Azure Kubernetes Service için Azure İlkesi yerleşik tanımları
Bu sayfa, Azure Kubernetes Service için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Girişimler
| Veri Akışı Adı | Açıklama | İlkeler | Sürüm |
|---|---|---|---|
| [Önizleme]: Yalnızca güvenilen görüntülerin dağıtıldığından emin olmak için Görüntü Bütünlüğünü kullanın | AKS kümelerinde Görüntü Bütünlüğünü ve Azure İlkesi Eklentilerini etkinleştirerek AKS kümelerinin yalnızca güvenilen görüntüleri dağıtmasını sağlamak için Görüntü Bütünlüğü'nü kullanın. Görüntü Bütünlüğü Eklentisi ve Azure İlkesi Eklentisi, görüntünün dağıtım sırasında imzalanıp imzalanmadığını doğrulamak için Görüntü Bütünlüğünü kullanmak için önkoşullardır. Daha fazla bilgi için adresini ziyaret edin https://aka.ms/aks/image-integrity. | 3 | 1.1.0-önizleme |
| [Önizleme]: Dağıtım korumaları geliştiricilerin AKS için önerilen en iyi yöntemler konusunda yol göstermesine yardımcı olmalıdır | Azure Kubernetes Service (AKS) tarafından önerilen Kubernetes en iyi deneyimlerinden oluşan bir koleksiyon. En iyi deneyim için dağıtım korumalarını kullanarak şu ilke girişimini atayın: https://aka.ms/aks/deployment-safeguards. AKS için Azure İlkesi Eklentisi, kümelerinize bu en iyi yöntemleri uygulamak için bir önkoşuldur. Azure İlkesi Eklentisini etkinleştirme yönergeleri için aka.ms/akspolicydoc | 19 | 1.7.0-önizleme |
| Linux tabanlı iş yükleri için Kubernetes kümesi pod güvenlik temeli standartları | Bu girişim, Kubernetes kümesi pod güvenlik temeli standartlarına yönelik ilkeleri içerir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Linux tabanlı iş yükleri için Kubernetes küme pod güvenliği kısıtlanmış standartları | Bu girişim, Kubernetes kümesi pod güvenliği kısıtlanmış standartlarına yönelik ilkeleri içerir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
İlke tanımları
Microsoft.ContainerService
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: [Görüntü Bütünlüğü] Kubernetes kümeleri yalnızca gösterimle imzalanan görüntüleri kullanmalıdır | Görüntülerin güvenilir kaynaklardan geldiğinden ve kötü amaçlı olarak değiştirilmediğinden emin olmak için gösterimi tarafından imzalanan görüntüleri kullanın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | Denetim, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı AKS kümelerine yüklenmelidir | Azure Backup'ı kullanmak için AKS Kümelerinizde yedekleme uzantısının koruma yüklemesini sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: AKS kümeleri için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek AKS Kümelerinizin korunmasını sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olmalıdır | Azure Kubernetes Service Yönetilen Kümeleri Alanlar Arası Yedekli olacak şekilde yapılandırılabilir veya yapılandırılmaz. İlke, kümedeki düğüm havuzlarını denetler ve kullanılabilirlik alanlarının tüm düğüm havuzları için ayarlandığından emin olur. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Tek Tek Düğümler Düzenlenemiyor | Tek tek düğümler düzenlenemiyor. Kullanıcılar tek tek düğümleri düzenlememelidir. Lütfen düğüm havuzlarını düzenleyin. Düğümleri tek tek değiştirmek tutarsız ayarlara, işletimsel zorluklara ve olası güvenlik risklerine yol açabilir. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Azure Kubernetes Service'te Görüntü Bütünlüğünü Dağıtma | Hem Görüntü Bütünlüğü hem de İlke Eklentileri Azure Kubernetes kümelerini dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-integrity | DeployIfNotExists, Devre Dışı | 1.0.5-önizleme |
| [Önizleme]: Azure Backup Uzantısı'nı belirli bir etiketle AKS kümelerine (Yönetilen Küme) yükleyin. | Azure Backup Uzantısı'nı yüklemek, AKS Kümelerinizi korumak için bir önkoşuldur. Belirli bir etiket içeren tüm AKS kümelerinde yedekleme uzantısının yüklenmesini zorunlu kılma. Bunu yapmak, AKS Kümelerini büyük ölçekte yedeklemeyi yönetmenize yardımcı olabilir. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı'nı belirli bir etiket olmadan AKS kümelerine (Yönetilen Küme) yükleyin. | Azure Backup Uzantısı'nı yüklemek, AKS Kümelerinizi korumak için bir önkoşuldur. Belirli bir etiket değeri olmadan tüm AKS kümelerinde yedekleme uzantısının yüklenmesini zorunlu kılma. Bunu yapmak, AKS Kümelerini büyük ölçekte yedeklemeyi yönetmenize yardımcı olabilir. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-önizleme |
| [Önizleme]: Kubernetes kümesi kapsayıcı görüntüleri preStop kancasını içermelidir | Pod kapatma işlemleri sırasında işlemleri düzgün bir şekilde sonlandırmak için kapsayıcı görüntülerinin bir preStop kancası içermesini gerektirir. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes kümesi kapsayıcı görüntüleri en son görüntü etiketini içermemelidir | Kapsayıcı görüntülerinin Kubernetes'te en son etiketi kullanmamasını gerektirir; yeniden üretilebilirliği sağlamak, istenmeyen güncelleştirmeleri önlemek ve açık ve sürüme alınmış kapsayıcı görüntülerini kullanarak daha kolay hata ayıklama ve geri alma işlemlerini kolaylaştırmak en iyi yöntemdir. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları yalnızca görüntü çekme gizli dizileri mevcut olduğunda görüntüleri çekmelidir | Kapsayıcıların görüntü çekmelerini kısıtlayarak ImagePullSecrets varlığını zorunlu kılma ve Kubernetes kümesi içindeki görüntülere güvenli ve yetkili erişim sağlama | Denetim, Reddetme, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme hizmetleri benzersiz seçiciler kullanmalıdır | Ad Alanı içindeki Hizmetlerin Benzersiz Seçicileri Olduğundan Emin Olun. Benzersiz bir hizmet seçici, bir ad alanı içindeki her hizmetin belirli ölçütlere göre benzersiz olarak tanımlanabilir olmasını sağlar. Bu ilke, giriş kaynaklarını Gatekeeper aracılığıyla OPA ile eşitler. Uygulamadan önce Ağ Geçidi Denetleyicisi podlarının bellek kapasitesinin aşılmayacağını doğrulayın. Parametreler belirli ad alanlarına uygulanır, ancak bu türün tüm kaynaklarını tüm ad alanları arasında eşitler. Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Kubernetes kümesi doğru Pod Kesintisi Bütçeleri uygulamalıdır | Hatalı Pod Kesintisi Bütçelerini önleyerek en az sayıda işlem podunun olmasını sağlar. Ayrıntılar için resmi Kubernetes belgelerine bakın. Ağ Geçidi Denetleyicisi veri çoğaltmasına dayanır ve kapsamı OPA olan tüm giriş kaynaklarını eşitler. Bu ilkeyi uygulamadan önce, eşitlenen giriş kaynaklarının bellek kapasitenizi zorlamadığından emin olun. Parametreler belirli ad alanlarını değerlendirse de, ad alanları arasında bu tür tüm kaynaklar eşitlenir. Not: Şu anda Kubernetes Service (AKS) için önizleme aşamasındadır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Kubernetes kümeleri belirli bir kaynak türünün oluşturulmasını kısıtlamalıdır | Verilen Kubernetes kaynak türü belirli ad alanında dağıtılmamalıdır. | Denetim, Reddetme, Devre Dışı | 2.2.0-önizleme |
| [Önizleme]: Benzeşim Karşıtı Kuralları Ayarlanmış Olmalıdır | Bu ilke, podların küme içindeki farklı düğümlerde zamanlanmasını sağlar. Benzeşim önleme kuralları zorunlu tutularak, düğümlerden biri kullanılamaz duruma gelse bile kullanılabilirlik korunur. Podlar diğer düğümlerde çalışmaya devam ederek dayanıklılığı artırır. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: AKS'ye Özgü Etiket Yok | Müşterilerin AKS'ye özgü etiketler uygulamasını engeller. AKS, AKS'ye ait bileşenleri belirtmek için ön ekli kubernetes.azure.com etiketleri kullanır. Müşteri bu etiketleri kullanmamalıdır. |
Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Ayrılmış Sistem Havuzu Renk Tonları | CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. AKS, müşteri podlarını sistem havuzundan uzak tutmak için CriticalAddonsOnly taint kullanır. AKS bileşenleri ile müşteri podları arasında net bir ayrım sağlar ve CriticalAddonsOnly taint'i tolere etmezlerse müşteri podlarının çıkarılmasını önler. | Denetim, Reddetme, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: CriticalAddonsOnly taint'i yalnızca sistem havuzuyla kısıtlar. | Kullanıcı uygulamalarının kullanıcı havuzlarından çıkarılmasını önlemek ve kullanıcı ile sistem havuzları arasındaki endişelerin ayrılmasını sağlamak için , 'CriticalAddonsOnly' taint'i kullanıcı havuzlarına uygulanmamalıdır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları CPU sınırlarını, mevcut olmaması durumunda varsayılan değerlere ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: Kubernetes küme kapsayıcıları bellek sınırlarını, mevcut olmaması durumunda varsayılan değerlere ayarlar. | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı bellek sınırlarını ayarlama. | Sesi Kapat, Devre Dışı | 1.1.1-önizleme |
| [Önizleme]: PodDisruptionBudget kaynakları için maxUnavailable podlarını 1 olarak ayarlar | Kullanılamayan en yüksek pod değerinizi 1 olarak ayarlamak, kesinti sırasında uygulamanızın veya hizmetinizin kullanılabilir olmasını sağlar | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Init kapsayıcılarındaki Pod belirtimindeki readOnlyRootFileSystem değerini ayarlanmadıysa true olarak ayarlar. | readOnlyRootFileSystem değerinin true olarak ayarlanması, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır. Bu yalnızca Linux kapsayıcıları için çalışır. | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| [Önizleme]: Pod belirtimindeki readOnlyRootFileSystem değerini ayarlanmadıysa true olarak ayarlar. | readOnlyRootFileSystem değerini true olarak ayarlamak, kapsayıcıların kök dosya sistemine yazmasını engelleyerek güvenliği artırır | Sesi Kapat, Devre Dışı | 1.1.0-önizleme |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure Kubernetes Kümeleri SSH'yi devre dışı bırakmalıdır | SSH'yi devre dışı bırakma, kümenizin güvenliğini sağlama ve saldırı yüzeyini azaltma olanağı sağlar. Daha fazla bilgi edinmek için şu adresi ziyaret edin: aka.ms/aks/disablessh | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Kapsayıcı Depolama Arabirimi'ni (CSI) etkinleştirmelidir | Kapsayıcı Depolama Arabirimi (CSI), Azure Kubernetes Service'te kapsayıcılı iş yüklerine rastgele blok ve dosya depolama sistemlerini kullanıma sunar. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Anahtar Yönetim Merkezi (KMS) etkinleştirmelidir | Kubernetes kümesi güvenliği için etcd'de bekleyen gizli dizi verilerini şifrelemek için Anahtar Yönetim Merkezi (KMS) kullanın. Daha fazla bilgi için: https://aka.ms/aks/kmsetcdencryption. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Kümeleri Azure CNI kullanmalıdır | Azure CNI, Azure ağ ilkeleri, Windows düğüm havuzları ve sanal düğümler eklentisi gibi bazı Azure Kubernetes Service özellikleri için önkoşuldur. Daha fazla bilgi için: https://aka.ms/aks-azure-cni | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri Komut Çağırmayı devre dışı bırakmalıdır | Komut çağrısını devre dışı bırakmak, kısıtlı ağ erişiminin veya Kubernetes rol tabanlı erişim denetiminin atlanmasından kaçınarak güvenliği artırabilir | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri küme otomatik yükseltmesini etkinleştirmelidir | AKS kümesi otomatik yükseltmesi, kümelerinizin güncel olduğundan ve AKS ve yukarı akış Kubernetes'ten en son özellikleri veya düzeltme eklerini kaçırmadığından emin olabilir. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Görüntü Temizleyici'yi etkinleştirmelidir | Görüntü Temizleyici, eski görüntü riskini azaltan ve bunları temizlemek için gereken süreyi azaltan otomatik savunmasız, kullanılmayan görüntü tanımlama ve kaldırma işlemlerini gerçekleştirir. Daha fazla bilgi için: https://aka.ms/aks/image-cleaner. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri Microsoft Entra ID tümleştirmesini etkinleştirmelidir | AKS tarafından yönetilen Microsoft Entra Id tümleştirmesi, kullanıcının kimliğine veya dizin grubu üyeliğine göre Kubernetes rol tabanlı erişim denetimini (Kubernetes RBAC) yapılandırarak kümelere erişimi yönetebilir. Daha fazla bilgi için: https://aka.ms/aks-managed-aad. | Denetim, Devre Dışı | 1.0.2 |
| Azure Kubernetes Service Kümeleri düğüm işletim sistemi otomatik yükseltmesini etkinleştirmelidir | AKS düğüm işletim sistemi otomatik yükseltmesi düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetler. Daha fazla bilgi için: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service Kümeleri iş yükü kimliğini etkinleştirmelidir | İş yükü kimliği, her Kubernetes Pod'una benzersiz bir kimlik atamanıza ve bunu Azure Key Vault gibi Azure AD korumalı kaynaklarla ilişkilendirmenize olanak tanıyarak pod içinden bu kaynaklara güvenli erişim sağlar. Daha fazla bilgi için: https://aka.ms/aks/wi. | Denetim, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
| Azure Kubernetes Service Kümelerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Azure Kubernetes Service Kümelerinin kimlik doğrulaması için yalnızca Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/aks-disable-local-accounts. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Kümeleri yönetilen kimlikleri kullanmalıdır | Hizmet sorumlularını sarmak, küme yönetimini basitleştirmek ve yönetilen hizmet sorumluları için gereken karmaşıklığı önlemek için yönetilen kimlikleri kullanın. Daha fazla bilgi için: https://aka.ms/aks-update-managed-identities | Denetim, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service Özel Kümeleri etkinleştirilmelidir | API sunucunuzla düğüm havuzlarınız arasındaki ağ trafiğinin yalnızca özel ağda kaldığından emin olmak için Azure Kubernetes Service kümeniz için özel küme özelliğini etkinleştirin. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
| Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandırma | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.Defender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. Kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Devre Dışı | 4.2.0 |
| Kubernetes kümesinde Flux uzantısı yüklemesini yapılandırma | Kümede 'fluxconfigurations' dağıtımını etkinleştirmek için Kubernetes kümesine Flux uzantısını yükleyin | DeployIfNotExists, Devre Dışı | 1.0.0 |
| KeyVault'ta Bucket kaynağı ve gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir Bucket SecretKey gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposu ve HTTPS CA Sertifikası kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım bir HTTPS CA Sertifikası gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Git deposunu ve HTTPS gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir HTTPS anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve yerel gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve SSH gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel Git deposunu kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yerel gizli dizileri kullanarak Kubernetes kümelerini belirtilen Flux v2 Demet kaynağıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| HTTPS gizli dizilerini kullanarak belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan HTTPS kullanıcı ve anahtar gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Gizli dizi kullanmadan belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| SSH gizli dizilerini kullanarak Kubernetes kümelerini belirtilen GitOps yapılandırmasıyla yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Microsoft Entra ID tümleşik Azure Kubernetes Service Kümelerini gerekli Yönetici Grubu Erişimi ile yapılandırma | Microsoft Entra ID tümleşik AKS kümelerine Yönetici erişimini merkezi olarak yöneterek küme güvenliğini iyileştirmeyi sağlayın. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Azure Kubernetes Kümesinde Düğüm İşletim Sistemi Otomatik yükseltmesini yapılandırma | Azure Kubernetes Service (AKS) kümelerinin düğüm düzeyinde işletim sistemi güvenlik güncelleştirmelerini denetlemek için Düğüm İşletim Sistemi otomatik yükseltmesini kullanın. Daha fazla bilgi için adresini ziyaret edin https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Dağıtma - Azure Kubernetes Service'i Log Analytics çalışma alanına tanılama ayarlarını yapılandırma | Kaynak günlüklerini Log Analytics çalışma alanına akışla aktarmak için Azure Kubernetes Service tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Azure İlkesi Eklentisini Azure Kubernetes Service kümelerine dağıtma | Azure Kubernetes Service (AKS) kümelerinizin uyumluluk durumunu yönetmek ve raporlamak için Azure İlkesi Eklentisini kullanın. Daha fazla bilgi için bkz. https://aka.ms/akspolicydoc. | DeployIfNotExists, Devre Dışı | 4.1.0 |
| Azure Kubernetes Service'te Görüntü Temizleyici dağıtma | Azure Kubernetes kümelerinde Görüntü Temizleyici'yi dağıtın. Daha fazla bilgi için https://aka.ms/aks/image-cleaner | DeployIfNotExists, Devre Dışı | 1.0.4 |
| Azure Kubernetes Service (AKS) kümenizin yükseltmelerini zamanlamak ve denetlemek için Planlı Bakım dağıtma | Planlı Bakım, güncelleştirmeleri gerçekleştirmek ve iş yükü etkisini en aza indirmek için haftalık bakım pencereleri zamanlamanıza olanak tanır. Zamanlandıktan sonra yükseltmeler yalnızca seçtiğiniz pencere sırasında gerçekleşir. Daha fazla bilgi için: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes Service kümelerinde Komut Çağırmayı Devre Dışı Bırakma | Komut çağrısını devre dışı bırakmak, kümeye invoke-command erişimini reddederek güvenliği artırabilir | DeployIfNotExists, Devre Dışı | 1.2.0 |
| Küme kapsayıcılarının hazır olma veya canlılık yoklamalarının yapılandırıldığından emin olun | Bu ilke, tüm podların hazır olma ve/veya canlılık yoklamalarının yapılandırılmasını zorunlu kılır. Yoklama Türleri tcpSocket, httpGet ve exec'in herhangi biri olabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes küme kapsayıcıları yasak sysctl arabirimlerini kullanmamalıdır | Kapsayıcılar Kubernetes kümesinde yasak sysctl arabirimleri kullanmamalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen ProcMountType kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen ProcMountType'ları kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen çekme ilkesini kullanmalıdır | Kapsayıcıları dağıtımlarda yalnızca izin verilen görüntüleri kullanacak şekilde zorlamak için kapsayıcıların çekme ilkesini kısıtlayın | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen sekcomp profillerini kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen seccomp profillerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podu FlexVolume birimleri yalnızca izin verilen sürücüleri kullanmalıdır | Pod FlexVolume birimleri yalnızca Bir Kubernetes kümesinde izin verilen sürücüleri kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca izin verilen SELinux seçeneklerini kullanmalıdır | Podlar ve kapsayıcılar bir Kubernetes kümesinde yalnızca izin verilen SELinux seçeneklerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme podları yalnızca izin verilen birim türlerini kullanmalıdır | Podlar yalnızca Kubernetes kümesinde izin verilen birim türlerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme podları belirtilen etiketleri kullanmalıdır | Kubernetes kümesindeki podları tanımlamak için belirtilen etiketleri kullanın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır | Kubernetes kümesinde olası saldırılardan (CVE-2020-8554) kaçınmak için izin verilen dış IP'leri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Kubernetes kümesi çıplak podları kullanmamalıdır | Çıplak Pod kullanımını engelleyin. Çıplak Podlar, düğüm hatası durumunda yeniden zamanlanmaz. Podlar Dağıtım, Replicset, Daemonset veya İşler tarafından yönetilmelidir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları aşırı cpu ve bellek kullanmamalıdır | Windows kapsayıcısı kaynak istekleri kaynak sınırına eşit veya daha az olmalıdır ya da aşırı komuttan kaçınmak için belirtilmemiş olmalıdır. Windows belleği aşırı sağlanmışsa, diskteki sayfalar işlenir ve bu da kapsayıcıyı yetersiz bellekle sonlandırmak yerine performansı yavaşlatabilir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları ContainerAdministrator olarak çalışmamalıdır | Windows podları veya kapsayıcıları için kapsayıcı işlemlerini yürütmek üzere kullanıcı olarak ContainerAdministrator kullanımını önleyin. Bu öneri, Windows düğümlerinin güvenliğini iyileştirmeye yöneliktir. Daha fazla bilgi için bkz. https://kubernetes.io/docs/concepts/windows/intro/ . | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kubernetes kümesi Windows kapsayıcıları yalnızca onaylı kullanıcı ve etki alanı kullanıcı grubuyla çalıştırılmalıdır | Windows podlarının ve kapsayıcılarının kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcıyı denetleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Windows düğümlerinde Pod Güvenlik İlkeleri'nin bir parçasıdır. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerinde API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri, küme yöneticisi rolünün yalnızca gerektiğinde kullanıldığından emin olmalıdır | 'cluster-admin' rolü ortam üzerinde geniş kapsamlı güçler sağlar ve yalnızca gerektiğinde ve gerektiğinde kullanılmalıdır. | Denetim, Devre Dışı | 1.0.0 |
| Kubernetes kümeleri rol ve küme rolünde joker karakter kullanımını en aza indirmelidir | '*' joker karakterlerini kullanmak, belirli bir rol için gerekli olmayan geniş izinler verdiğinden güvenlik riski oluşturabilir. Bir rolün çok fazla izni varsa, kümedeki kaynaklara yetkisiz erişim elde etmek için bir saldırgan veya güvenliği aşılmış bir kullanıcı tarafından kötüye kullanılabilir. | Denetim, Devre Dışı | 1.0.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes kümeleri ClusterRole/system:aggregate-to-edit uç nokta düzenleme izinlerine izin vermemelidir | ClusterRole/system:aggregate-to-edit CVE-2021-25740 nedeniyle uç nokta düzenleme izinlerine izin vermemelidir, Endpoint & EndpointSlice izinleri ad alanları arası iletmeye izin verir. https://github.com/kubernetes/kubernetes/issues/103675 Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Devre Dışı | 3.1.0 |
| Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri belirli güvenlik özelliklerini kullanmamalıdır | Pod kaynağında eklenmemiş ayrıcalıkları önlemek için Kubernetes kümelerindeki belirli güvenlik özelliklerini önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri Kapsayıcı Depolama Arabirimi (CSI) sürücüsü StorageClass kullanmalıdır | Container Storage Interface (CSI), rastgele blok ve dosya depolama sistemlerini Kubernetes üzerindeki kapsayıcılı iş yüklerinde kullanıma sunmaya yönelik bir standarttır. AKS sürüm 1.21'den bu yana ağaç içi sağlama StorageClass kullanım dışı bırakılmalıdır. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Kubernetes kümeleri iç yük dengeleyicileri kullanmalıdır | Kubernetes hizmetini yalnızca Kubernetes kümesiyle aynı sanal ağda çalışan uygulamalar için erişilebilir hale getirmek için iç yük dengeleyicileri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kaynaklarının gerekli ek açıklamaları olmalıdır | Kubernetes kaynaklarınızın gelişmiş kaynak yönetimi için belirli bir Kubernetes kaynak türüne gerekli ek açıklamaların eklendiğine emin olun. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | Azure Kubernetes Service'in kaynak günlükleri, güvenlik olaylarını araştırırken etkinlik izlerini yeniden oluşturmanıza yardımcı olabilir. Gerektiğinde günlüklerin mevcut olduğundan emin olmak için etkinleştirin | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
Azure Kubernetes Service
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin