Azure Kubernetes Service (AKS) için Azure İlkesi Mevzuat Uyumluluğu denetimleri
Azure İlkesi'da Mevzuat Uyumluluğu, farklı uyumluluk standartlarıyla ilgili uyumluluk etki alanları ve güvenlik denetimleri için Microsoft tarafından oluşturulan ve yönetilen girişim tanımları (yerleşikler) sağlar. Bu sayfada Azure Kubernetes Service (AKS) uyumluluk etki alanları ve güvenlik denetimleri listeleniyor.
Azure kaynaklarınızın belirli bir standartla uyumlu olmasına yardımcı olmak için bir güvenlik denetimi için yerleşikleri tek tek atayabilirsiniz.
Her yerleşik ilke tanımının başlığı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için İlke Sürümü sütunundaki bağlantıyı kullanın.
Önemli
Her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir. Ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme olmaz. Bu nedenle, Azure İlkesi uyumlu yalnızca ilkelerin kendisini ifade eder. Bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standartları için denetimler ve Azure İlkesi Mevzuat Uyumluluğu tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CIS Microsoft Azure Foundations Benchmark 1.1.0. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
8 Diğer Güvenlik Konuları | 8.5 | Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CIS Microsoft Azure Foundations Benchmark 1.3.0. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
8 Diğer Güvenlik Konuları | 8.5 | Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. CIS v1.4.0 için Azure İlkesi Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
8 Diğer Güvenlik Konuları | 8.7 | Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
CMMC Düzey 3
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CMMC Düzey 3. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC).
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Erişim Denetimi | AC.1.001 | Bilgi sistemi erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer bilgi sistemleri dahil) sınırlayın. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Erişim Denetimi | AC.1.001 | Bilgi sistemi erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer bilgi sistemleri dahil) sınırlayın. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Erişim Denetimi | AC.1.002 | Bilgi sistemi erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Erişim Denetimi | AC.1.002 | Bilgi sistemi erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Erişim Denetimi | AC.2.007 | Belirli güvenlik işlevleri ve ayrıcalıklı hesaplar da dahil olmak üzere en az ayrıcalık ilkesini kullanın. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Erişim Denetimi | AC.2.016 | CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Yapılandırma Yönetimi | CM.2.062 | Kuruluş sistemlerini yalnızca temel özellikler sağlayacak şekilde yapılandırarak en az işlevsellik ilkesini kullanın. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Yapılandırma Yönetimi | CM.3.068 | Gereksiz programlar, işlevler, bağlantı noktaları, protokoller ve hizmetlerin kullanımını kısıtlayın, devre dışı bırakın veya önleyin. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Risk Değerlendirmesi | RM.2.143 | Güvenlik açıklarını risk değerlendirmelerine uygun olarak düzeltin. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
Sistem ve İletişim Koruması | SC.1.175 | Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Sistem ve İletişim Koruması | SC.3.177 | CUI'nin gizliliğini korumak için kullanıldığında FIPS ile doğrulanmış şifreleme kullanın. | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
Sistem ve İletişim Koruması | SC.3.183 | Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver). | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Sistem ve Bilgi Bütünlüğü | SI.1.210 | Bilgi ve bilgi sistemi açıklarını zamanında belirleme, raporlama ve doğru yapma. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
FedRAMP Yüksek
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlendiğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - FedRAMP High. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . FedRAMP High.
FedRAMP Moderate
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlendiğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - FedRAMP Moderate. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . FedRAMP Moderate.
HIPAA HITRUST 9.2
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Mevzuat Uyumluluğu - HIPAA HITRUST 9.2 Azure İlkesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . HIPAA HITRUST 9.2.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Ayrıcalık Yönetimi | 1149.01c2System.9 - 01.c | Kuruluş, yetkili kullanıcıların kuruluş tarafından tanımlandığı şekilde takdir yetkisine izin verildiğinde iş ortağının erişimini belirlemesini sağlayarak ve kullanıcıların bilgi paylaşımı/işbirliği kararları almalarına yardımcı olacak el ile süreçler veya otomatik mekanizmalar kullanarak bilgi paylaşımını kolaylaştırır. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
11 Erişim Denetimi | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Bilgi Sistemlerine Yetkili Erişim | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
12 Denetim Günlüğü ve İzleme | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Belgeli İşletim Yordamları | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Hakimiyet için Microsoft Bulut Temeli Gizli İlkeleri
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardına nasıl eşleneceğini gözden geçirmek için bkz. Azure İlkesi MCfS Egemenlik Temeli Gizli İlkeleri için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Egemenlik İlkesi için Microsoft Bulut portföyü.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
SO.3 - Müşteri Tarafından Yönetilen Anahtarlar | SO.3 | Azure ürünleri mümkün olduğunda Müşteri Tarafından Yönetilen Anahtarları kullanacak şekilde yapılandırılmalıdır. | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
Microsoft bulut güvenliği karşılaştırması
Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. Bu hizmetin Microsoft bulut güvenliği karşılaştırmasına tamamen nasıl eşlediğini görmek için bkz . Azure Güvenlik Karşılaştırması eşleme dosyaları.
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - Microsoft bulut güvenliği karşılaştırması.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Ağ Güvenliği | NS-2 | Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Ayrıcalıklı Erişim | PA-7 | Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık ilkesi) | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Veri Koruma | DP-3 | Aktarımdaki hassas verileri şifreleme | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Günlüğe Kaydetme ve Tehdit Algılama | LT-1 | Tehdit algılama özelliklerini etkinleştirme | Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | 2.0.1 |
Günlüğe Kaydetme ve Tehdit Algılama | LT-2 | Kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirme | Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | 2.0.1 |
Günlüğe Kaydetme ve Tehdit Algılama | LT-3 | Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme | Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | 1.0.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | 4.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | 5.1.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-2 | Güvenli yapılandırmaları denetleme ve zorunlu kılma | Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | 4.2.0 |
Duruş ve Güvenlik Açığı Yönetimi | BD-6 | Güvenlik açıklarını hızlı ve otomatik olarak düzeltme | Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | 1.0.1 |
DevOps Güvenliği | DS-6 | DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma | Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | 1.0.1 |
NIST SP 800-171 R2
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-171 R2. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-171 R2.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Erişim Denetimi | 3.1.3 | CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin. | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Sistem ve İletişim Koruması | 3.13.1 | Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma. | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Sistem ve İletişim Koruması | 3.13.10 | Kuruluş sistemlerinde kullanılan şifreleme için şifreleme anahtarları oluşturma ve yönetme. | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
Sistem ve İletişim Koruması | 3.13.16 | Bekleyen CUI'nin gizliliğini koruyun. | Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | 1.0.1 |
Sistem ve İletişim Koruması | 3.13.2 | Kurumsal sistemler içinde etkili bilgi güvenliğini teşvik eden mimari tasarımlar, yazılım geliştirme teknikleri ve sistem mühendisliği ilkelerini kullanın. | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Sistem ve İletişim Koruması | 3.13.5 | İç ağlardan fiziksel veya mantıksal olarak ayrılmış, genel olarak erişilebilir sistem bileşenleri için alt ağlar uygulayın. | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Sistem ve İletişim Koruması | 3.13.6 | Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver). | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Sistem ve İletişim Koruması | 3.13.8 | CuI'nin iletim sırasında yetkisiz olarak açığa çıkmasını önlemek için alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece şifreleme mekanizmaları uygulayın. | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Sistem ve Bilgi Bütünlüğü | 3.14.1 | Sistem kusurlarını zamanında belirleyin, raporlayın ve düzeltin. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
Yapılandırma Yönetimi | 3.4.1 | İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
Yapılandırma Yönetimi | 3.4.2 | Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
NIST SP 800-53 Rev. 4
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-53 Rev. 4. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-53 Rev. 5. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-53 Rev. 5.
NL BIO Bulut Teması
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. NL BIO Bulut Teması için Mevzuat Uyumluluğu ayrıntıları Azure İlkesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Temel Bilgi Güvenliği Kamu Siber Güvenlik - Dijital Kamu (digitaleoverheid.nl).
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
C.04.3 Teknik güvenlik açığı yönetimi - Zaman Çizelgeleri | C.04.3 | Kötüye kullanım olasılığı ve beklenen hasarın her ikisi de yüksekse yamalar en geç bir hafta içinde yüklenir. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
C.04.6 Teknik güvenlik açığı yönetimi - Zaman Çizelgeleri | C.04.6 | Düzeltme eki yönetimi zamanında gerçekleştirilerek teknik zayıflıklar giderilebilir. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | 4.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | 5.1.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | 4.2.0 |
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi | C.04.7 | Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
U.05.1 Veri koruması - Şifreleme ölçümleri | U.05.1 | Veri aktarımı, mümkünse anahtar yönetiminin CSC tarafından gerçekleştirildiği şifreleme ile güvenli hale getirilmiştir. | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
U.05.2 Veri koruması - Şifreleme ölçümleri | U.05.2 | Bulut hizmetinde depolanan veriler, sanatın en son durumuyla korunmalıdır. | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
U.05.2 Veri koruması - Şifreleme ölçümleri | U.05.2 | Bulut hizmetinde depolanan veriler, sanatın en son durumuyla korunmalıdır. | Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | 1.0.1 |
U.07.1 Veri ayrımı - Yalıtılmış | U.07.1 | Verilerin kalıcı yalıtımı çok kiracılı bir mimaridir. Yamalar denetimli bir şekilde gerçekleştirilir. | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
U.07.3 Veri ayrımı - Yönetim özellikleri | U.07.3 | U.07.3 - CSC verilerini ve/veya şifreleme anahtarlarını görüntüleme veya değiştirme ayrıcalıkları denetimli bir şekilde verilir ve kullanım günlüğe kaydedilir. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
U.09.3 Kötü Amaçlı Yazılımdan Koruma - Algılama, önleme ve kurtarma | U.09.3 | Kötü amaçlı yazılım koruması farklı ortamlarda çalışır. | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
U.10.2 BT hizmetlerine ve verilerine erişim - Kullanıcılar | U.10.2 | CSP'nin sorumluluğu altında, yöneticilere erişim verilir. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
U.10.3 BT hizmetlerine ve verilerine erişim - Kullanıcılar | U.10.3 | YALNıZCA kimliği doğrulanmış donanıma sahip kullanıcılar BT hizmetlerine ve verilerine erişebilir. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
U.10.5 BT hizmetlerine ve verilerine erişim - Yetkin | U.10.5 | BT hizmetlerine ve verilerine erişim teknik önlemlerle sınırlıdır ve uygulanmıştır. | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
U.11.1 Cryptoservices - İlke | U.11.1 | Şifreleme politikasında en azından BIO'ya uygun konular ayrıntılı bir şekilde anlatılmıştır. | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
U.11.2 Cryptoservices - Şifreleme ölçümleri | U.11.2 | PKIoverheid sertifikaları söz konusu olduğunda, anahtar yönetimi için PKIoverheid gereksinimlerini kullanın. Diğer durumlarda ISO11770 kullanın. | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
U.11.3 Cryptoservices - Encrypted | U.11.3 | Hassas veriler her zaman şifrelenir ve özel anahtarlar CSC tarafından yönetilir. | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
U.11.3 Cryptoservices - Encrypted | U.11.3 | Hassas veriler her zaman şifrelenir ve özel anahtarlar CSC tarafından yönetilir. | Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | 1.0.1 |
U.15.1 Günlüğe kaydetme ve izleme - Günlüğe kaydedilen olaylar | U.15.1 | İlke kurallarının ihlali CSP ve CSC tarafından kaydedilir. | Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | 1.0.0 |
Hindistan Rezerv Bankası - NBFC için BT Çerçevesi
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - Hindistan Rezerv Bankası - NBFC için BT Çerçevesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Reserve Bank of India - IT Framework for NBFC.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
BT İdaresi | 1 | BT İdaresi-1 | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
Bilgi ve Siber Güvenlik | 3.1.a | Bilgi Varlıklarının Tanımlanması ve Sınıflandırılması-3.1 | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Bilgi ve Siber Güvenlik | 3.1.c | Rol Tabanlı Erişim Denetimi-3.1 | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Bilgi ve Siber Güvenlik | 3.1.g | İzler-3.1 | Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | 2.0.1 |
Bilgi ve Siber Güvenlik | 3.3 | Güvenlik Açığı Yönetimi-3.3 | Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | 1.0.2 |
Reserve Bank of India Bankalar için BT Çerçevesi v2016
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - RBI ITF Banks v2016. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . RBI ITF Banks v2016 (PDF).
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Düzeltme Eki/Güvenlik Açığı ve Değişiklik Yönetimi | Düzeltme Eki/Güvenlik Açığı ve Değişiklik Yönetimi-7.7 | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 | |
Advanced Real-Timethreat Defenceand Management | Advanced Real-Timethreat Defenceand Management-13.2 | Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | 2.0.1 | |
Kullanıcı Erişim Denetimi / Yönetim | Kullanıcı Erişim Denetimi / Yönetim-8.1 | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
RMIT Malezya
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - RMIT Malezya. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . RMIT Malaysia.
İspanya ENS
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşleşdiğini gözden geçirmek için bkz. Azure İlkesi İspanya ENS için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CCN-STIC 884.
SWIFT CSP-CSCF v2021
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşleşdiğini gözden geçirmek için bkz. AZURE İLKESI SWIFT CSP-CSCF v2021 için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . SWIFT CSP CSCF v2021.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
SWIFT Ortam Koruması | 1.1 | SWIFT Ortam Koruması | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
SWIFT Ortam Koruması | 1.4 | İnternet Erişimi Kısıtlaması | Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | 2.0.1 |
Saldırı Yüzeyini ve Güvenlik Açıklarını Azaltma | 2.1 | İç Veri Akışı Güvenliği | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Sistemlere veya İşlem Kayıtlarına Anormal Etkinliği Algılama | 6.2 | Yazılım Bütünlüğü | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
Sistemlere veya İşlem Kayıtlarına Anormal Etkinliği Algılama | 6,5A | İzinsiz Giriş Algılama | Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | 1.0.1 |
Sistem ve Kuruluş Denetimleri (SOC) 2
Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Sistem ve Kuruluş Denetimleri (SOC) 2 için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Sistem ve Kuruluş Denetimleri (SOC) 2.
Domain | Denetim Kimliği | Denetim başlığı | İlke (Azure portalı) |
İlke sürümü (GitHub) |
---|---|---|---|---|
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.1 | Mantıksal erişim güvenliği yazılımı, altyapısı ve mimarileri | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.3 | Rol tabanlı erişim ve en az ayrıcalık | Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | 1.0.4 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.6 | Sistem sınırları dışındaki tehditlere karşı güvenlik önlemleri | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.7 | Bilgilerin yetkili kullanıcılarla hareketini kısıtlama | Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | 8.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | 4.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | 5.1.0 |
Mantıksal ve Fiziksel Erişim Denetimleri | CC6.8 | Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama | Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | 4.2.0 |
Sistem İşlemleri | CC7.2 | Anormal davranış için sistem bileşenlerini izleme | Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | 2.0.1 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | 1.0.2 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | 9.3.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | 5.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | 6.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | 6.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | 9.3.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | 6.3.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | 6.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | 6.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | 6.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | 8.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | 9.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | 4.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | 7.2.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | 5.1.0 |
Değişiklik Yönetimi | CC8.1 | Altyapı, veri ve yazılım değişiklikleri | Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | 4.2.0 |
Sonraki adımlar
- Azure İlkesi Mevzuat Uyumluluğu hakkında daha fazla bilgi edinin.
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
Azure Kubernetes Service