Udostępnij za pośrednictwem


Wbudowane definicje usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc

Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.

Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.

Platforma Kubernetes z obsługą usługi Azure Arc

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Rozszerzenie usługi Azure Backup powinno być zainstalowane w klastrach usługi AKS Upewnij się, że instalacja rozszerzenia kopii zapasowej w klastrach usługi AKS umożliwia korzystanie z usługi Azure Backup. Usługa Azure Backup for AKS to bezpieczne rozwiązanie do ochrony danych natywnych dla chmury dla klastrów usługi AKS AuditIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Disabled Wersja zapoznawcza 7.3.0
[Wersja zapoznawcza]: Zainstaluj rozszerzenie usługi Azure Backup w klastrach usługi AKS (klaster zarządzany) przy użyciu danego tagu. Instalowanie rozszerzenia usługi Azure Backup jest warunkiem wstępnym ochrony klastrów usługi AKS. Wymuszanie instalacji rozszerzenia kopii zapasowej we wszystkich klastrach usługi AKS zawierających dany tag. Może to pomóc w zarządzaniu kopiami zapasowymi klastrów usługi AKS na dużą skalę. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Zainstaluj rozszerzenie usługi Azure Backup w klastrach usługi AKS (klaster zarządzany) bez danego tagu. Instalowanie rozszerzenia usługi Azure Backup jest warunkiem wstępnym ochrony klastrów usługi AKS. Wymuszanie instalacji rozszerzenia kopii zapasowej we wszystkich klastrach usługi AKS bez określonej wartości tagu. Może to pomóc w zarządzaniu kopiami zapasowymi klastrów usługi AKS na dużą skalę. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0-preview
[Wersja zapoznawcza]: Klastry Kubernetes powinny ograniczyć tworzenie danego typu zasobu Biorąc pod uwagę typ zasobu Kubernetes, nie należy wdrażać w określonej przestrzeni nazw. Inspekcja, Odmowa, Wyłączone Wersja zapoznawcza 2.3.0
Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. AuditIfNotExists, Disabled 1.1.0
Klastry kubernetes z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. Inspekcja, Odmowa, Wyłączone 1.0.0
Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Open Service Mesh Rozszerzenie Open Service Mesh zapewnia wszystkie standardowe funkcje siatki usług na potrzeby zabezpieczeń, zarządzania ruchem i obserwacji usług aplikacji. Więcej informacji znajdziesz tutaj: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Strimzi Kafka Rozszerzenie Strimzi Kafka udostępnia operatorom instalowanie platformy Kafka na potrzeby tworzenia potoków danych w czasie rzeczywistym i aplikacji przesyłania strumieniowego z zabezpieczeniami i możliwościami obserwacji. Dowiedz się więcej tutaj: https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia usługi Azure Policy Wdróż rozszerzenie usługi Azure Policy dla usługi Azure Arc, aby zapewnić wymuszanie na dużą skalę i ochronę klastrów Kubernetes z obsługą usługi Arc w scentralizowany, spójny sposób. Dowiedz się więcej na https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 1.1.0
Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc do korzystania z zakresu usługi Azure Arc Private Link Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. Modyfikowanie, wyłączone 1.0.0
Konfigurowanie instalacji rozszerzenia Flux w klastrze Kubernetes Instalowanie rozszerzenia Flux w klastrze Kubernetes w celu włączenia wdrożenia funkcji "fluxconfigurations" w klastrze DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu źródła zasobnika i wpisów tajnych w usłudze KeyVault Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga klucza tajnego zasobnika bucket przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i certyfikatu urzędu certyfikacji HTTPS Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga certyfikatu urzędu certyfikacji HTTPS. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.1
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych HTTPS Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza HTTPS przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i lokalnych wpisów tajnych Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych SSH Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu publicznego repozytorium Git Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes przy użyciu określonego źródła zasobnika Flux v2 przy użyciu lokalnych wpisów tajnych Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Disabled 1.0.0
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych HTTPS Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisów tajnych użytkownika i klucza HTTPS przechowywanych w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych SSH Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Upewnij się, że kontenery klastra mają skonfigurowane sondy gotowości lub aktualności Te zasady wymuszają, że wszystkie zasobniki mają skonfigurowane sondy gotowości i/lub aktualności. Typy sond mogą być dowolnymi typami tcpSocket, httpGet i exec. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. Inspekcja, Odmowa, Wyłączone 3.3.0
Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.3.0
Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Kontenery klastra Kubernetes nie powinny używać zabronionych interfejsów sysctl Kontenery nie powinny używać niedozwolonych interfejsów sysctl w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.3.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonego typu ProcMountType Kontenery zasobników mogą używać tylko dozwolonych typów ProcMountTypes w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych zasad ściągania Ograniczanie zasad ściągania kontenerów w celu wymuszania kontenerów używania tylko dozwolonych obrazów we wdrożeniach Inspekcja, Odmowa, Wyłączone 3.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów seccomp Kontenery zasobników mogą używać tylko dozwolonych profilów seccomp w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.3.0
Woluminy zasobnika klastra Kubernetes FlexVolume powinny używać tylko dozwolonych sterowników Woluminy Pod FlexVolume powinny używać tylko dozwolonych sterowników w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Zasobniki klastra Kubernetes i kontenery powinny używać tylko dozwolonych opcji SELinux Zasobniki i kontenery powinny używać tylko dozwolonych opcji SELinux w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Zasobniki klastra Kubernetes powinny używać tylko dozwolonych typów woluminów Zasobniki mogą używać tylko dozwolonych typów woluminów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Zasobniki klastra Kubernetes powinny używać określonych etykiet Użyj określonych etykiet, aby zidentyfikować zasobniki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP Użyj dozwolonych zewnętrznych adresów IP, aby uniknąć potencjalnego ataku (CVE-2020-8554) w klastrze Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.2.0
Klaster Kubernetes nie powinien używać zasobników nagich Blokuj użycie nagich zasobników. Zasobniki naked nie zostaną ponownie ułożone w przypadku awarii węzła. Zasobniki powinny być zarządzane przez zadania deployment, Replicset, Daemonset lub Jobs Inspekcja, Odmowa, Wyłączone 2.2.0
Kontenery klastra Kubernetes systemu Windows nie powinny nadmiernie zatwierdzać procesora i pamięci Żądania zasobów kontenera systemu Windows powinny być mniejsze lub równe limitowi zasobów lub nieokreślone, aby uniknąć nadmiernego przydziału. Jeśli pamięć systemu Windows jest nadmiernie aprowizowana, będzie przetwarzać strony na dysku — co może spowolnić wydajność — zamiast przerywać działanie kontenera z braku pamięci Inspekcja, Odmowa, Wyłączone 2.2.0
Kontenery systemu Windows klastra Kubernetes nie powinny być uruchamiane jako ContainerAdministrator Zapobiegaj użyciu kontenera ContainerAdministrator jako użytkownik do wykonywania procesów kontenera dla zasobników lub kontenerów systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . Inspekcja, Odmowa, Wyłączone 1.2.0
Kontenery systemu Windows klastra Kubernetes powinny być uruchamiane tylko z zatwierdzoną grupą użytkowników i domeny Kontrolowanie użytkownika, którego zasobniki i kontenery systemu Windows mogą używać do uruchamiania w klastrze Kubernetes. To zalecenie jest częścią zasad zabezpieczeń zasobników w węzłach systemu Windows, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Inspekcja, Odmowa, Wyłączone 2.2.0
Zasobniki systemu Windows klastra Kubernetes nie powinny uruchamiać kontenerów HostProcess Zapobiegaj dostępowi prviledged do węzła systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . Inspekcja, Odmowa, Wyłączone 1.0.0
Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 4.2.0
Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Klastry Kubernetes nie powinny zezwalać na uprawnienia edycji punktu końcowego elementu ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit nie powinno zezwalać na uprawnienia do edycji punktu końcowego z powodu CVE-2021-25740, uprawnienia punktów końcowych i punktów końcowychZwolenie na przekazywanie między przestrzeniami nazw, https://github.com/kubernetes/kubernetes/issues/103675. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. Inspekcja, wyłączone 3.2.0
Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.1.0
Klastry Kubernetes nie powinny używać określonych funkcji zabezpieczeń Zapobiegaj określonym funkcjom zabezpieczeń w klastrach Kubernetes, aby uniemożliwić niegranowane uprawnienia w zasobie zasobnika. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 4.2.0
Klastry Kubernetes powinny używać sterownika Container Storage Interface (CSI) StorageClass Interfejs Container Storage Interface (CSI) jest standardem umożliwiającym uwidacznianie dowolnych systemów magazynów blokowych i magazynów plików konteneryzowanym obciążeniom na platformie Kubernetes. Klasa StorageClass inicjowania obsługi administracyjnej w drzewie powinna być przestarzała od wersji 1.21 usługi AKS. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver Inspekcja, Odmowa, Wyłączone 2.3.0
Zasoby kubernetes powinny mieć wymagane adnotacje Upewnij się, że wymagane adnotacje są dołączone do danego rodzaju zasobu Kubernetes w celu lepszego zarządzania zasobami platformy Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. Inspekcja, Odmowa, Wyłączone 3.2.0

Następne kroki