Integrierte Azure Policy-Richtliniendefinitionen für Kubernetes mit Azure Arc-Unterstützung
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Kubernetes mit Azure Arc-Unterstützung. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure Arc-fähiges Kubernetes
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Vorschau]: Die Azure Backup-Erweiterung sollte in AKS-Clustern installiert sein. | Stellen Sie den Schutz dadurch sicher, dass die Sicherungserweiterung in Ihren AKS-Clustern installiert ist, um Azure Backup zu nutzen. Azure Backup for AKS ist eine sichere und cloudnative Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren von Kubernetes-Clustern mit Azure Arc-Unterstützung für die Installation der Microsoft Defender für Cloud-Erweiterung | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.3.0-preview |
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) mit einem bestimmten Tag | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern, die ein bestimmtes Tag enthalten. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Installieren der Azure Backup-Erweiterung in AKS-Clustern (verwalteter Cluster) ohne ein bestimmtes Tag | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern ohne einen bestimmten Tagwert. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. | Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. | Audit, Deny, Disabled | 2.3.0-preview |
Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein | Die Azure Policy-Erweiterung für Azure Arc bietet zentrale und konsistente Erzwingungs- und Schutzfunktionen für Ihre Kubernetes-Cluster mit Arc-Unterstützung. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
Azure Arc-fähige Kubernetes-Cluster sollten mit einem Azure Arc Private Link-Bereich konfiguriert werden. | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
Azure Arc-fähige Kubernetes-Cluster sollten die Open Service Mesh-Erweiterung installiert haben | Die Open Service Mesh-Erweiterung bietet alle standardmäßigen Service Mesh-Funktionen für Sicherheit, Datenverkehrsverwaltung und Einblick in Anwendungsdienste. Weitere Informationen finden Sie hier: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Für Azure Arc-fähige Kubernetes-Cluster muss die Strimzi Kafka-Erweiterung installiert sein | Die Strimzi Kafka-Erweiterung bietet den Operatoren die Möglichkeit, Kafka zum Erstellen von Echtzeitdatenpipelines und Streaminganwendungen mit Sicherheits- und Einblickfunktionen zu installieren. Weitere Informationen finden Sie hier: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc-fähige Kubernetes-Cluster für die Installation der Azure Policy-Erweiterung konfigurieren | Stellen Sie die Azure Policy-Erweiterung für Azure Arc bereit, um skalierbare Erzwingungs- und Schutzfunktionen zentral und einheitlich für Kubernetes-Cluster mit Arc-Unterstützung zur Verfügung zu stellen. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren von Azure Arc-fähigen Kubernetes-Cluster für die Verwendung eines Azure Arc Private Link-Bereichs | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch Zuordnen von Servern mit Azure Arc-Unterstützung zu einem Azure Arc Private Link-Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Datenleckrisiken verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Modify, Disabled | 1.0.0 |
Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster | Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket-SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein privates SSH-Schlüsselgeheimnis erforderlich, das in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition müssen HTTPS-Benutzer und -Schlüsselgeheimnisse in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition muss ein Geheimnis für einen privaten SSH-Schlüssel in Key Vault gespeichert werden. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind | Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.3.0 |
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden | Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. | Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden | Audit, Deny, Disabled | 3.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden | Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Kubernetes-Clusterpods und -container dürfen nur zulässige SELinux-Optionen verwenden. | Hiermit wird sichergestellt, dass Pods und Container nur zugelassene SELinux-Optionen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden | Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden | Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. | Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
Kubernetes-Cluster sollten keine Naked Pods verwenden | Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. | Audit, Deny, Disabled | 2.2.0 |
Windows-Container in Kubernetes-Clustern sollten CPU und Arbeitsspeicher nicht überlasten | Windows-Containerressourcenanforderungen müssen höchstens dem Ressourcenlimit entsprechen oder nicht angegeben sein, um einen übermäßigen Commit zu vermeiden. Wenn der Windows-Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger, anstatt den Container mit dem Fehler „Nicht genügend Arbeitsspeicher“ zu beenden. Dies kann die Leistung beeinträchtigen. | Audit, Deny, Disabled | 2.2.0 |
Windows-Container in Kubernetes-Clustern sollten nicht als ContainerAdministrator ausgeführt werden. | Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer*in zum Ausführen der Containerprozesse für Windows-Pods oder -Container. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.2.0 |
Windows-Container in Kubernetes-Clustern dürfen nur mit genehmigten Benutzer- und Domänenbenutzergruppen ausgeführt werden | Steuern Sie den Benutzer, mit dem Windows-Pods und -Container in einem Kubernetes-Cluster ausgeführt werden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien auf Windows-Knoten, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. | Audit, Deny, Disabled | 2.2.0 |
Kubernetes-Cluster-Windows-Pods sollten keine HostProcess-Container ausführen | Verhindern Sie den privilegierten Zugriff auf den Windows-Knoten. Diese Empfehlung soll die Sicherheit von Windows-Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.0.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit | ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.2.0 |
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden | Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben | Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.