適用於 Azure Kubernetes Service (AKS) 的 Azure 原則法規合規性控制措施
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 所建立和管理的方案定義 (「內建項目」)。 此頁面會列出 Azure Kubernetes Service (AKS) 合規性網域和安全性控制。
您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
CIS Microsoft Azure Foundations Benchmark 1.1.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.1.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.5 | 在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC) | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.3.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.5 | 在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC) | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v1.4.0 的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.7 | 在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC) | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 存取控制 | AC.2.007 | 採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 組態管理 | CM.2.062 | 將組織系統設為只提供基本功能,即可採用最少功能的原則。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 風險評估 | RM.2.143 | 根據風險評量補救弱點。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 系統與通訊保護 | SC.3.177 | 採用 FIPS 驗證的加密來保護 CUI 的機密性。 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 系統和資訊完整性 | SI.1.210 | 及時識別、報告及修正資訊和資訊系統缺陷。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
HIPAA HITRUST 9.2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - HIPAA HITRUST 9.2。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST 9.2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 權限管理 | 1149.01c2System.9 - 01.c | 當組織所定義的內容允許使用者具有自行處理權時,組織會藉由讓授權的使用者決定企業合作夥伴的存取權,來促進檔案共用,並採用手動程序或自動化機制來協助使用者做出資訊共用/共同作業的決策。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 11 存取控制 | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 對資訊系統的授權存取 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 12 稽核記錄和監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 已記錄的操作程序 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
Microsoft Cloud for Sovereignty 基準機密原則
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 MCfS Sovereignty 基準機密原則的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 Microsoft Cloud for Sovereignty 原則組合。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SO.3 - 客戶自控金鑰 | SO.3 | Azure 產品必須設定為盡可能使用客戶管理的金鑰。 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
| 系統與通訊保護 | 3.13.16 | 保護待用 CUI 的機密性。 | 在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 1.0.1 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.8 | 實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 8.2.0 |
| 系統和資訊完整性 | 3.14.1 | 及時識別、報告及更正系統缺陷。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 1.0.2 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 9.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 5.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 8.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集不應允許容器提升權限 | 7.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 1.0.2 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 9.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 5.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 8.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集不應允許容器提升權限 | 7.2.0 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
NL BIO 雲端主題
若要檢閱所有 Azure 服務中可用的 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 NL BIO 雲端主題的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性:數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則修補檔將在一週內安裝。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| C.04.6 技術弱點管理 - 時間表 | C.04.6 | 技術弱點可藉由適時執行修補檔管理來補救。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 1.0.2 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 9.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 5.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 8.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集應停用自動掛接 API 認證 | 4.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應允許容器提升權限 | 7.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 5.1.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應使用預設命名空間 | 4.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| U.05.1 資料保護 - 密碼編譯量值 | U.05.1 | 如果可能,資料傳輸會受到加密保護,其中 CSC 本身會執行金鑰管理。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 8.2.0 |
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
| U.05.2 資料保護 - 密碼編譯量值 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | 在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 1.0.1 |
| U.07.1 資料隔離 - 已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補檔會以受控制的方式實現。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| U.07.3 資料區隔 - 管理功能 | U.07.3 | U.07.3 - 檢視或修改 CSC 資料和/或加密金鑰的權限會以受控制的方式授與,且使用上會有記錄。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| U.10.2 對 IT 服務和資料的存取權 - 使用者 | U.10.2 | 根據 CSP 的責任,會將存取權授與系統管理員。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| U.10.3 對 IT 服務和資料的存取 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| U.10.5 對 IT 服務和資料的存取 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| U.11.1 加密服務 - 原則 | U.11.1 | 在密碼編譯原則中,至少已詳細說明了符合 BIO 標準的主題。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 8.2.0 |
| U.11.2 加密服務 - 密碼編譯量值 | U.11.2 | 對於 PKIoverheid 憑證,請使用 PKIoverheid 需求進行金鑰管理。 在其他情況下,請使用 ISO11770。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 8.2.0 |
| U.11.3 Cryptoservices - 已加密 | U.11.3 | 敏感資料一律會使用由 CSC 管理的私密金鑰進行加密。 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
| U.11.3 Cryptoservices - 加密 | U.11.3 | 敏感資料一律會使用由 CSC 管理的私密金鑰進行加密。 | 在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 1.0.1 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用 Azure Kubernetes Service 中的資源記錄 | 1.0.0 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| IT 治理 | 1 | IT 治理-1 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 資訊和網路安全性 | 3.1.a | 資訊資產的識別和分類-3.1 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 資訊和網路安全性 | 3.1.c | 角色型存取控制-3.1 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 2.0.1 |
| 資訊和網路安全性 | 3.3 | 弱點管理-3.3 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 修補檔/弱點和變更管理 | 修補檔/弱點和變更管理-7.7 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 | |
| 進階即時威脅防禦與管理 | 進階即時威脅防禦與管理-13.2 | Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 2.0.1 | |
| 使用者存取控制/管理 | 使用者存取控制/管理-8.1 | 應在 Kubernetes 服務上使用角色型存取控制 (RBAC) | 1.0.4 |
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
西班牙 ENS
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於 Spain ENS 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 CCN-STIC 884。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 保護措施 | mp.s.3 | 服務保護 | 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 1.0.2 |
| 作業架構 | op.exp.2 | 作業 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
| 作業架構 | op.exp.3 | 作業 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
| 作業架構 | op.exp.4 | 作業 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
| 作業架構 | op.exp.5 | 作業 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
| 作業架構 | op.exp.6 | 作業 | Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 2.0.1 |
| 作業架構 | op.exp.6 | 作業 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
| 作業架構 | op.exp.6 | 作業 | 設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔 | 4.3.0 |
| 作業架構 | op.exp.7 | 作業 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 作業架構 | op.exp.8 | 作業 | 應啟用 Azure Kubernetes Service 中的資源記錄 | 1.0.0 |
| 作業架構 | op.mon.3 | 系統監視 | Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 1.0.1 |
SWIFT CSP-CSCF v2021
若要檢閱所有 Azure 服務的可用 Azure 原則內建項目與此合規性標準的對應,請參閱 SWIFT CSP-CSCF v2021 的 Azure 原則法規合規性詳細資料 (部分機器翻譯)。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2021 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| SWIFT 環境保護 | 1.4 | 網際網路存取的限制 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 降低受攻擊面和弱點 | 2.1 | 內部資料流程安全性 | Kubernetes 叢集應只能經由 HTTPS 存取 | 8.2.0 |
| 偵測系統或交易記錄的異常活動 | 6.2 | 軟體完整性 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
| 偵測系統或交易記錄的異常活動 | 6.5A | 入侵偵測 | Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 1.0.1 |
系統和組織控制 (SOC) 2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱適用於系統和組織控制 (SOC) 2 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱系統和組織控制 (SOC) 2。
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。
