgi için: https://aka.ms/aks-update-managed-identities | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Özel Kümeleri etkinleştirilmelidir | API sunucunuzla düğüm havuzlarınız arasındaki ağ trafiğinin yalnızca özel ağda kaldığından emin olmak için Azure Kubernetes Service kümeniz için özel küme özelliğini etkinleştirin. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Tek Tek Düğümler Düzenlenemiyor | Tek tek düğümler düzenlenemiyor. Kullanıcılar tek tek düğümleri düzenlememelidir. Lütfen düğüm havuzlarını düzenleyin. Düğümleri tek tek değiştirmek tutarsız ayarlara, işletimsel zorluklara ve olası güvenlik risklerine yol açabilir. | Denetim, Reddetme, Devre Dışı | 1.3.1 |
| AKS kümelerini belirtilen Azure Kubernetes Fleet Manager'a otomatik olarak katılacak şekilde yapılandırma | AKS kümelerinin belirli bir Azure Kubernetes Fleet Manager'a katıldığından emin olun. İsteğe bağlı olarak, hangi filo güncelleştirme grubunun katılacağını belirtmek için bir arama etiketi seçin. Daha fazla bilgi edinmek için https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandırma | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.Defender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Devre Dışı | 4.3.0 |
| Kubernetes kümesinde Flux uzantısı yüklemesini yapılandırma | Kümede 'fluxconfigurations' dağıtımını etkinleştirmek için Kubernetes kümesine Flux uzantısını yükleyin | DeployIfNotExists, Devre Dışı | 1.0.0 |
| KeyVault'ta Bucket kaynağı ve gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir Bucket SecretKey gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Git deposu ve HTTPS CA Sertifikası kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım bir HTTPS CA Sertifikası gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Git deposunu ve HTTPS gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir HTTPS anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Git deposunu ve yerel gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Git deposunu ve SSH gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Genel Git deposunu kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Yerel gizli dizileri kullanarak Kubernetes kümelerini belirtilen Flux v2 Demet kaynağıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| HTTPS gizli dizilerini kullanarak belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan HTTPS kullanıcı ve anahtar gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, devre dışı, Devre Dışı | 1.1.0 |
| Gizli dizi kullanmadan belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, devre dışı, Devre Dışı | 1.1.0 |
| SSH gizli dizilerini kullanarak Kubernetes kümelerini belirtilen GitOps yapılandırmasıyla yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, devre dışı, Devre Dışı | 1.1.0 |
| Microsoft Entra ID tümleşik Azure Kubernetes Service Kümelerini gerekli Yönetici Grubu Erişimi ile yapılandırma | Microsoft Entra ID tümleşik AKS kümelerine Yönetici erişimini merkezi olarak yöneterek küme güvenliğini iyileştirmeyi sağlayın. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Azure Kubernetes Kümesinde Düğüm İşletim Sistemi Otomatik yükseltmesini yapılandırma | Azure Kubernetes Service (AKS) kümelerinin düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetlemek için Düğüm İşletim Sistemi otomatik yükseltmesini kullanın. Daha fazla bilgi için adresini ziyaret edin https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Dağıtma - Azure Kubernetes Service'i Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Kubernetes Service tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Azure İlkesi Eklentisini Azure Kubernetes Service kümelerine dağıtma | Azure Kubernetes Service (AKS) kümelerinizin uyumluluk durumunu yönetmek ve raporlamak için Azure İlkesi Eklentisini kullanın. Daha fazla bilgi için bkz. https://aka.ms/akspolicydoc. | DeployIfNotExists, Devre Dışı | 4.2.0 |
| Azure Kubernetes Service'te Görüntü Temizleyici dağıtma | Azure Kubernetes kümelerinde Görüntü Temizleyici'yi dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-cleaner | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Azure Kubernetes Service (AKS) kümenizin yükseltmelerini zamanlamak ve denetlemek için Planlı Bakım dağıtma | Planlı Bakım, güncelleştirmeleri gerçekleştirmek ve iş yükü etkisini en aza indirmek için haftalık bakım pencereleri zamanlamanıza olanak tanır. Zamanlandıktan sonra yükseltmeler yalnızca seçtiğiniz pencere sırasında gerçekleşir. Daha fazla bilgi için: https://aka.ms/aks/planned-maintenance | Mevcut Değilse Dağıt, Mevcut Değilse Denetle, Devre Dışı | 1.1.0 |
| Azure Kubernetes Service kümelerinde Komut Çağırmayı Devre Dışı Bırakma | Komut çağrısını devre dışı bırakmak, kümeye invoke-command erişimini reddederek güvenliği artırabilir | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Küme kapsayıcılarının hazır olma veya canlılık yoklamalarının yapılandırıldığından emin olun | Bu ilke, tüm podların hazır olma ve/veya canlılık yoklamalarının yapılandırılmasını zorunlu kılır. Yoklama Türleri tcpSocket, httpGet ve exec'in herhangi biri olabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.3.0 |
| Kubernetes kümesi kapsayıcı görüntüleri preStop kancasını içermelidir | Pod kapatma işlemleri sırasında işlemleri düzgün bir şekilde sonlandırmak için kapsayıcı görüntülerinin bir preStop kancası içermesini gerektirir. | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Kubernetes kümesi kapsayıcı görüntüleri en son görüntü etiketini içermemelidir | Kapsayıcı görüntülerinin Kubernetes'te en son etiketi kullanmamasını gerektirir; yeniden üretilebilirliği sağlamak, istenmeyen güncelleştirmeleri önlemek ve açık ve sürüme alınmış kapsayıcı görüntülerini kullanarak daha kolay hata ayıklama ve geri alma işlemlerini kolaylaştırmak en iyi yöntemdir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynağı istekleri tanımlanmalıdır | Zamanlanmış düğümün gerekli kaynaklara sahip olduğundan emin olmak için kapsayıcı CPU ve bellek kaynağı isteklerini zorunlu kılın. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Kubernetes küme kapsayıcıları konak ad alanlarını paylaşmamalıdır | Pod kapsayıcılarının bir Kubernetes kümesinde konak işlem kimliği ad alanını, konak IPC ad alanını ve konak ağ ad alanını paylaşmasını engelleyin. Bu öneri, konak ad alanları için Kubernetes Pod Güvenlik Standartları ile uyumludur ve Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1, 5.2.2 ve 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 6.0.0 |
| Kubernetes küme kapsayıcıları yasak sysctl arabirimlerini kullanmamalıdır | Kapsayıcılar Kubernetes kümesinde yasak sysctl arabirimleri kullanmamalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
| Kubernetes küme kapsayıcıları yalnızca görüntü çekme gizli dizileri mevcut olduğunda görüntüleri çekmelidir | Kapsayıcıların görüntü çekmelerini kısıtlayarak ImagePullSecrets varlığını zorunlu kılma ve Kubernetes kümesi içindeki görüntülere güvenli ve yetkili erişim sağlama | Denetim, Reddetme, Devre Dışı | 1.3.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen ProcMountType kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen ProcMountType'ları kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen çekme ilkesini kullanmalıdır | Kapsayıcıları dağıtımlarda yalnızca izin verilen görüntüleri kullanacak şekilde zorlamak için kapsayıcıların çekme ilkesini kısıtlayın | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen sekcomp profillerini kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen seccomp profillerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.3.0 |
| Kubernetes küme podu FlexVolume birimleri yalnızca izin verilen sürücüleri kullanmalıdır | Pod FlexVolume birimleri yalnızca Bir Kubernetes kümesinde izin verilen sürücüleri kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.3.0 |
| Kubernetes küme podları ve kapsayıcıları SELinux güvenlik standartlarına uygun olmalıdır | Bu ilke, SELinux seçenekleri için Kubernetes Pod Güvenlik Standartları'nın uygulanmasını sağlar. PSS modu altında , 'kullanıcı' ve 'rol' alanları boş olmalı ve 'tür' alanı izin verilen değerlerden biri olmalıdır. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 8.0.0 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları yalnızca izin verilen birim türlerini kullanmalıdır | Podlar yalnızca Kubernetes kümesinde izin verilen birim türlerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası listesi kullanmalıdır | Kubernetes kümesindeki konak ağına ve izin verilebilen konak bağlantı noktalarına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini artırmayı amaçlayan ve hostPorts için Pod Güvenlik Standartları (PSS) ile uyumlu olan CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 7.0.0 |
| Kubernetes küme podları belirtilen etiketleri kullanmalıdır | Kubernetes kümesindeki podları tanımlamak için belirtilen etiketleri kullanın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır | Kubernetes kümesinde olası saldırılardan (CVE-2020-8554) kaçınmak için izin verilen dış IP'leri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes küme hizmetleri benzersiz seçiciler kullanmalıdır | Ad Alanı içindeki Hizmetlerin Benzersiz Seçicileri Olduğundan Emin Olun. Benzersiz bir hizmet seçici, bir ad alanı içindeki her hizmetin belirli ölçütlere göre benzersiz olarak tanımlanabilir olmasını sağlar. Bu ilke hizmet kaynaklarını Gatekeeper aracılığıyla OPA ile eşitler. Uygulamadan önce Ağ Geçidi Denetleyicisi podlarının bellek kapasitesinin aşılmayacağını doğrulayın. Parametreler belirli ad alanlarına uygulanır, ancak bu türün tüm kaynaklarını tüm ad alanları arasında eşitler. Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.2.2 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes kümesi çıplak podları kullanmamalıdır | Çıplak Pod kullanımını engelleyin. Çıplak Podlar, düğüm hatası durumunda yeniden zamanlanmaz. Podlar Dağıtım, Replicset, Daemonset veya İşler tarafından yönetilmelidir | Denetim, Reddetme, Devre Dışı | 2.3.1 |
| Kubernetes kümesi Windows kapsayıcıları aşırı cpu ve bellek kullanmamalıdır | Windows kapsayıcısı kaynak istekleri kaynak sınırına eşit veya daha az olmalıdır ya da aşırı komuttan kaçınmak için belirtilmemiş olmalıdır. Windows belleği aşırı sağlanmışsa, diskteki sayfalar işlenir ve bu da kapsayıcıyı yetersiz bellekle sonlandırmak yerine performansı yavaşlatabilir | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Kubernetes kümesi Windows kapsayıcıları ContainerAdministrator olarak çalışmamalıdır | Windows podları veya kapsayıcıları için kapsayıcı işlemlerini yürütmek üzere kullanıcı olarak ContainerAdministrator kullanımını önleyin. Bu öneri, Windows düğümlerinin güvenliğini iyileştirmeye yöneliktir. Daha fazla bilgi için bkz. https://kubernetes.io/docs/concepts/windows/intro/ . | Denetim, Reddetme, Devre Dışı | 1.2.0 |
| Kubernetes kümesi Windows kapsayıcıları yalnızca onaylı kullanıcı ve etki alanı kullanıcı grubuyla çalıştırılmalıdır | Windows podlarının ve kapsayıcılarının kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcıyı denetleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Windows düğümlerinde Pod Güvenlik İlkeleri'nin bir parçasıdır. | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Kubernetes kümesi Windows podları HostProcess kapsayıcılarını çalıştırmamalıdır | Windows düğümüne prviledged erişimini engelleyin. Bu öneri, Windows düğümlerinin güvenliğini iyileştirmeye yöneliktir. Daha fazla bilgi için bkz. https://kubernetes.io/docs/concepts/windows/intro/ . | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerinde API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.2.0 |
| Kubernetes kümeleri, küme yöneticisi rolünün yalnızca gerektiğinde kullanıldığından emin olmalıdır | 'cluster-admin' rolü ortam üzerinde geniş kapsamlı güçler sağlar ve yalnızca gerektiğinde ve gerektiğinde kullanılmalıdır. | Denetim, Devre Dışı | 1.1.0 |
| Kubernetes kümeleri rol ve küme rolünde joker karakter kullanımını en aza indirmelidir | '*' joker karakterlerini kullanmak, belirli bir rol için gerekli olmayan geniş izinler verdiğinden güvenlik riski oluşturabilir. Bir rolün çok fazla izni varsa, kümedeki kaynaklara yetkisiz erişim elde etmek için bir saldırgan veya güvenliği aşılmış bir kullanıcı tarafından kötüye kullanılabilir. | Denetim, Devre Dışı | 1.1.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 8.0.0 |
| Kubernetes kümeleri ClusterRole/system:aggregate-to-edit uç nokta düzenleme izinlerine izin vermemelidir | ClusterRole/system:aggregate-to-edit CVE-2021-25740 nedeniyle uç nokta düzenleme izinlerine izin vermemelidir, Endpoint & EndpointSlice izinleri ad alanları arası iletmeye izin verir. https://github.com/kubernetes/kubernetes/issues/103675 Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Devre Dışı | 3.2.0 |
| Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri belirli güvenlik özelliklerini kullanmamalıdır | Pod kaynağında eklenmemiş ayrıcalıkları önlemek için Kubernetes kümelerindeki belirli güvenlik özelliklerini önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.2.0 |
| Kubernetes kümeleri giriş kaynak kurallarında ana bilgisayar belirtmelidir | Arka uç hizmetlerinin yetkisiz erişime yanlışlıkla maruz kalmasını önlemek için giriş kaynağı kurallarında ana bilgisayar belirtildiğinden emin olun. Bu ilke, her kuralın belirli bir konak alanına sahip olduğundan emin olmak için Kubernetes Giriş kaynaklarını değerlendirir. | Denetim, Reddetme, Devre Dışı | 1.1.0-önizleme |
| Kubernetes kümeleri Kapsayıcı Depolama Arabirimi (CSI) sürücüsü StorageClass kullanmalıdır | Container Storage Interface (CSI), rastgele blok ve dosya depolama sistemlerini Kubernetes üzerindeki kapsayıcılı iş yüklerinde kullanıma sunmaya yönelik bir standarttır. AKS sürüm 1.21'den bu yana ağaç içi sağlama StorageClass kullanım dışı bırakılmalıdır. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Reddetme, Devre Dışı | 2.3.0 |
| Kubernetes kümeleri iç yük dengeleyicileri kullanmalıdır | Kubernetes hizmetini yalnızca Kubernetes kümesiyle aynı sanal ağda çalışan uygulamalar için erişilebilir hale getirmek için iç yük dengeleyicileri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes kaynaklarının gerekli ek açıklamaları olmalıdır | Kubernetes kaynaklarınızın gelişmiş kaynak yönetimi için belirli bir Kubernetes kaynak türüne gerekli ek açıklamaların eklendiğine emin olun. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Benzeşim Önleme Kuralları veya Topoloji Yayma Kısıtlamaları Ayarlanmış Olmalıdır | Bu ilke, podların küme içindeki farklı düğümlerde zamanlanmasını sağlar. Benzeşim karşıtı kurallar veya pod topolojisi yayma kısıtlamaları zorunlu tutularak, düğümlerden biri kullanılamaz duruma gelse bile kullanılabilirlik korunur. Podlar diğer düğümlerde çalışmaya devam ederek dayanıklılığı artırır. | Denetim, Reddetme, Devre Dışı | 1.2.2 |
| Tüm özellikleri bırakmak için K8s Kapsayıcısını sessize alma | securityContext.capabilities.drop dosyasını "ALL" içine eklemek için sessize alır. Bu, k8s Linux kapsayıcıları için tüm özellikleri bırakır | Sesi Kapat, Devre Dışı | 1.2.1 |
| Tüm özellikleri bırakmak için K8s Init Kapsayıcısını sessize alma | securityContext.capabilities.drop dosyasını "ALL" içine eklemek için sessize alır. Bu, k8s linux init kapsayıcıları için tüm özellikleri bırakır | Sesi Kapat, Devre Dışı | 1.2.1 |
| AKS'ye Özgü Etiket Yok | Müşterilerin AKS'ye özgü etiketler uygulamasını engeller. AKS, AKS'ye ait bileşenleri belirtmek için ön ekli kubernetes.azure.com etiketleri kullanır. Müşteri bu etiketleri kullanmamalıdır. |
Denetim, Reddetme, Devre Dışı | 1.2.1 |
| Mutasyon uygulandığında bir ileti yazdırır | Uygulanan mutasyon ek açıklamalarını arar ve ek açıklama varsa bir ileti yazdırır. | Denetim, Devre Dışı | 1.2.1 |
| Ayrılmış Sistem Havuzu Renk Tonları | CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. AKS, müşteri podlarını sistem havuzundan uzak tutmak için CriticalAddonsOnly taint kullanır. AKS bileşenleri ile müşteri podları arasında net bir ayrım sağlar ve CriticalAddonsOnly taint'i tolere etmezlerse müşteri podlarının çıkarılmasını önler. | Denetim, Reddetme, Devre Dışı | 1.2.1 |
| Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | Azure Kubernetes Service'in kaynak günlükleri, güvenlik olaylarını araştırırken etkinlik izlerini yeniden oluşturmanıza yardımcı olabilir. Gerektiğinde günlüklerin mevcut olduğundan emin olmak için etkinleştirin | AuditIfNotExists, Devre Dışı | 1.0.0 |
| CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. | Kullanıcı uygulamalarının kullanıcı havuzlarından çıkarılmasını önlemek ve kullanıcı ile sistem havuzları arasındaki endişelerin ayrılmasını sağlamak için , 'CriticalAddonsOnly' taint'i kullanıcı havuzlarına uygulanmamalıdır. | Sesi Kapat, Devre Dışı | 1.3.1 |
| Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.1.0 |
| Kapsayıcılardaki Pod belirtimindeki automountServiceAccountToken değerini false olarak ayarlar. | automountServiceAccountToken değerini false olarak ayarlamak, hizmet hesabı belirteçlerinin varsayılan otomatik bağlamasını önleyerek güvenliği artırır | Sesi Kapat, Devre Dışı | 1.2.1 |
| Kubernetes küme kapsayıcıları CPU sınırlarını, mevcut olmaması durumunda varsayılan değerlere ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.3.1 |
| Kubernetes küme kapsayıcıları bellek sınırlarını, mevcut olmaması durumunda varsayılan değerlerle ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı bellek sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.3.1 |
| PodDisruptionBudget kaynakları için maxUnavailable podlarını 1 olarak ayarlar | Kullanılamayan en yüksek pod değerinizi 1 olarak ayarlamak, kesinti sırasında uygulamanızın veya hizmetinizin kullanılabilir olmasını sağlar | Sesi Kapat, Devre Dışı | 1.3.1 |
| Init kapsayıcılarındaki Pod belirtimindeki readOnlyRootFileSystem değerini ayarlanmadıysa true olarak ayarlar. | readOnlyRootFileSystem değerinin true olarak ayarlanması, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır. Bu yalnızca Linux kapsayıcıları için çalışır. | Sesi Kapat, Devre Dışı | 1.3.1 |
| Ayarlanmazsa Pod belirtimindeki readOnlyRootFileSystem değerini true olarak ayarlar. | readOnlyRootFileSystem değerini true olarak ayarlamak, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır | Sesi Kapat, Devre Dışı | 1.3.1 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.