Wbudowane definicje usługi Azure Policy dla usługi Azure Kubernetes Service
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Kubernetes Service. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Inicjatywy
Nazwa/nazwisko | opis | Zasady | Wersja |
---|---|---|---|
[Wersja zapoznawcza]: Użyj integralności obrazu, aby upewnić się, że wdrażane są tylko zaufane obrazy | Użyj integralności obrazów, aby zapewnić, że klastry usługi AKS wdrażają tylko zaufane obrazy, włączając integralność obrazów i dodatki usługi Azure Policy w klastrach usługi AKS. Dodatek integralności obrazów i dodatek usługi Azure Policy to wymagania wstępne dotyczące używania integralności obrazu w celu sprawdzenia, czy obraz jest podpisany podczas wdrażania. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
[Wersja zapoznawcza]: Zabezpieczenia wdrożenia powinny pomóc deweloperom w kierunku zalecanych najlepszych rozwiązań usługi AKS | Kolekcja najlepszych rozwiązań platformy Kubernetes zalecanych przez usługę Azure Kubernetes Service (AKS). Aby uzyskać najlepsze środowisko, użyj zabezpieczeń wdrożenia, aby przypisać tę inicjatywę zasad: https://aka.ms/aks/deployment-safeguards. Dodatek usługi Azure Policy dla usługi AKS jest warunkiem wstępnym zastosowania tych najlepszych rozwiązań w klastrach. Aby uzyskać instrukcje dotyczące włączania dodatku usługi Azure Policy, przejdź do aka.ms/akspolicydoc | 20 | 1.9.0—wersja zapoznawcza |
Standardy punktu odniesienia zabezpieczeń zasobnika klastra Kubernetes dla obciążeń opartych na systemie Linux | Ta inicjatywa obejmuje zasady dotyczące standardów punktu odniesienia zabezpieczeń zasobników klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
Standardy z ograniczeniami zabezpieczeń zasobników klastra Kubernetes dla obciążeń opartych na systemie Linux | Ta inicjatywa obejmuje zasady dotyczące standardów z ograniczeniami zabezpieczeń zasobników klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definicje zasad
Microsoft.ContainerService
Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
---|---|---|---|
[Wersja zapoznawcza]: [Integralność obrazu] Klastry Kubernetes powinny używać tylko obrazów podpisanych za pomocą notacji | Użyj obrazów podpisanych za pomocą notacji, aby upewnić się, że obrazy pochodzą z zaufanych źródeł i nie zostaną złośliwie zmodyfikowane. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity | Inspekcja, wyłączone | 1.1.0-preview |
[Wersja zapoznawcza]: Rozszerzenie usługi Azure Backup powinno być zainstalowane w klastrach usługi AKS | Upewnij się, że instalacja rozszerzenia kopii zapasowej w klastrach usługi AKS umożliwia korzystanie z usługi Azure Backup. Usługa Azure Backup for AKS to bezpieczne rozwiązanie do ochrony danych natywnych dla chmury dla klastrów usługi AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Usługa Azure Backup powinna być włączona dla klastrów usługi AKS | Zapewnij ochronę klastrów usługi AKS, włączając usługę Azure Backup. Usługa Azure Backup dla usługi AKS to bezpieczne i natywne rozwiązanie do ochrony danych w chmurze dla klastrów usługi AKS. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Klastry zarządzane usługi Azure Kubernetes Service powinny być strefowo nadmiarowe | Klastry zarządzane usługi Azure Kubernetes Service można skonfigurować jako strefowo nadmiarowe lub nie. Zasady sprawdzają pule węzłów w klastrze i zapewniają, że wszystkie pule węzłów są ustawione dla wszystkich pul węzłów. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
[Wersja zapoznawcza]: Nie można edytować poszczególnych węzłów | Nie można edytować poszczególnych węzłów. Użytkownicy nie powinni edytować poszczególnych węzłów. Edytuj pule węzłów. Modyfikowanie poszczególnych węzłów może prowadzić do niespójnych ustawień, wyzwań operacyjnych i potencjalnych zagrożeń bezpieczeństwa. | Inspekcja, Odmowa, Wyłączone | 1.3.0—wersja zapoznawcza |
[Wersja zapoznawcza]: Wdrażanie integralności obrazów w usłudze Azure Kubernetes Service | Wdróż zarówno integralność obrazu, jak i dodatki zasad w klastrach Usługi Azure Kubernetes. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5—wersja zapoznawcza |
[Wersja zapoznawcza]: Zainstaluj rozszerzenie usługi Azure Backup w klastrach usługi AKS (klaster zarządzany) przy użyciu danego tagu. | Instalowanie rozszerzenia usługi Azure Backup jest warunkiem wstępnym ochrony klastrów usługi AKS. Wymuszanie instalacji rozszerzenia kopii zapasowej we wszystkich klastrach usługi AKS zawierających dany tag. Może to pomóc w zarządzaniu kopiami zapasowymi klastrów usługi AKS na dużą skalę. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Zainstaluj rozszerzenie usługi Azure Backup w klastrach usługi AKS (klaster zarządzany) bez danego tagu. | Instalowanie rozszerzenia usługi Azure Backup jest warunkiem wstępnym ochrony klastrów usługi AKS. Wymuszanie instalacji rozszerzenia kopii zapasowej we wszystkich klastrach usługi AKS bez określonej wartości tagu. Może to pomóc w zarządzaniu kopiami zapasowymi klastrów usługi AKS na dużą skalę. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Obrazy kontenerów klastra Kubernetes muszą zawierać punkt zaczepienia preStop | Wymaga, aby obrazy kontenerów zawierały element preStop, aby bezpiecznie zakończyć procesy podczas zamykania zasobnika. | Inspekcja, Odmowa, Wyłączone | 1.1.0-preview |
[Wersja zapoznawcza]: obrazy kontenerów klastra Kubernetes nie powinny zawierać najnowszego tagu obrazu | Wymaga, aby obrazy kontenerów nie używały najnowszego tagu w rozwiązaniu Kubernetes. Najlepszym rozwiązaniem jest zapewnienie powtarzalności, zapobieganie niezamierzonym aktualizacjom oraz ułatwia debugowanie i wycofywanie przy użyciu jawnych i wersjonowanych obrazów kontenerów. | Inspekcja, Odmowa, Wyłączone | 1.1.0-preview |
[Wersja zapoznawcza]: Kontenery klastra Kubernetes powinny ściągać obrazy tylko wtedy, gdy istnieją wpisy tajne ściągania obrazu | Ograniczanie ściągania obrazów kontenerów w celu wymuszenia obecności elementów ImagePullSecrets, zapewniając bezpieczny i autoryzowany dostęp do obrazów w klastrze Kubernetes | Inspekcja, Odmowa, Wyłączone | 1.2.0-preview |
[Wersja zapoznawcza]: Usługi klastra Kubernetes powinny używać unikatowych selektorów | Upewnij się, że usługi w przestrzeni nazw mają unikatowe selektory. Unikatowy selektor usług zapewnia, że każda usługa w przestrzeni nazw jest unikatowo możliwa do zidentyfikowania na podstawie określonych kryteriów. Te zasady synchronizują zasoby przychodzące z OPA za pośrednictwem usługi Gatekeeper. Przed zastosowaniem sprawdź, czy pojemność pamięci zasobników usługi Gatekeeper nie zostanie przekroczona. Parametry mają zastosowanie do określonych przestrzeni nazw, ale synchronizuje wszystkie zasoby tego typu we wszystkich przestrzeniach nazw. Obecnie w wersji zapoznawczej usługi Kubernetes Service (AKS). | Inspekcja, Odmowa, Wyłączone | 1.2.0-preview |
[Wersja zapoznawcza]: Klaster Kubernetes powinien implementować dokładne budżety zakłóceń zasobników | Zapobiega wadliwym budżetom zakłóceń zasobników, zapewniając minimalną liczbę zasobników operacyjnych. Szczegółowe informacje można znaleźć w oficjalnej dokumentacji platformy Kubernetes. Opiera się na replikacji danych usługi Gatekeeper i synchronizuje wszystkie zasoby ruchu przychodzącego z zakresem OPA. Przed zastosowaniem tych zasad upewnij się, że zsynchronizowane zasoby ruchu przychodzącego nie będą obciążać pojemności pamięci. Chociaż parametry oceniają określone przestrzenie nazw, wszystkie zasoby tego rodzaju w przestrzeniach nazw zostaną zsynchronizowane. Uwaga: obecnie w wersji zapoznawczej usługi Kubernetes Service (AKS). | Inspekcja, Odmowa, Wyłączone | 1.3.0—wersja zapoznawcza |
[Wersja zapoznawcza]: Klastry Kubernetes powinny ograniczyć tworzenie danego typu zasobu | Biorąc pod uwagę typ zasobu Kubernetes, nie należy wdrażać w określonej przestrzeni nazw. | Inspekcja, Odmowa, Wyłączone | Wersja zapoznawcza 2.3.0 |
[Wersja zapoznawcza]: musi mieć zestaw reguł koligacji przeciw koligacji | Te zasady zapewniają, że zasobniki są zaplanowane na różnych węzłach w klastrze. Wymuszając reguły koligacji, dostępność jest utrzymywana nawet wtedy, gdy jeden z węzłów stanie się niedostępny. Zasobniki będą nadal działać w innych węzłach, zwiększając odporność. | Inspekcja, Odmowa, Wyłączone | 1.2.0-preview |
[Wersja zapoznawcza]: Zmutuj kontener K8s, aby usunąć wszystkie możliwości | Mutates securityContext.capabilities.drop, aby dodać element "ALL". Spowoduje to porzucenie wszystkich możliwości kontenerów systemu Linux k8s | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Zmutuj kontener init K8s, aby usunąć wszystkie możliwości | Mutates securityContext.capabilities.drop, aby dodać element "ALL". Spowoduje to porzucenie wszystkich możliwości kontenerów init systemu Linux k8s | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Brak etykiet specyficznych dla usługi AKS | Uniemożliwia klientom stosowanie określonych etykiet usługi AKS. Usługa AKS używa etykiet poprzedzonych prefiksem kubernetes.azure.com , aby oznaczyć składniki należące do usługi AKS. Klient nie powinien używać tych etykiet. |
Inspekcja, Odmowa, Wyłączone | 1.2.0-preview |
[Wersja zapoznawcza]: uniemożliwia uruchamianie kontenerów jako katalog główny przez ustawienie wartości runAsNotRoot na true. | Ustawienie parametru runAsNotRoot na wartość true zwiększa bezpieczeństwo, uniemożliwiając uruchamianie kontenerów jako katalog główny. | Mutate, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Uniemożliwia uruchamianie kontenerów inicjowania jako katalogu głównego przez ustawienie właściwości runAsNotRoot na true. | Ustawienie parametru runAsNotRoot na wartość true zwiększa bezpieczeństwo, uniemożliwiając uruchamianie kontenerów jako katalog główny. | Mutate, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Drukuje komunikat, jeśli jest stosowana mutacja | Wyszukuje zastosowane adnotacje mutacji i wyświetla komunikat, jeśli adnotacja istnieje. | Inspekcja, wyłączone | 1.1.0-preview |
[Wersja zapoznawcza]: Zarezerwowane zabezpieczenia puli systemu | Ogranicza właściwości CriticalAddonsOnly tylko do puli systemowej. Usługa AKS używa właściwości CriticalAddonsOnly, aby uniemożliwić zasobnikom klientów z dala od puli systemu. Zapewnia to wyraźne rozdzielenie składników usługi AKS i zasobników klientów, a także uniemożliwia eksmitowanie zasobników klientów, jeśli nie tolerują defektu CriticalAddonsOnly. | Inspekcja, Odmowa, Wyłączone | 1.2.0-preview |
[Wersja zapoznawcza]: ogranicza parametr CriticalAddonsOnly tylko do puli systemu. | Aby uniknąć eksmisji aplikacji użytkowników z pul użytkowników i zachować separację problemów między pulami użytkowników i pul systemowych, nie należy stosować defektu "CriticalAddonsOnly" do pul użytkowników. | Mutate, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Ustawia wartość automountServiceAccountToken w specyfikacji zasobnika w kontenerach na wartość false. | Ustawienie ustawienia automountServiceAccountToken na wartość false zwiększa bezpieczeństwo, unikając domyślnego automatycznego instalowania tokenów konta usługi | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Ustawia pola kontenera klastra KubernetesContext.runAsUser na 1000, identyfikator użytkownika innego niż główny | Zmniejsza obszar ataków, eskalując uprawnienia jako użytkownik główny w obecności luk w zabezpieczeniach. | Mutate, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Ustawia limity procesora CPU kontenerów klastra Kubernetes na wartości domyślne w przypadku braku. | Ustawianie limitów procesora CPU kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. | Mutate, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Ustawia limity pamięci kontenerów klastra Kubernetes na wartości domyślne w przypadku braku. | Ustawianie limitów pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. | Mutate, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Ustawia typ profilu trybu bezpiecznego przetwarzania kontenerów klastra Kubernetes na runtimeDefault, jeśli nie istnieje. | Ustawianie typu profilu trybu bezpiecznego przetwarzania dla kontenerów, aby zapobiec nieautoryzowanemu i potencjalnie szkodliwemu wywołaniu systemu do jądra z miejsca użytkownika. | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Ustawia pola kontenerów inicjowania klastra Kubernetes securityContext.runAsUser na 1000, identyfikator użytkownika innego niż główny | Zmniejsza obszar ataków, eskalując uprawnienia jako użytkownik główny w obecności luk w zabezpieczeniach. | Mutate, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: Ustawia typ profilu trybu bezpiecznego trybu obliczeniowego klastra Kubernetes klastra Kubernetes na runtimeDefault, jeśli nie istnieje. | Ustawianie typu profilu trybu bezpiecznego przetwarzania dla kontenerów inicjowania, aby zapobiec nieautoryzowanemu i potencjalnie szkodliwemu wywołaniu systemu do jądra z przestrzeni użytkownika. | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Ustawia pola zasobnika klastra KubernetesContext.runAsUser na 1000, identyfikator użytkownika innego niż główny | Zmniejsza obszar ataków, eskalując uprawnienia jako użytkownik główny w obecności luk w zabezpieczeniach. | Mutate, Disabled | 1.0.0-preview |
[Wersja zapoznawcza]: ustawia wartość maxUnavailable zasobników na 1 dla zasobów zasobników PodDisruptionBudget | Ustawienie maksymalnej niedostępnej wartości zasobnika na 1 zapewnia dostępność aplikacji lub usługi podczas zakłóceń | Mutate, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Ustawia eskalację uprawnień w kontenerach inicjowania zasobnika na wartość false. | Ustawienie eskalacji uprawnień na wartość false w kontenerach inicjowania zwiększa bezpieczeństwo, uniemożliwiając kontenerom eskalowanie uprawnień, na przykład za pomocą trybu pliku set-user-ID lub set-group-ID. | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Ustawia eskalację uprawnień w specyfikacji zasobnika na wartość false. | Ustawienie eskalacji uprawnień na wartość false zwiększa bezpieczeństwo, uniemożliwiając kontenerom zezwolenie na eskalację uprawnień, na przykład za pomocą trybu pliku set-user-ID lub set-group-ID. | Mutate, Disabled | 1.1.0-preview |
[Wersja zapoznawcza]: Ustawia parametr readOnlyRootFileSystem w specyfikacji zasobnika w kontenerach inicjowania na wartość true, jeśli nie został ustawiony. | Ustawienie parametru readOnlyRootFileSystem na wartość true zwiększa bezpieczeństwo, uniemożliwiając kontenerom zapisywanie w głównym systemie plików. Działa to tylko w przypadku kontenerów systemu Linux. | Mutate, Disabled | 1.2.0-preview |
[Wersja zapoznawcza]: Ustawia właściwość readOnlyRootFileSystem w specyfikacji zasobnika na wartość true, jeśli nie jest ustawiona. | Ustawienie parametru readOnlyRootFileSystem na wartość true zwiększa bezpieczeństwo, uniemożliwiając kontenerom zapisywanie w głównym systemie plików | Mutate, Disabled | 1.2.0-preview |
Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
Klastry usługi Azure Kubernetes powinny wyłączyć protokół SSH | Wyłączenie protokołu SSH umożliwia zabezpieczanie klastra i zmniejszanie obszaru ataków. Aby dowiedzieć się więcej, odwiedź stronę: aka.ms/aks/disablessh | Inspekcja, wyłączone | 1.0.0 |
Klastry Usługi Azure Kubernetes powinny włączyć interfejs magazynu kontenerów (CSI) | Interfejs magazynu kontenerów (CSI) jest standardem służącym do uwidaczniania dowolnych systemów magazynowania bloków i plików w konteneryzowanych obciążeniach w usłudze Azure Kubernetes Service. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver | Inspekcja, wyłączone | 1.0.0 |
Klastry usługi Azure Kubernetes powinny włączyć usługa zarządzania kluczami (KMS) | Użyj usługa zarządzania kluczami (KMS) do szyfrowania danych tajnych magazynowanych w magazynie itp. na potrzeby zabezpieczeń klastra Kubernetes. Dowiedz się więcej na stronie: https://aka.ms/aks/kmsetcdencryption. | Inspekcja, wyłączone | 1.0.0 |
Klastry Usługi Azure Kubernetes powinny używać usługi Azure CNI | Usługa Azure CNI jest wymaganiem wstępnym dla niektórych funkcji usługi Azure Kubernetes Service, w tym zasad sieci platformy Azure, pul węzłów systemu Windows i dodatków węzłów wirtualnych. Dowiedz się więcej na stronie: https://aka.ms/aks-azure-cni | Inspekcja, wyłączone | 1.0.1 |
Klastry usługi Azure Kubernetes Service powinny wyłączyć wywołanie polecenia | Wyłączenie wywołania polecenia może zwiększyć bezpieczeństwo, unikając obejścia ograniczonego dostępu do sieci lub kontroli dostępu opartej na rolach platformy Kubernetes | Inspekcja, wyłączone | 1.0.1 |
Klastry usługi Azure Kubernetes Service powinny włączyć automatyczne uaktualnianie klastra | Automatyczne uaktualnianie klastra usługi AKS może zapewnić aktualność klastrów i nie przegap najnowszych funkcji ani poprawek z usługi AKS i nadrzędnej platformy Kubernetes. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Inspekcja, wyłączone | 1.0.0 |
Klastry usługi Azure Kubernetes Service powinny włączyć narzędzie Image Cleaner | Narzędzie Image Cleaner wykonuje automatyczną identyfikację i usuwanie nieużywanych obrazów, co zmniejsza ryzyko nieaktualnych obrazów i skraca czas wymagany do ich oczyszczenia. Dowiedz się więcej na stronie: https://aka.ms/aks/image-cleaner. | Inspekcja, wyłączone | 1.0.0 |
Klastry usługi Azure Kubernetes Service powinny włączyć integrację identyfikatora Entra firmy Microsoft | Integracja tożsamości entra firmy Microsoft zarządza dostępem do klastrów zarządzanych przez usługę AKS, konfigurując kontrolę dostępu opartą na rolach (Kubernetes RBAC) na podstawie tożsamości użytkownika lub członkostwa w grupie katalogów. Dowiedz się więcej na stronie: https://aka.ms/aks-managed-aad. | Inspekcja, wyłączone | 1.0.2 |
Klastry usługi Azure Kubernetes Service powinny włączyć automatyczne uaktualnianie systemu operacyjnego node | Aktualizacje zabezpieczeń systemu operacyjnego aKS na poziomie węzła. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Inspekcja, wyłączone | 1.0.0 |
Klastry usługi Azure Kubernetes Service powinny włączyć tożsamość obciążenia | Tożsamość obciążenia umożliwia przypisanie unikatowej tożsamości do każdego zasobnika Kubernetes i skojarzenie go z zasobami chronionymi w usłudze Azure AD, takimi jak usługa Azure Key Vault, umożliwiając bezpieczny dostęp do tych zasobów z poziomu zasobnika. Dowiedz się więcej na stronie: https://aka.ms/aks/wi. | Inspekcja, wyłączone | 1.0.0 |
Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w usłudze https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Inspekcja, wyłączone | 2.0.1 |
Klastry usługi Azure Kubernetes Service powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że klastry usługi Azure Kubernetes Service powinny wymagać wyłącznie tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/aks-disable-local-accounts. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Klastry usługi Azure Kubernetes Service powinny używać tożsamości zarządzanych | Użyj tożsamości zarządzanych, aby opakować jednostki usługi, uprościć zarządzanie klastrem i uniknąć złożoności wymaganej do zarządzania jednostkami usługi. Dowiedz się więcej na stronie: https://aka.ms/aks-update-managed-identities | Inspekcja, wyłączone | 1.0.1 |
Należy włączyć klastry prywatne usługi Azure Kubernetes Service | Włącz funkcję klastra prywatnego dla klastra usługi Azure Kubernetes Service, aby zapewnić, że ruch sieciowy między serwerem interfejsu API a pulami węzłów pozostaje tylko w sieci prywatnej. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Inspekcja, wyłączone | 1.0.2 |
Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | AuditIfNotExists, Disabled | 1.0.1 |
Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Konfigurowanie klastrów usługi Azure Kubernetes Service w celu włączenia profilu usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu usługi SecurityProfile.Defender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.3.0 |
Konfigurowanie instalacji rozszerzenia Flux w klastrze Kubernetes | Instalowanie rozszerzenia Flux w klastrze Kubernetes w celu włączenia wdrożenia funkcji "fluxconfigurations" w klastrze | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu źródła zasobnika i wpisów tajnych w usłudze KeyVault | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga klucza tajnego zasobnika bucket przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i certyfikatu urzędu certyfikacji HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga certyfikatu urzędu certyfikacji HTTPS. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza HTTPS przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych SSH | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu publicznego repozytorium Git | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes przy użyciu określonego źródła zasobnika Flux v2 przy użyciu lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych HTTPS | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisów tajnych użytkownika i klucza HTTPS przechowywanych w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych SSH | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
Konfigurowanie zintegrowanych klastrów usługi Azure Kubernetes Service firmy Microsoft z wymaganym dostępem do grupy administracyjnej | Upewnij się, że chcesz zwiększyć bezpieczeństwo klastra przez centralne zarządzanie dostępem administratora do zintegrowanych klastrów usługi AKS firmy Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
Konfigurowanie automatycznego uaktualniania systemu operacyjnego Node w klastrze Usługi Azure Kubernetes | Automatyczne uaktualnianie systemu operacyjnego Node umożliwia kontrolowanie aktualizacji zabezpieczeń systemu operacyjnego na poziomie węzła klastrów usługi Azure Kubernetes Service (AKS). Aby uzyskać więcej informacji, odwiedź stronę https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
Wdrażanie — konfigurowanie ustawień diagnostycznych dla usługi Azure Kubernetes Service w obszarze roboczym usługi Log Analytics | Wdraża ustawienia diagnostyczne dla usługi Azure Kubernetes Service w celu przesyłania strumieniowego dzienników zasobów do obszaru roboczego usługi Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
Wdrażanie dodatku usługi Azure Policy w klastrach usługi Azure Kubernetes Service | Użyj dodatku usługi Azure Policy, aby zarządzać klastrami usługi Azure Kubernetes Service (AKS) i zgłaszać ich stan zgodności. Aby uzyskać więcej informacji, zobacz https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
Wdrażanie narzędzia Image Cleaner w usłudze Azure Kubernetes Service | Wdrażanie narzędzia Image Cleaner w klastrach usługi Azure Kubernetes. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
Wdrażanie planowanej konserwacji w celu planowania i kontrolowania uaktualnień klastra usługi Azure Kubernetes Service (AKS) | Planowana konserwacja umożliwia zaplanowanie cotygodniowych okien konserwacji w celu przeprowadzenia aktualizacji i zminimalizowania wpływu obciążenia. Po zaplanowaniu uaktualnienia są wykonywane tylko podczas wybranego okna. Dowiedz się więcej na stronie: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Wyłączanie wywołania polecenia w klastrach usługi Azure Kubernetes Service | Wyłączenie wywołania polecenia może zwiększyć bezpieczeństwo, odrzucając dostęp invoke-command do klastra | DeployIfNotExists, Disabled | 1.2.0 |
Upewnij się, że kontenery klastra mają skonfigurowane sondy gotowości lub aktualności | Te zasady wymuszają, że wszystkie zasobniki mają skonfigurowane sondy gotowości i/lub aktualności. Typy sond mogą być dowolnymi typami tcpSocket, httpGet i exec. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.3.0 |
Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.3.0 |
Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.2.0 |
Kontenery klastra Kubernetes nie powinny używać zabronionych interfejsów sysctl | Kontenery nie powinny używać niedozwolonych interfejsów sysctl w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.2.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.3.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonego typu ProcMountType | Kontenery zasobników mogą używać tylko dozwolonych typów ProcMountTypes w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.2.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonych zasad ściągania | Ograniczanie zasad ściągania kontenerów w celu wymuszania kontenerów używania tylko dozwolonych obrazów we wdrożeniach | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów seccomp | Kontenery zasobników mogą używać tylko dozwolonych profilów seccomp w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.2.0 |
Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.3.0 |
Woluminy zasobnika klastra Kubernetes FlexVolume powinny używać tylko dozwolonych sterowników | Woluminy Pod FlexVolume powinny używać tylko dozwolonych sterowników w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.2.0 |
Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
Zasobniki klastra Kubernetes i kontenery powinny używać tylko dozwolonych opcji SELinux | Zasobniki i kontenery powinny używać tylko dozwolonych opcji SELinux w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.2.0 |
Zasobniki klastra Kubernetes powinny używać tylko dozwolonych typów woluminów | Zasobniki mogą używać tylko dozwolonych typów woluminów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.2.0 |
Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
Zasobniki klastra Kubernetes powinny używać określonych etykiet | Użyj określonych etykiet, aby zidentyfikować zasobniki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.2.0 |
Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.2.0 |
Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Użyj dozwolonych zewnętrznych adresów IP, aby uniknąć potencjalnego ataku (CVE-2020-8554) w klastrze Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.2.0 |
Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
Klaster Kubernetes nie powinien używać zasobników nagich | Blokuj użycie nagich zasobników. Zasobniki naked nie zostaną ponownie ułożone w przypadku awarii węzła. Zasobniki powinny być zarządzane przez zadania deployment, Replicset, Daemonset lub Jobs | Inspekcja, Odmowa, Wyłączone | 2.3.0 |
Kontenery klastra Kubernetes systemu Windows nie powinny nadmiernie zatwierdzać procesora i pamięci | Żądania zasobów kontenera systemu Windows powinny być mniejsze lub równe limitowi zasobów lub nieokreślone, aby uniknąć nadmiernego przydziału. Jeśli pamięć systemu Windows jest nadmiernie aprowizowana, będzie przetwarzać strony na dysku — co może spowolnić wydajność — zamiast przerywać działanie kontenera z braku pamięci | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
Kontenery systemu Windows klastra Kubernetes nie powinny być uruchamiane jako ContainerAdministrator | Zapobiegaj użyciu kontenera ContainerAdministrator jako użytkownik do wykonywania procesów kontenera dla zasobników lub kontenerów systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
Kontenery systemu Windows klastra Kubernetes powinny być uruchamiane tylko z zatwierdzoną grupą użytkowników i domeny | Kontrolowanie użytkownika, którego zasobniki i kontenery systemu Windows mogą używać do uruchamiania w klastrze Kubernetes. To zalecenie jest częścią zasad zabezpieczeń zasobników w węzłach systemu Windows, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
Zasobniki systemu Windows klastra Kubernetes nie powinny uruchamiać kontenerów HostProcess | Zapobiegaj dostępowi prviledged do węzła systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.2.0 |
Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.2.0 |
Klastry Kubernetes powinny mieć pewność, że rola administratora klastra jest używana tylko wtedy, gdy jest to wymagane | Rola "cluster-admin" zapewnia szerokie uprawnienia w środowisku i powinna być używana tylko tam, gdzie i w razie potrzeby. | Inspekcja, wyłączone | 1.1.0 |
Klastry Kubernetes powinny zminimalizować użycie symboli wieloznacznych w roli roli i klastra | Użycie symboli wieloznacznych "*" może stanowić zagrożenie bezpieczeństwa, ponieważ przyznaje szerokie uprawnienia, które mogą nie być konieczne dla określonej roli. Jeśli rola ma zbyt wiele uprawnień, może być potencjalnie nadużywana przez osobę atakującą lub naruszonego użytkownika w celu uzyskania nieautoryzowanego dostępu do zasobów w klastrze. | Inspekcja, wyłączone | 1.1.0 |
Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.2.0 |
Klastry Kubernetes nie powinny zezwalać na uprawnienia edycji punktu końcowego elementu ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit nie powinno zezwalać na uprawnienia do edycji punktu końcowego z powodu CVE-2021-25740, uprawnienia punktów końcowych i punktów końcowychZwolenie na przekazywanie między przestrzeniami nazw, https://github.com/kubernetes/kubernetes/issues/103675. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, wyłączone | 3.2.0 |
Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
Klastry Kubernetes nie powinny używać określonych funkcji zabezpieczeń | Zapobiegaj określonym funkcjom zabezpieczeń w klastrach Kubernetes, aby uniemożliwić niegranowane uprawnienia w zasobie zasobnika. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.2.0 |
Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.2.0 |
Klastry Kubernetes powinny używać sterownika Container Storage Interface (CSI) StorageClass | Interfejs Container Storage Interface (CSI) jest standardem umożliwiającym uwidacznianie dowolnych systemów magazynów blokowych i magazynów plików konteneryzowanym obciążeniom na platformie Kubernetes. Klasa StorageClass inicjowania obsługi administracyjnej w drzewie powinna być przestarzała od wersji 1.21 usługi AKS. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver | Inspekcja, Odmowa, Wyłączone | 2.3.0 |
Klastry Kubernetes powinny używać wewnętrznych modułów równoważenia obciążenia | Użyj wewnętrznych modułów równoważenia obciążenia, aby usługa Kubernetes była dostępna tylko dla aplikacji działających w tej samej sieci wirtualnej co klaster Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.2.0 |
Zasoby kubernetes powinny mieć wymagane adnotacje | Upewnij się, że wymagane adnotacje są dołączone do danego rodzaju zasobu Kubernetes w celu lepszego zarządzania zasobami platformy Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
Dzienniki zasobów w usłudze Azure Kubernetes Service powinny być włączone | Dzienniki zasobów usługi Azure Kubernetes Service mogą pomóc w ponownym utworzeniu śladów aktywności podczas badania zdarzeń zabezpieczeń. Włącz tę funkcję, aby upewnić się, że dzienniki będą istnieć w razie potrzeby | AuditIfNotExists, Disabled | 1.0.0 |
Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.4 |
Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
Współpracuj z nami w serwisie GitHub
Źródło tej zawartości można znaleźć w witrynie GitHub, gdzie można również tworzyć i przeglądać problemy i żądania ściągnięcia. Więcej informacji znajdziesz w naszym przewodniku dla współtwórców.
Azure Kubernetes Service