Controlli di conformità alle normative di Criteri di Azure per il servizio Azure Kubernetes
La conformità alle normative in Criteri di Azure fornisce definizioni di iniziative (predefinite) create e gestite da Microsoft, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità e i controlli di sicurezza del servizio Azure Kubernetes.
È possibile assegnare singolarmente i criteri predefiniti per un controllo di sicurezza in modo da rendere le risorse di Azure conformi allo standard specifico.
Il titolo di ogni definizione di criterio predefinita punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione del criterio per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, il termine Conforme in Criteri di Azure si riferisce solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra i controlli e le definizioni di conformità alle normative di Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8.5 | Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8.5 | Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8.7 | Abilitare il controllo degli accessi in base al ruolo con il servizio Azure Kubernetes | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
CMMC Level 3
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Controllo dell’accesso | AC.1.001 | Limitare l'accesso al sistema informatico agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi informatici). | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Controllo dell’accesso | AC.1.002 | Limitare l'accesso al sistema informatico ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Controllo dell’accesso | AC.2.007 | Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Controllo dell’accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Gestione della configurazione | CM.2.062 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | 1.0.1 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
FedRAMP High
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
HIPAA HITRUST 9.2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per HIPAA HITRUST 9.2. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST 9.2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Gestione dei privilegi | 1149.01c2System.9 - 01.c | L'organizzazione facilita la condivisione di informazioni consentendo agli utenti autorizzati di determinare l'accesso di un partner aziendale quando è consentita la discrezionalità, come definito dall'organizzazione, e adottando processi manuali o meccanismi automatizzati per assistere gli utenti nelle decisioni riguardanti la condivisione di informazioni e la collaborazione. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| 11 Controllo di accesso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Accesso autorizzato ai sistemi informativi | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| 12 Registrazione di controllo e monitoraggio | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedure operative documentate | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
Criteri riservati di base di Microsoft Cloud for Sovereignty
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati della baseline di sovranità MCfS. Per altre informazioni su questo standard di conformità, vedere Portfolio di criteri di Microsoft Cloud for Sovereignty.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per l'uso di chiavi gestite dal cliente, quando possibile. | Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | 1.0.1 |
Microsoft Cloud Security Benchmark
Il benchmark della sicurezza del cloud Microsoft fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza del cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Microsoft Cloud Security Benchmark.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Sicurezza di rete | NS-2 | Proteggere i servizi cloud con controlli di rete | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Accesso con privilegi | PA-7 | Applicare all'amministrazione il principio dei privilegi minimi | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Protezione dei dati | DP-3 | Crittografare i dati sensibili in transito | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| Registrazione e rilevamento delle minacce | LT-1 | Abilitare le funzionalità di rilevamento delle minacce | I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-2 | Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi | I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-3 | Abilitare la registrazione per l'analisi della sicurezza | I log delle risorse del servizio Azure Kubernetes devono essere abilitati | 1.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Controllare e applicare configurazioni sicure | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | Correggere in modo rapido e automatico le vulnerabilità del software | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | 1.0.1 |
| Sicurezza di DevOps | DS-6 | Applicare la sicurezza del carico di lavoro nel ciclo di vita di DevOps | Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo dell’accesso | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | 1.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | 1.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.8 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. | Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | 1.0.1 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. | È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | 1.0.1 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| U.07.3 Separazione dei dati - Funzionalità di gestione | U.07.3 | U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| U.11.1 Criptoservizi - Criteri | U.11.1 | Nella politica crittografica, almeno i soggetti in conformità con BIO sono stati elaborati. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. | Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | 1.0.1 |
| U.11.3 Cryptoservices - Crittografati | U.11.3 | I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. | È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | 1.0.1 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | I log delle risorse del servizio Azure Kubernetes devono essere abilitati | 1.0.0 |
Reserve Bank of India, framework IT per NBFC
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Governance IT | 1 | Governance IT-1 | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Informazioni e sicurezza informatica | 3.1.a | Identificazione e classificazione delle risorse informative-3.1 | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Informazioni e sicurezza informatica | 3.1.c | Controllo degli accessi in base al ruolo-3.1 | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Informazioni e sicurezza informatica | 3.1.g | Trail-3.1 | I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Informazioni e sicurezza informatica | 3.3 | Gestione delle vulnerabilità-3.3 | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
Reserve Bank of India IT - Framework for Banks v2016
Per informazioni sul mapping delle impostazioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Patch/Vulnerabilità e gestione del cambiamento | Patch/Vulnerabilità e gestione del cambiamento-7.7 | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 | |
| Gestione e difesa avanzata dalle minacce in tempo reale | Difesa e gestione avanzata delle minacce in tempo reale-13.2 | I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 | |
| Controllo di accesso utente/Gestione | Controllo di accesso utente/Gestione-8.1 | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
RMIT Malaysia
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
Spain ENS
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per Spagna ENS. Per altre informazioni su questo standard di conformità, vedere CCN-STIC 884.
SWIFT CSP-CSCF v2021
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
Controlli di sistema e organizzazione (SOC) 2
Per esaminare il mapping delle impostazioni predefinite di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i Controlli del sistema e dell’organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2.
| Domain | ID controllo | Titolo controllo | Criteri (Portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| Controlli di accesso logici e fisici | CC6.3 | Controllo degli accessi in base al ruolo e privilegi minimi | Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | 1.0.4 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 8.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| Operazioni di sistema | CC7.2 | Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali | I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | 5.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | 6.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 7.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
Passaggi successivi
- Altre informazioni sulla conformità alle normative di Criteri di Azure.
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
Collabora con noi su GitHub
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
Azure Kubernetes Service