Azure Arc özellikli Kubernetes için yerleşik tanımları Azure İlkesi
Bu sayfa, Azure Arc özellikli Kubernetes için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Arc özellikli Kubernetes
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Azure Backup Uzantısı AKS kümelerine yüklenmelidir | Azure Backup'ı kullanmak için AKS Kümelerinizde yedekleme uzantısının koruma yüklemesini sağlayın. AKS için Azure Backup, AKS kümeleri için güvenli ve bulutta yerel bir veri koruma çözümüdür | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerini Bulut için Microsoft Defender uzantısını yükleyecek şekilde yapılandırma | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | DeployIfNotExists, Devre Dışı | 7.1.0-önizleme |
| [Önizleme]: Kubernetes kümeleri belirli bir kaynak türünün oluşturulmasını kısıtlamalıdır | Verilen Kubernetes kaynak türü belirli ad alanında dağıtılmamalıdır. | Denetim, Reddetme, Devre Dışı | 2.2.0-önizleme |
| Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır | Azure Arc için Azure İlkesi uzantısı, Arc özellikli Kubernetes kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar sağlar. https://aka.ms/akspolicydoc adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Azure Arc özellikli kubernetes kümeleri Azure Arc Özel Bağlantı Kapsamı ile yapılandırılmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Arc özellikli Kubernetes kümelerinde Open Service Mesh uzantısı yüklü olmalıdır | Açık Service Mesh uzantısı, uygulama hizmetlerinin güvenliği, trafik yönetimi ve gözlemlenebilirliği için tüm standart hizmet ağı özelliklerini sağlar. Burada daha fazla bilgi edinin: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc özellikli Kubernetes kümelerinde Strimzi Kafka uzantısı yüklü olmalıdır | Strimzi Kafka uzantısı, gerçek zamanlı veri işlem hatları oluşturmak ve güvenlik ve gözlemlenebilirlik özelliklerine sahip akış uygulamaları oluşturmak için Kafka'yı yüklemek için operatörler sağlar. Burada daha fazla bilgi edinin: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc özellikli Kubernetes kümelerini Azure İlkesi uzantısını yükleyecek şekilde yapılandırma | Arc özellikli Kubernetes kümelerinizi merkezi ve tutarlı bir şekilde korumak için Azure İlkesi'nin Azure Arc uzantısını dağıtın. https://aka.ms/akspolicydoc adresinden daha fazla bilgi edinin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Azure Arc özellikli Kubernetes kümelerini Azure Arc Özel Bağlantı Kapsamı kullanacak şekilde yapılandırma | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Azure Arc özellikli sunucuları özel uç noktayla yapılandırılmış bir Azure Arc Özel Bağlantı Kapsamına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/arc/privatelink | Değiştir, Devre Dışı | 1.0.0 |
| Kubernetes kümesinde Flux uzantısı yüklemesini yapılandırma | Kümede 'fluxconfigurations' dağıtımını etkinleştirmek için Kubernetes kümesine Flux uzantısını yükleyin | DeployIfNotExists, Devre Dışı | 1.0.0 |
| KeyVault'ta Bucket kaynağı ve gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir Bucket SecretKey gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposu ve HTTPS CA Sertifikası kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım bir HTTPS CA Sertifikası gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Git deposunu ve HTTPS gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir HTTPS anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve yerel gizli dizileri kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Git deposunu ve SSH gizli dizilerini kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel Git deposunu kullanarak Kubernetes kümelerini Flux v2 yapılandırmasıyla yapılandırma | Kümelerin tanımlanan Git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yerel gizli dizileri kullanarak Kubernetes kümelerini belirtilen Flux v2 Demet kaynağıyla yapılandırma | Kümelerin tanımlanan Demet'ten iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'fluxConfiguration' dağıtın. Bu tanım, Kubernetes kümesinde depolanan yerel kimlik doğrulama gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| HTTPS gizli dizilerini kullanarak belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta depolanan HTTPS kullanıcı ve anahtar gizli dizilerini gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Gizli dizi kullanmadan belirtilen GitOps yapılandırmasıyla Kubernetes kümelerini yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım gizli dizi gerektirmez. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| SSH gizli dizilerini kullanarak Kubernetes kümelerini belirtilen GitOps yapılandırmasıyla yapılandırma | Kümelerin tanımlanan git deposundan iş yükleri ve yapılandırmalar için gerçek kaynaklarını almalarını sağlamak için Kubernetes kümelerine bir 'sourceControlConfiguration' dağıtın. Bu tanım, Key Vault'ta bir SSH özel anahtar gizli dizisi gerektirir. Yönergeler için adresini ziyaret edin https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Küme kapsayıcılarının hazır olma veya canlılık yoklamalarının yapılandırıldığından emin olun | Bu ilke, tüm podların hazır olma ve/veya canlılık yoklamalarının yapılandırılmasını zorunlu kılır. Yoklama Türleri tcpSocket, httpGet ve exec'in herhangi biri olabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Bu ilkeyi kullanma yönergeleri için adresini ziyaret edin https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes küme kapsayıcıları yasak sysctl arabirimlerini kullanmamalıdır | Kapsayıcılar Kubernetes kümesinde yasak sysctl arabirimleri kullanmamalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen ProcMountType kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen ProcMountType'ları kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen çekme ilkesini kullanmalıdır | Kapsayıcıları dağıtımlarda yalnızca izin verilen görüntüleri kullanacak şekilde zorlamak için kapsayıcıların çekme ilkesini kısıtlayın | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen sekcomp profillerini kullanmalıdır | Pod kapsayıcıları bir Kubernetes kümesinde yalnızca izin verilen seccomp profillerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podu FlexVolume birimleri yalnızca izin verilen sürücüleri kullanmalıdır | Pod FlexVolume birimleri yalnızca Bir Kubernetes kümesinde izin verilen sürücüleri kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca izin verilen SELinux seçeneklerini kullanmalıdır | Podlar ve kapsayıcılar bir Kubernetes kümesinde yalnızca izin verilen SELinux seçeneklerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme podları yalnızca izin verilen birim türlerini kullanmalıdır | Podlar yalnızca Kubernetes kümesinde izin verilen birim türlerini kullanabilir. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.1 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme podları belirtilen etiketleri kullanmalıdır | Kubernetes kümesindeki podları tanımlamak için belirtilen etiketleri kullanın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır | Kubernetes kümesinde olası saldırılardan (CVE-2020-8554) kaçınmak için izin verilen dış IP'leri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Kubernetes kümesi çıplak podları kullanmamalıdır | Çıplak Pod kullanımını engelleyin. Çıplak Podlar, düğüm hatası durumunda yeniden zamanlanmaz. Podlar Dağıtım, Replicset, Daemonset veya İşler tarafından yönetilmelidir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları aşırı cpu ve bellek kullanmamalıdır | Windows kapsayıcısı kaynak istekleri kaynak sınırına eşit veya daha az olmalıdır ya da aşırı komuttan kaçınmak için belirtilmemiş olmalıdır. Windows belleği aşırı sağlanmışsa, diskteki sayfalar işlenir ve bu da kapsayıcıyı yetersiz bellekle sonlandırmak yerine performansı yavaşlatabilir | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümesi Windows kapsayıcıları Container Yönetici istrator olarak çalışmamalıdır | Windows podları veya kapsayıcıları için kapsayıcı işlemlerini yürütmek için kullanıcı olarak Container Yönetici istrator kullanımını engelleyin. Bu öneri, Windows düğümlerinin güvenliğini iyileştirmeye yöneliktir. Daha fazla bilgi için bkz. https://kubernetes.io/docs/concepts/windows/intro/ . | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kubernetes kümesi Windows kapsayıcıları yalnızca onaylı kullanıcı ve etki alanı kullanıcı grubuyla çalıştırılmalıdır | Windows podlarının ve kapsayıcılarının kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcıyı denetleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Windows düğümlerinde Pod Güvenlik İlkeleri'nin bir parçasıdır. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerinde API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes kümeleri ClusterRole/system:aggregate-to-edit uç nokta düzenleme izinlerine izin vermemelidir | ClusterRole/system:aggregate-to-edit CVE-2021-25740 nedeniyle uç nokta düzenleme izinlerine izin vermemelidir, Endpoint & EndpointSlice izinleri ad alanları arası iletmeye izin verir. https://github.com/kubernetes/kubernetes/issues/103675 Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Devre Dışı | 3.1.0 |
| Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri belirli güvenlik özelliklerini kullanmamalıdır | Pod kaynağında eklenmemiş ayrıcalıkları önlemek için Kubernetes kümelerindeki belirli güvenlik özelliklerini önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
| Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.1.0 |
| Kubernetes kümeleri Kapsayıcı Depolama Arabirimi (CSI) sürücüsünü Depolama Class kullanmalıdır | Container Storage Interface (CSI), rastgele blok ve dosya depolama sistemlerini Kubernetes üzerindeki kapsayıcılı iş yüklerinde kullanıma sunmaya yönelik bir standarttır. AKS sürüm 1.21'den bu yana ağaç içi sağlama Depolama Class kullanım dışı bırakılmalıdır. Daha fazla bilgi edinmek için https://aka.ms/aks-csi-driver | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| Kubernetes kaynaklarının gerekli ek açıklamaları olmalıdır | Kubernetes kaynaklarınızın gelişmiş kaynak yönetimi için belirli bir Kubernetes kaynak türüne gerekli ek açıklamaların eklendiğine emin olun. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | Denetim, Reddetme, Devre Dışı | 3.1.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.