Definições internas do Azure Policy para o Kubernetes habilitado para o Azure Arc
Esta página é um índice das definições de políticas internas do Azure Policy para o Kubernetes habilitado para o Azure Arc. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Kubernetes habilitado para Azure Arc
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desabilitado | 6.0.0-preview |
[Versão prévia]: A Extensão de Backup do Azure deve ser instalada em clusters do AKS | Garanta a instalação de proteção da extensão de backup nos seus Clusters do AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão Prévia]: configurar os clusters do Kubernetes habilitados para Azure Arc para instalar a extensão do Microsoft Defender para Nuvem | A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, desabilitado | 7.3.0-preview |
[Versão prévia]: instalar a Extensão de Backup do Azure nos clusters do AKS (Cluster Gerenciado) com uma determinada marca. | Instalar a Extensão de Backup do Azure é um pré-requisito para proteger os clusters do seu AKS. Impor a instalação da extensão de backup em todos os clusters AKS que contenham uma determinada marca. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters do AKS em escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: instalar a Extensão de Backup do Azure nos Clusters do AKS (Cluster Gerenciado) sem uma determinada marca. | Instalar a Extensão de Backup do Azure é um pré-requisito para proteger os clusters do seu AKS. Impor a instalação da extensão de backup em todos os clusters do AKS sem um valor de marca específico. Fazer isso pode ajudá-lo a gerenciar o Backup dos Clusters do AKS em escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
[Versão prévia]: os clusters do Kubernetes devem restringir a criação de um determinado tipo de recurso | O tipo de recurso do Kubernetes fornecido não deve ser implantado em determinados namespaces. | Audit, Deny, desabilitado | 2.3.0-preview |
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada | A extensão Azure Policy para Azure Arc fornece imposições em escala e proteções em seus clusters do Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desabilitado | 1.1.0 |
Os clusters de Kubernetes habilitados para Azure Arc devem ser configurados com um escopo de Link Privado do Azure Arc | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Audit, Deny, desabilitado | 1.0.0 |
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Malha de Serviço Aberto instalada | A extensão Malha de Serviço Aberto fornece todos os recursos padrão de malha de serviço para segurança, gerenciamento de tráfego e observabilidade de serviços de aplicativos. Saiba mais aqui: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Strimzi Kafka Azure Policy instalada | A extensão Strimzi Kafka permite que os operadores instalem o Kafka para criar pipelines de dados em tempo real e aplicativos de streaming com recursos de segurança e observabilidade. Saiba mais aqui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
Configure clusters Kubernetes habilitados para Azure Arc para instalar a extensão Azure Policy | Implante a extensão Azure Policy para Azure Arc a fim de fornecer imposições em escala e proteger seus clusters do Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | DeployIfNotExists, desabilitado | 1.1.0 |
Configurar clusters de Kubernetes habilitados para Azure Arc para usar um escopo de link privado do Azure Arc | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desabilitado | 1.0.0 |
Configurar a instalação da extensão Flux no cluster do Kubernetes | Instalar a extensão flux no cluster do Kubernetes para habilitar a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando a origem e os segredos do bucket no Key Vault | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer um bucket SecretKey armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e o Certificado de Autoridade de Certificação HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um Certificado de Autoridade de Certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.1 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave HTTPS armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave privada SSH armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar clusters do Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos HTTPS | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição exige segredos de chave e de usuários HTTPS armazenados no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
Configurar os clusters do Kubernetes com a configuração do GitOps especificada não usando nenhum segredo | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos SSH | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição requer um segredo de chave privada SSH no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
Verificar se os contêineres de cluster têm investigações de preparação ou atividade configuradas | Essa política impõe que todos os pods tenham investigações de preparação e/ou atividade configuradas. Os tipos de investigação podem ser os seguintes: tcpSocket, httpGet e exec. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.3.0 |
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
Os contêineres de cluster do Kubernetes não devem usar as interfaces de sysctl proibidas | Os contêineres não devem usar as interfaces de sysctl proibidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
Os contêineres de cluster do Kubernetes devem usar somente o ProcMountType permitido | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
Os contêineres do cluster do Kubernetes devem usar apeanas a política de pull permitida | Restringir a política de pull de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Audit, Deny, desabilitado | 3.2.0 |
Os contêineres de cluster do Kubernetes devem usar somente os perfis do seccomp permitidos | Os contêineres de pod podem usar somente perfis do seccomp permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
Os volumes FlexVolume do pod do cluster do Kubernetes devem usar somente os drivers permitidos | Os volumes FlexVolume do pod devem usar somente os drivers permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
Os pods e os contêineres do cluster do Kubernetes devem usar somente as opções de SELinux permitidas | Os pods e os contêineres devem usar somente as opções de SELinux permitidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
Os pods do cluster do Kubernetes devem usar somente os tipos de volumes permitidos | Os pods podem usar somente tipos de volume permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
Os pods no cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | Use IPs externos permitidos para evitar um potencial ataque (CVE-2020-8554) em um cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
O cluster do Kubernetes não deve usar pods naked | Bloquear o uso de pods naked. Pods naked não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Implantação, Replicset, Daemonset ou Trabalhos | Audit, Deny, desabilitado | 2.2.0 |
Os contêineres Windows do cluster do Kubernetes não devem sobrecarregar a CPU e a memória | As solicitações de recurso de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar sobrecarga. Se a memória do Windows estiver provisionada em excesso, ela processará páginas em disco – o que pode reduzir o desempenho – em vez de encerrar o contêiner com falha de memória insuficiente | Audit, Deny, desabilitado | 2.2.0 |
Os contêineres do Windows do cluster de Kubernetes não devem ser executados como ContainerAdministrator | Impeça o uso do ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Essa recomendação destina-se a aprimorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, desabilitado | 1.2.0 |
Os contêineres Windows do cluster do Kubernetes só devem ser executados com o usuário aprovado e o grupo de usuários de domínio | Controle o usuário que os pods e contêineres do Windows podem usar para executar em um Cluster do Kubernetes. Essa recomendação faz parte das Políticas de Segurança de Pod ou nós do Windows que são destinados a aprimorar a segurança dos seus ambientes do Kubernetes. | Audit, Deny, desabilitado | 2.2.0 |
Os pods do Windows do cluster Kubernetes não devem executar contêineres HostProcess | Impedir acesso privilegiado ao nó do Windows. Essa recomendação destina-se a aprimorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, desabilitado | 1.0.0 |
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
Os clusters do Kubernetes não devem permitir permissões de edição do ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint e EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, desabilitado | 3.2.0 |
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
Os clusters do Kubernetes não devem usar funcionalidades de segurança específicas | Evite funcionalidades de segurança específicas em clusters do Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
Os clusters do Kubernetes devem usar o StorageClass do driver da Interface de Armazenamento de Contêiner (CSI) | A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Kubernetes. O StorageClass do provisionador na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Audit, Deny, desabilitado | 2.3.0 |
Os recursos do Kubernetes devem ter anotações obrigatórias | Verifique se as anotações obrigatórias estão anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos dos recursos do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.2.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.