Partilhar via


Controles de Conformidade Regulatória da Política do Azure para o Serviço Kubernetes do Azure (AKS)

A Conformidade Regulamentar na Política do Azure fornece definições de iniciativa (incorporadas) criadas e geridas pela Microsoft, para os domínios de conformidade e controlos de segurança relacionados com diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controles de segurança do Serviço Kubernetes do Azure (AKS).

Você pode atribuir os internos para um controle de segurança individualmente para ajudar a tornar seus recursos do Azure compatíveis com o padrão específico.

O título de cada definição de política interna vincula-se à definição de política no portal do Azure. Use o link na coluna Versão da Política para exibir a fonte no repositório GitHub da Política do Azure.

Importante

Cada controle está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência um-para-um ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre controles e definições de Conformidade Regulatória da Política do Azure para esses padrões de conformidade podem mudar ao longo do tempo.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.5 Habilitar o controle de acesso baseado em função (RBAC) nos Serviços Kubernetes do Azure O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4

CIS Microsoft Azure Fundações Benchmark 1.3.0

Para analisar como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulatória da Política do Azure - CIS Microsoft Azure Foundations Benchmark 1.3.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.5 Habilitar o controle de acesso baseado em função (RBAC) nos Serviços Kubernetes do Azure O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4

Benchmark 1.4.0 do CIS Microsoft Azure Foundations

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para o CIS v1.4.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.7 Habilitar o controle de acesso baseado em função (RBAC) nos Serviços Kubernetes do Azure O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4

CMMC Nível 3

Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - CMMC Nível 3. Para obter mais informações sobre esse padrão de conformidade, consulte Certificação de modelo de maturidade de segurança cibernética (CMMC).

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC.1.001 Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Controlo de Acesso AC.1.001 Limitar o acesso ao sistema de informação a utilizadores autorizados, processos que atuam em nome de utilizadores autorizados e dispositivos (incluindo outros sistemas de informação). O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso AC.1.002 Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Controlo de Acesso AC.1.002 Limitar o acesso ao sistema de informação aos tipos de transações e funções que os utilizadores autorizados têm permissão para executar. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso AC.2.007 Utilize o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso AC.2.016 Controlar o fluxo de CUI de acordo com as autorizações aprovadas. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Gestão da Configuração CM.2.062 Empregar o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer apenas recursos essenciais. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Gestão da Configuração CM.3.068 Restringir, desativar ou impedir o uso de programas, funções, portas, protocolos e serviços não essenciais. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Avaliação de Riscos RM.2.143 Corrigir vulnerabilidades de acordo com as avaliações de risco. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Proteção de Sistemas e Comunicações SC.1.175 Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Proteção de Sistemas e Comunicações SC.3.177 Utilize criptografia validada pelo FIPS quando usada para proteger a confidencialidade do CUI. Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações SC.3.183 Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Integridade do Sistema e da Informação SI.1.210 Identificar, reportar e corrigir informações e falhas do sistema de informação em tempo hábil. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

FedRAMP High

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP High.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-4 Aplicação do fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Gestão da Configuração CM-6 Definições de configuração O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração CM-6 Definições de configuração Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração CM-6 Definições de configuração Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Proteção de Sistemas e Comunicações SC-7 Proteção de Fronteiras Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-8 Confidencialidade e integridade da transmissão Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-12 Estabelecimento e gerenciamento de chaves criptográficas Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção de Sistemas e Comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de falhas Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

FedRAMP Moderado

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - FedRAMP Moderate. Para obter mais informações sobre esse padrão de conformidade, consulte FedRAMP Moderate.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-4 Aplicação do fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Gestão da Configuração CM-6 Definições de configuração O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração CM-6 Definições de configuração Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração CM-6 Definições de configuração Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Proteção de Sistemas e Comunicações SC-7 Proteção de Fronteiras Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-8 Confidencialidade e integridade da transmissão Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-12 Estabelecimento e gerenciamento de chaves criptográficas Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção de Sistemas e Comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de falhas Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

HIPAA HITRUST 9.2

Para analisar como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulatória da Política do Azure - HIPAA HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, consulte HIPAA HITRUST 9.2.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Gestão de Privilégios 1149.01c2System.9 - 01.c A organização facilita o compartilhamento de informações, permitindo que usuários autorizados determinem o acesso de um parceiro de negócios quando a discrição é permitida, conforme definido pela organização, e empregando processos manuais ou mecanismos automatizados para ajudar os usuários a tomar decisões de compartilhamento/colaboração de informações. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
11 Controlo de Acessos 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Acesso autorizado a sistemas de informação O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
12 Registo de Auditoria e Monitorização 1229.09c1Organizacional.1-09.c 1229.09c1Organizacional.1-09.c 09.01 Procedimentos operacionais documentados O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4

Políticas confidenciais da linha de base do Microsoft Cloud for Sovereignty

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes da Conformidade Regulatória da Política do Azure para Políticas Confidenciais da Linha de Base da Soberania MCfS. Para obter mais informações sobre esse padrão de conformidade, consulte o portfólio de políticas do Microsoft Cloud for Soberania.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
SO.3 - Chaves Geridas pelo Cliente SO.3 Os produtos do Azure devem ser configurados para usar chaves gerenciadas pelo cliente quando possível. Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1

Referência da segurança da cloud da Microsoft

O benchmark de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o benchmark de segurança na nuvem da Microsoft, consulte os arquivos de mapeamento do Azure Security Benchmark.

Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - Referência de segurança na nuvem da Microsoft.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Segurança de Rede NS-2 Serviços de nuvem seguros com controles de rede Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Acesso Privilegiado PA-7 Seguir a abordagem de Administração Suficiente (princípio do privilégio mínimo) O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Proteção de Dados DP-3 Criptografar dados confidenciais em trânsito Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Registos e Deteção de Ameaças LT-1 Habilite os recursos de deteção de ameaças Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Registos e Deteção de Ameaças LT-2 Habilite a deteção de ameaças para gerenciamento de identidade e acesso Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Registos e Deteção de Ameaças LT-3 Habilitar o registro em log para investigação de segurança Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados 1.0.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters Kubernetes devem desativar as credenciais de API de montagem automática 4.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN 5.1.0
Gestão da Postura e da Vulnerabilidade PV-2 Auditar e impor configurações seguras Os clusters Kubernetes não devem usar o namespace padrão 4.2.0
Gestão da Postura e da Vulnerabilidade PV-6 Corrija vulnerabilidades de forma rápida e automática O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Segurança DevOps DS-6 Garanta a segurança da carga de trabalho durante todo o ciclo de vida do DevOps O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1

NIST SP 800-171 R2

Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-171 R2.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso 3.1.3 Controlar o fluxo de CUI de acordo com as autorizações aprovadas. Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações 3.13.1 Monitorar, controlar e proteger as comunicações (ou seja, informações transmitidas ou recebidas pelos sistemas organizacionais) nos limites externos e nos principais limites internos dos sistemas organizacionais. Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações 3.13.10 Estabelecer e gerenciar chaves criptográficas para criptografia empregadas em sistemas organizacionais. Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações 3.13.16 Proteja a confidencialidade do CUI em repouso. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção de Sistemas e Comunicações 3.13.2 Empregar projetos arquitetônicos, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovam a segurança eficaz da informação nos sistemas organizacionais. Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações 3.13.5 Implementar sub-redes para componentes do sistema acessíveis publicamente que estejam física ou logicamente separados das redes internas. Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações 3.13.6 Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações 3.13.8 Implementar mecanismos criptográficos para impedir a divulgação não autorizada de CUI durante a transmissão, a menos que protegido de outra forma por salvaguardas físicas alternativas. Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Integridade do Sistema e da Informação 3.14.1 Identifique, relate e corrija falhas do sistema em tempo hábil. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) ao longo dos respetivos ciclos de vida de desenvolvimento do sistema. Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração 3.4.2 Estabelecer e aplicar definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais. Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0

NIST SP 800-53 Rev. 4

Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Conformidade Regulamentar da Política do Azure - NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-53 Rev. 4.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-3 (7) Controlo de Acesso Baseado em Funções O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso AC-4 Aplicação do fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Gestão da Configuração CM-6 Definições de configuração O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração CM-6 Definições de configuração Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração CM-6 Definições de configuração Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Proteção de Sistemas e Comunicações SC-7 Proteção de Fronteiras Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-8 Confidencialidade e integridade da transmissão Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-12 Estabelecimento e gerenciamento de chaves criptográficas Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção de Sistemas e Comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de falhas Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Integridade do Sistema e da Informação SI-2 (6) Remoção de versões anteriores de software / firmware Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

NIST SP 800-53 Rev. 5

Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-53 Rev. 5.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controlo de Acesso AC-3 (7) Controlo de Acesso Baseado em Funções O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso AC-4 Aplicação do fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Gestão da Configuração CM-6 Definições de configuração O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão da Configuração CM-6 Definições de configuração Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão da Configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão da Configuração CM-6 Definições de configuração Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão da Configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão da Configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão da Configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Proteção de Sistemas e Comunicações SC-7 Proteção de Fronteiras Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-7 (3) Pontos de Acesso Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Proteção de Sistemas e Comunicações SC-8 Confidencialidade e integridade da transmissão Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-8 (1) Proteção criptográfica Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Proteção de Sistemas e Comunicações SC-12 Estabelecimento e Gestão de Chaves Criptográficas Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção de Sistemas e Comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção de Sistemas e Comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do Sistema e da Informação SI-2 Remediação de falhas Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Integridade do Sistema e da Informação SI-2 (6) Remoção de versões anteriores de software e firmware Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

NL BIO Cloud Tema

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, consulte Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
C.04.3 Gestão de vulnerabilidades técnicas - Prazos C.04.3 Se a probabilidade de abuso e os danos esperados forem altos, os patches são instalados o mais tardar dentro de uma semana. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
C.04.6 Gestão de vulnerabilidades técnicas - Prazos C.04.6 As deficiências técnicas podem ser corrigidas através da execução da gestão de patches em tempo útil. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os clusters Kubernetes devem desativar as credenciais de API de montagem automática 4.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN 5.1.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os clusters Kubernetes não devem usar o namespace padrão 4.2.0
C.04.7 Gestão de vulnerabilidades técnicas - Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registadas e comunicadas. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
U.05.1 Proteção de dados - Medidas criptográficas U.05.1 O transporte de dados é protegido com criptografia, onde o gerenciamento de chaves é realizado pelo próprio CSC, se possível. Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
U.05.2 Proteção de dados - Medidas criptográficas U.05.2 Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
U.05.2 Proteção de dados - Medidas criptográficas U.05.2 Os dados armazenados no serviço de computação em nuvem devem ser protegidos de acordo com o estado da técnica mais recente. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
U.07.1 Separação de dados - Isolado U.07.1 O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de forma controlada. Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
U.07.3 Separação de dados - Recursos de gerenciamento U.07.3 U.07.3 - Os privilégios para visualizar ou modificar dados CSC e/ou chaves de criptografia são concedidos de forma controlada e o uso é registrado. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
U.09.3 Malware Protection - Deteção, prevenção e recuperação U.09.3 A proteção contra malware é executada em diferentes ambientes. Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
U.10.2 Acesso a serviços e dados de TI - Utilizadores U.10.2 Sob a responsabilidade do CSP, o acesso é concedido aos administradores. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
U.10.3 Acesso a serviços e dados de TI - Utilizadores U.10.3 Apenas os utilizadores com equipamento autenticado podem aceder aos serviços e dados informáticos. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
U.10.5 Acesso a serviços e dados de TI - Competente U.10.5 O acesso aos serviços e dados informáticos é limitado por medidas técnicas e foi implementado. O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
U.11.1 Cryptoservices - Política U.11.1 Na política de criptografia, pelo menos os assuntos de acordo com o BIO foram elaborados. Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
U.11.2 Cryptoservices - Medidas criptográficas U.11.2 No caso de certificados PKIoverheid, use os requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
U.11.3 Cryptoservices - Criptografado U.11.3 Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
U.11.3 Cryptoservices - Criptografado U.11.3 Os dados sensíveis são sempre encriptados, com chaves privadas geridas pelo CSC. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host 1.0.1
U.15.1 Registo e monitorização - Eventos registados U.15.1 A violação das regras da política é registada pelo CSP e pelo CSC. Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados 1.0.0

Reserve Bank of India - Estrutura de TI para NBFC

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - Reserve Bank of India - IT Framework for NBFC. Para obter mais informações sobre esse padrão de conformidade, consulte Reserve Bank of India - IT Framework for NBFC.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Governança de TI 1 Governança de TI-1 Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Informação e Cibersegurança 3.1.a Identificação e Classificação de Ativos de Informação-3.1 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Informação e Cibersegurança 3.1.C Controle de acesso baseado em função-3.1 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Informação e Cibersegurança 3,1.g Trilhos-3.1 Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Informação e Cibersegurança 3.3 Gestão de Vulnerabilidades-3.3 Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

Reserve Bank of India IT Framework for Banks v2016

Para analisar como os componentes internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - RBI ITF Banks v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF Banks v2016 (PDF).

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Patch/Vulnerabilidade & Change Management Patch/Vulnerabilidade & Change Management-7.7 Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Defesa e Gestão Avançada de Ameaças em Tempo Real Defesa e Gestão Avançada de Ameaças em Tempo Real-13.2 Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Controlo / Gestão de Acessos de Utilizadores Controle de Acesso de Usuário / Gerenciamento-8.1 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4

RMIT Malásia

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Conformidade regulatória da política do Azure - RMIT Malásia. Para obter mais informações sobre esse padrão de conformidade, consulte RMIT Malásia.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Criptografia 10.19 Criptografia - 10.19 Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Controlo de Acesso 10.54 Controlo de Acessos - 10.54 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso 10.55 Controlo de Acessos - 10.55 Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Controlo de Acesso 10.55 Controlo de Acessos - 10.55 Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Controlo de Acesso 10.55 Controlo de Acessos - 10.55 Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Controlo de Acesso 10.55 Controlo de Acessos - 10.55 O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Controlo de Acesso 10.55 Controlo de Acessos - 10.55 Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Controlo de Acesso 10.60 Controlo de Acessos - 10.60 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso 10.61 Controlo de Acessos - 10.61 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controlo de Acesso 10.62 Controlo de Acessos - 10.62 O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Gerenciamento de patches e sistemas em fim de vida útil 10.65 Gerenciamento de sistemas de patch e fim de vida útil - 10.65 Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Centro de Operações de Segurança (SOC) 11.17 Centro de Operações de Segurança (SOC) - 11,17 Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Medidas de controlo em matéria de cibersegurança Apêndice 5.5 Medidas de controlo em matéria de cibersegurança - Apêndice 5.5 Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos 5.2.0
Medidas de controlo em matéria de cibersegurança Apêndice 5.6 Medidas de controlo em matéria de cibersegurança - Apêndice 5.6 Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Medidas de controlo em matéria de cibersegurança Apêndice 5.6 Medidas de controlo em matéria de cibersegurança - Apêndice 5.6 Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Medidas de controlo em matéria de cibersegurança Apêndice 5.6 Medidas de controlo em matéria de cibersegurança - Apêndice 5.6 Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0

Espanha ENS

Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para Espanha ENS. Para obter mais informações sobre esse padrão de conformidade, consulte CCN-STIC 884.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Medidas de proteção MP.S.3 Proteção dos serviços O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Quadro operacional op.exp.2 Operação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Quadro operacional Op.exp.3 Operação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Quadro operacional Op.exp.4 Operação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Quadro operacional Op.exp.5 Operação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Quadro operacional Op.exp.6 Operação Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Quadro operacional Op.exp.6 Operação O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1
Quadro operacional Op.exp.6 Operação Configurar clusters do Serviço Kubernetes do Azure para habilitar o perfil do Defender 4.3.0
Quadro operacional Op.exp.7 Operação Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Quadro operacional Op.exp.8 Operação Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados 1.0.0
Quadro operacional op.mon.3 Monitorização de sistema O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) 1.0.1

SWIFT CSP-CSCF v2021

Para rever como os incorporados da Política do Azure disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, consulte Detalhes da Conformidade Regulamentar da Política do Azure para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, consulte SWIFT CSP CSCF v2021.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
SWIFT Proteção do ambiente 1.1 SWIFT Proteção do ambiente Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
SWIFT Proteção do ambiente 1.4 Restrição de acesso à Internet Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes 2.0.1
Reduza a superfície de ataque e as vulnerabilidades 2.1 Segurança do fluxo interno de dados Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Detetar atividades anômalas em sistemas ou registros de transações 6.2 Integridade do software Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Detetar atividades anômalas em sistemas ou registros de transações 6,5-A Deteção de Intrusão Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1

Controles de Sistema e Organização (SOC) 2

Para analisar como os internos da Política do Azure disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte Detalhes de Conformidade Regulatória da Política do Azure para Controles de Sistema e Organização (SOC) 2. Para obter mais informações sobre esse padrão de conformidade, consulte Controles de sistema e organização (SOC) 2.

Domínio ID de controlo Título do controlo Política
(Portal do Azure)
Versão da política
(GitHub)
Controles de acesso lógicos e físicos CC6.1 Software, infraestrutura e arquiteturas de segurança de acesso lógico Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Controles de acesso lógicos e físicos CC6.3 Acesso baseado em Rol e menor privilégio O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes 1.0.4
Controles de acesso lógicos e físicos CC6,6 Medidas de segurança contra ameaças fora dos limites do sistema Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Controles de acesso lógicos e físicos CC6,7 Restringir a circulação de informações a utilizadores autorizados Os clusters Kubernetes devem ser acessíveis somente por HTTPS 8.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os clusters Kubernetes devem desativar as credenciais de API de montagem automática 4.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN 5.1.0
Controles de acesso lógicos e físicos CC6,8 Impedir ou detetar contra software não autorizado ou mal-intencionado Os clusters Kubernetes não devem usar o namespace padrão 4.2.0
Operações do Sistema CC7.2 Monitorar componentes do sistema quanto a comportamentos anômalos Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters 1.0.2
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host 5.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor 6.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos 6.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes só devem usar imagens permitidas 9.3.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos 6.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados 6.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas 6.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas 8.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters Kubernetes devem desativar as credenciais de API de montagem automática 4.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner 7.2.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN 5.1.0
Gestão de Alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters Kubernetes não devem usar o namespace padrão 4.2.0

Próximos passos