在 Azure 原則 中,法規遵循 提供由 Microsoft 建立和管理的倡議定義(內建),涵蓋與各種合規標準相關的合規領域和安全控管。 本頁列出 Azure Kubernetes Service (AKS) 合規領域及安全控制措施。
你可以分別指派內建的 安全控制,協助您的 Azure 資源符合特定標準。
每個內建政策定義的標題都會連結到 Azure 入口網站中的政策定義。 請使用Policy Version欄位中的連結,查看 Azure 原則 GitHub repo 的原始碼。
重要事項
每個控制項都對應一個或多個Azure 原則定義。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則 中的 Compliant 僅指政策本身。 這不保證您完全符合控制項的所有要求。 此外,合規標準還包含目前任何 Azure 原則 定義未涵蓋的控制措施。 因此,Azure 原則 中的合規性只是你整體合規狀態的部分視圖。 這些合規標準的控制與 Azure 原則 法規合規定義之間的關聯,可能會隨時間改變。
CIS Microsoft Azure 基础基准 1.1.0
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.5 | 在 Azure Kubernetes Services 中啟用基於角色的存取控制(RBAC) | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
欲檢視所有Azure服務內建的可用Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - CIS Microsoft Azure Foundations 基準 1.3.0。 欲了解更多關於此合規標準的資訊,請參閱 CIS Microsoft Azure Foundations Benchmark。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.5 | 在 Azure Kubernetes Services 中啟用基於角色的存取控制(RBAC) | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
CIS Microsoft Azure 基礎基準 1.4.0
欲檢視所有Azure服務的可用Azure 原則整合功能如何對應此合規標準,請參閱 Azure 原則 CIS v1.4.0 的法規合規細節。 欲了解更多關於此合規標準的資訊,請參閱 CIS Microsoft Azure Foundations Benchmark。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 8 其他安全性考量 | 8.7 | 在 Azure Kubernetes Services 中啟用基於角色的存取控制(RBAC) | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
CMMC 第 3 級
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - CMMC Level 3。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 存取控制 | AC.1.001 | 限制資訊系統存取授權使用者、代表授權使用者的程序及裝置 (包括其他資訊系統)。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 存取控制 | AC.1.002 | 限制資訊系統存取允許授權使用者執行的交易類型和功能。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | AC.2.007 | 採用最低權限準則,包括特定安全性功能和特殊權限帳戶。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | AC.2.016 | 根據已核准的授權來控制 CUI 流程。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 組態管理 | CM.2.062 | 將組織系統設為只提供基本功能,即可採用最少功能的原則。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 組態管理 | CM.3.068 | 限制、停用或防止使用不必要的程式、函式、連接埠、通訊協定和服務。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 風險評估 | RM.2.143 | 根據風險評量補救弱點。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 系統與通訊保護 | SC.1.175 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 系統與通訊保護 | SC.3.177 | 採用 FIPS 驗證的加密來保護 CUI 的機密性。 | 1.0.1 | |
| 系統與通訊保護 | SC.3.183 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 系統和資訊完整性 | SI.1.210 | 及時識別、報告及修正資訊和資訊系統缺陷。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
FedRAMP High
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High \(英文\)。
FedRAMP Moderate
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate \(英文\)。
HIPAA HITRUST(健康信息可移植性和责任法案及信息信託協會標準)
欲檢視所有Azure服務的內建Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - HIPAA HITRUST。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 權限管理 | 1149.01c2系統.9 - 01.c | 當組織所定義的內容允許使用者具有自行處理權時,組織會藉由讓授權的使用者決定企業合作夥伴的存取權,來促進檔案共用,並採用手動程序或自動化機制來協助使用者做出資訊共用/共同作業的決策。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 11 存取控制 | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 對資訊系統的授權存取 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 12 稽核記錄和監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 已記錄的操作程序 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
Microsoft Cloud for Sovereignty 基礎機密政策
欲檢視所有 Azure 服務的 Azure 原則 內建功能如何對應此合規標準,請參閱 Azure 原則 法規合規性詳細資料:MCfS 主權基線機密政策。 欲了解更多合規標準資訊,請參閱 Microsoft Cloud for Sovereignty政策組合。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SO.3 - 客戶自控金鑰 | SO.3 | Azure產品必須在可能的情況下配置為使用 Customer-Managed Keys。 | 1.0.1 |
Microsoft 雲端安全基準測試
Microsoft雲端安全基準提供如何在Azure上保障雲端解決方案安全的建議。 想了解這項服務如何完全對應到Microsoft雲端安全基準,請參閱 Azure 安全基準測試映射檔案。
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - Microsoft雲端安全基準。
NIST SP 800-171 R2
欲檢視所有Azure服務的內建Azure 原則如何對應此合規標準,請參閱 Azure 原則 法規遵循 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | 3.1.3 | 根據已核准的授權來控制 CUI 流程。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.1 | 監視、控制和保護通訊 (也就是組織系統所傳輸或接收的資訊),其範圍是組織系統的外部界限和關鍵內部界限。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.10 | 建立及管理組織性系統中所使用加密的密碼金鑰。 | 1.0.1 | |
| 系統與通訊保護 | 3.13.16 | 保護待用 CUI 的機密性。 | 暫存磁碟與 Azure Kubernetes Service 叢集中代理節點池的快取應於主機上加密 | 1.0.1 |
| 系統與通訊保護 | 3.13.2 | 採用架構設計、軟體發展技術和系統工程原則,在組織系統中提升有效的資訊安全性。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.5 | 針對實體或邏輯上與內部網路區隔的可公開存取的系統元件實作子網路。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.6 | 預設拒絕網路通訊流量,並依例外狀況允許網路通訊流量 (亦即全部拒絕,依例外狀況允許)。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 系統與通訊保護 | 3.13.8 | 實作密碼編譯機制,以防止在傳輸期間未經授權洩漏 CUI,除非受到其他實體保護。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
| 系統和資訊完整性 | 3.14.1 | 及時識別、報告及更正系統缺陷。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Azure 原則 Kubernetes 服務外掛(AKS)應該安裝並啟用於你的叢集 | 1.0.2 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集容器 CPU 及記憶體資源限制不應超過指定的限制 | 9.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集容器不應共用主機命名空間 | 6.0.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.1 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 6.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.3.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集服務應該只會接聽允許的連接埠 | 8.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| 組態管理 | 3.4.1 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | Kubernetes 叢集不應允許容器提升權限 | 8.0.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Azure 原則 Kubernetes 服務外掛(AKS)應該安裝並啟用於你的叢集 | 1.0.2 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集容器 CPU 及記憶體資源限制不應超過指定的限制 | 9.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集容器不應共用主機命名空間 | 6.0.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.1 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 6.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.3.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集服務應該只會接聽允許的連接埠 | 8.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| 組態管理 | 3.4.2 | 建立及強制執行組織系統中資訊技術產品的安全性群組原則設定。 | Kubernetes 叢集不應允許容器提升權限 | 8.0.0 |
NIST SP 800-53 修訂版 4
欲檢視所有Azure服務的內建Azure 原則如何對應此合規標準,請參閱Azure 原則 法規遵循 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4。
NIST SP 800-53 修訂版 5
欲檢視所有Azure服務內建Azure 原則如何對應此合規標準,請參閱Azure 原則法規遵循 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5 \(英文\)。
NL BIO 雲端主題
欲檢視所有Azure服務內建的Azure 原則如何映射此合規標準,請參閱 Azure 原則 NL BIO Cloud 主題的法規合規細節。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性:數位政府 (digitaleoverheid.nl)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| C.04.3 技術弱點管理 - 時間表 | C.04.3 | 如果濫用和預期的損害都很可能出現,則將在一週內安裝修補檔。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| C.04.6 技術弱點管理 - 時間表 | C.04.6 | 技術弱點可藉由及時執行修補檔管理來補救。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Azure 原則 Kubernetes 服務外掛(AKS)應該安裝並啟用於你的叢集 | 1.0.2 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集容器 CPU 及記憶體資源限制不應超過指定的限制 | 9.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集容器不應共用主機命名空間 | 6.0.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | 6.2.1 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 6.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 6.3.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集服務應該只會接聽允許的連接埠 | 8.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集應停用自動掛接 API 認證 | 4.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應允許容器提升權限 | 8.0.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 5.1.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 叢集不應使用預設命名空間 | 4.2.0 |
| C.04.7 技術弱點管理 - 已評估 | C.04.7 | 系統會記錄並報告技術弱點的評估。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| U.05.1 資料保護 - 密碼編譯量值 | U.05.1 | 如果可能,資料傳輸會受到加密保護,其中 CSC 本身會執行金鑰管理。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | 1.0.1 | |
| U.05.2 資料保護 - 加密措施 | U.05.2 | 儲存在雲端服務的資料應受到最新先進技術的保護。 | 暫存磁碟與 Azure Kubernetes Service 叢集中代理節點池的快取應於主機上加密 | 1.0.1 |
| U.07.1 資料隔離 - 已隔離 | U.07.1 | 資料的永久隔離是多租用戶結構。 修補會以受控制的方式實現。 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| U.07.3 資料區隔 - 管理功能 | U.07.3 | U.07.3 - 檢視或修改 CSC 資料和/或加密金鑰的權限會以受控制的方式授與,且使用上會有記錄。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| U.09.3 惡意程式碼保護 - 偵測、預防及復原 | U.09.3 | 惡意程式碼防護可在不同的環境中執行。 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| U.10.2 對 IT 服務和資料的存取 - 使用者 | U.10.2 | 根據 CSP 的責任,將存取權授與系統管理員。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| U.10.3 對 IT 服務和資料的存取 - 使用者 | U.10.3 | 使用者須具有已驗證的設備,才能存取 IT 服務和資料。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| U.10.5 對 IT 服務和資料的存取 - 合格人員 | U.10.5 | 對 IT 服務和資料的存取受到技術措施的限制,且已實作。 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| U.11.1 加密服務 - 原則 | U.11.1 | 在加密原則中,至少已制定了符合 BIO 的主題。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
| U.11.2 加密服務 - 密碼編譯量值 | U.11.2 | 對於 PKIoverheid 憑證,請使用 PKIoverheid 需求進行金鑰管理。 在其他情況下,請使用 ISO11770。 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
| U.11.3 加密服務 - 已加密 | U.11.3 | 敏感性資料一律使用由 CSC 管理的私密金鑰進行加密。 | 1.0.1 | |
| U.11.3 加密服務 - 已加密 | U.11.3 | 敏感性資料一律使用由 CSC 管理的私密金鑰進行加密。 | 暫存磁碟與 Azure Kubernetes Service 叢集中代理節點池的快取應於主機上加密 | 1.0.1 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用 Azure Kubernetes Service 中的資源日誌 | 1.0.0 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
欲檢視所有適用於Azure服務的Azure 原則內建功能如何對應到此合規標準,請參閱Azure 原則監管合規 - 印度儲備銀行 - NBFC的IT框架。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| IT 治理 | 1 | IT 治理-1 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 資訊和網路安全性 | 3.1.a | 資訊資產的識別和分類-3.1 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 資訊和網路安全性 | 3.1.c | 基於角色的存取控制-3.1 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Azure Kubernetes Service叢集應該啟用Defender設定檔 | 2.0.1 |
| 資訊和網路安全性 | 3.3 | 弱點管理-3.3 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
印度儲備銀行 - 銀行的 IT 架構 v2016
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱Azure 原則 Regulatory Compliance - RBI ITF Banks v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 修補檔/弱點和變更管理 | 修補檔/弱點和變更管理-7.7 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 | |
| 進階即時威脅防禦與管理 | 進階即時威脅防禦與管理-13.2 | Azure Kubernetes Service叢集應該啟用Defender設定檔 | 2.0.1 | |
| 使用者訪問控制/管理 | 使用者存取控制/管理-8.1 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
RMIT 馬來西亞
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 Regulatory Compliance - RMIT Malaysia。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| Cryptography | 10.19 | 密碼加密 - 10.19 | 1.0.1 | |
| 存取控制 | 10.54% | 存取控制 - 10.54 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | 10.55 | 存取控制 - 10.55 | Kubernetes 叢集中的容器只能使用允許的功能 | 6.2.0 |
| 存取控制 | 10.55 | 訪問控制 - 10.55 | Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 6.3.0 |
| 存取控制 | 10.55 | 存取控制 - 10.55 | Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 6.2.0 |
| 存取控制 | 10.55 | 訪問控制 - 10.55 | 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 9.2.0 |
| 存取控制 | 10.55 | 訪問控制 - 10.55 | Kubernetes 叢集不應允許容器提升權限 | 8.0.0 |
| 存取控制 | 10.60 | 存取控制 (存取控制) - 10.60 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | 10.61 | 存取控制 - 10.61 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 存取控制 | 10.62 | 存取控制 - 10.62 | Role-Based 存取控制(RBAC)應用於Kubernetes Services | 1.1.0 |
| 修補程式和生命週期結束系統管理 | 10.65 | 修補程式和生命週期結束系統管理 - 10.65 | Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 1.0.2 |
| 安全性作業中心 (SOC) | 11.17 | 安全性作業中心 (SOC) - 11.17 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 網路安全性控制措施 | 附錄 5.5 | 網路安全性控制措施 - 附錄 5.5 | Kubernetes 叢集服務應只可使用允許的外部 IP | 5.2.0 |
| 網路安全性控制措施 | 附錄 5.6 | 網路安全性控制措施 - 附錄 5.6 | Kubernetes 叢集中的 Pod 應該只使用已核准的主機網路和連接埠清單 | 7.0.0 |
| 網路安全性控制措施 | 附錄 5.6 | 網路安全性控制措施 - 附錄 5.6 | Kubernetes 叢集服務應該只會接聽允許的連接埠 | 8.2.0 |
| 網路安全性控制措施 | 附錄 5.6 | 網路安全性控制措施 - 附錄 5.6 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
西班牙 ENS
欲檢視適用於所有 Azure 服務的內建 Azure 原則 如何對應至此合規標準,請參閱 西班牙 ENS 的 Azure 原則 法規合規細節。 如需此合規性標準的詳細資訊,請參閱 CCN-STIC 884。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 保護措施 | mp.s.3 | 服務的保護 | Azure 原則 Kubernetes 服務外掛(AKS)應該安裝並啟用於你的叢集 | 1.0.2 |
| 作業架構 | op.exp.2 | 作業 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
| 作業架構 | op.exp.3 | 作業 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
| 作業架構 | op.exp.4 | 作業 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
| 作業架構 | op.exp.5 | 作業 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
| 作業架構 | op.exp.6 | 作業 | Azure Kubernetes Service叢集應該啟用Defender設定檔 | 2.0.1 |
| 作業架構 | op.exp.6 | 作業 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
| 作業架構 | op.exp.6 | 作業 | 配置Azure Kubernetes Service叢集以啟用Defender設定檔 | 4.3.0 |
| 作業架構 | op.exp.7 | 作業 | Kubernetes 叢集容器應該只使用允許的映像檔 | 9.3.0 |
| 作業架構 | op.exp.8 | 作業 | 應啟用 Azure Kubernetes Service 中的資源日誌 | 1.0.0 |
| 作業架構 | op.mon.3 | 系統監視 | Azure執行容器映像檔時,漏洞應該已解決(由 Microsoft Defender 弱點管理 驅動) | 1.0.1 |
SWIFT CSP-CSCF v2021
欲檢視所有Azure服務內建的可用Azure 原則如何對應此合規標準,請參閱 Azure 原則 SWIFT CSP-CSCF v2021 法規合規細節。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2021 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure portal) |
原則版本 (GitHub) |
|---|---|---|---|---|
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| SWIFT 環境保護 | 1.4 | 網際網路存取的限制 | Kubernetes Services 上應定義授權 IP 範圍 | 2.0.1 |
| 減少攻擊面和漏洞 | 2.1 | 內部資料流安全 | Kubernetes 叢集應只能經由 HTTPS 存取 | 9.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.2 | 軟體完整性 | 1.0.1 | |
| 偵測系統或交易記錄的異常活動 | 6.5A | 入侵偵測 | 1.0.1 |
系統與組織控制 (SOC) 2
欲檢視所有Azure服務內建的Azure 原則如何對應此合規標準,請參閱 Azure 原則 系統與組織控制(SOC) 2 的法規合規細節。 如需此合規性標準的詳細資訊,請參閱系統和組織控制 (SOC) 2。
後續步驟
- 了解更多關於Azure 原則法規遵循。
- 請參考 Azure 原則 GitHub 倉庫 上的內建功能。