你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Kubernetes Service (AKS) 的 Azure Policy 法规遵从性控制措施

Azure Policy 中的法规合规性为与不同合规性标准相关的符合域和安全控件提供 Microsoft 创建和管理的计划定义(内置)。 此页列出 Azure Kubernetes Service (AKS) 符合域和安全控件。

可以分别为“安全控件”分配内置项,以帮助 Azure 资源符合特定的标准。

每个内置策略定义链接(指向 Azure 门户中的策略定义)的标题。 使用“策略版本”列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的“符合”仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

CIS Microsoft Azure 基础基准检验 1.1.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.1.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
8 其他安全注意事项 8.5 在 Azure Kubernetes 服务中启用基于角色的访问控制 (RBAC) 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4

CIS Microsoft Azure 基础基准检验 1.3.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - CIS Microsoft Azure 基础基准 1.3.0。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
8 其他安全注意事项 8.5 在 Azure Kubernetes 服务中启用基于角色的访问控制 (RBAC) 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4

CIS Microsoft Azure 基础基准 1.4.0

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 CIS v1.4.0 的 Azure Policy 合规性详细信息。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
8 其他安全注意事项 8.7 在 Azure Kubernetes 服务中启用基于角色的访问控制 (RBAC) 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4

CMMC 级别 3

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - CMMC 级别 3。 有关此合规性标准的详细信息,请参阅网络安全成熟度模型认证 (CMMC)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
访问控制 AC.1.001 仅限授权用户、代表授权用户执行操作的进程以及设备(包括其他信息系统)访问信息系统。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
访问控制 AC.1.002 仅限授权用户有权执行的事务和函数类型访问信息系统。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 AC.2.007 对特定安全功能和特权帐户等内容采用最小特权原则。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 AC.2.016 根据批准的授权控制 CUI 流。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
配置管理 CM.2.062 采用最少功能原则,将组织系统配置为仅提供基本功能。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
配置管理 CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
风险评估 RM.2.143 根据风险评估修正漏洞。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
系统和通信保护 SC.1.175 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
系统和通信保护 SC.3.177 采用经 FIPS 验证的加密模块来保护 CUI 的机密性。 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 SC.3.183 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
系统和信息完整性 SI.1.210 及时识别、报告和更正信息及信息系统缺陷。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

FedRAMP 高

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP High。 有关此合规性标准的详细信息,请参阅 FedRAMP High

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-4 信息流强制 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
配置管理 CM-6 配置设置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 CM-6 配置设置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许特权容器 9.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许容器特权提升 7.2.0
系统和通信保护 SC-7 边界保护 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-7 (3) 接入点 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-8 传输保密性和完整性 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-8 (1) 加密或备用物理保护 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-12 加密密钥建立和管理 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 SC-28 保护静态信息 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和通信保护 SC-28 (1) 加密保护 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和信息完整性 SI-2 缺陷修正 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

FedRAMP 中等

若要查看各项 Azure 服务可用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - FedRAMP Moderate。 有关此合规性标准的详细信息,请参阅 FedRAMP Moderate

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-4 信息流强制 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
配置管理 CM-6 配置设置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 CM-6 配置设置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许特权容器 9.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许容器特权提升 7.2.0
系统和通信保护 SC-7 边界保护 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-7 (3) 接入点 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-8 传输保密性和完整性 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-8 (1) 加密或备用物理保护 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-12 加密密钥建立和管理 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 SC-28 保护静态信息 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和通信保护 SC-28 (1) 加密保护 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和信息完整性 SI-2 缺陷修正 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

HIPAA HITRUST 9.2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - HIPAA HITRUST 9.2。 有关此合规性标准的详细信息,请参阅 HIPAA HITRUST 9.2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
特权管理 1149.01c2System.9 - 01.c 组织可使获得授权的用户能够在组织规定允许自行决定的情况下确定业务合作伙伴的访问权限,并采用手动流程或自动化机制来帮助用户进行信息共享/协作决策,从而促进信息共享。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
11 访问控制 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 对信息系统的授权访问 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
12 审核日志记录和监视 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 记录的操作程序 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4

Microsoft Cloud for Sovereignty 基线机密政策

要查看所有 Azure 服务的可用 Azure Policy 内置内容与此合规性标准的映射关系,请参阅 MCfS Sovereignty 基线机密政策的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 Microsoft Cloud for Sovereignty 政策组合

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
SO.3 - 客户管理的密钥 SO.3 Azure 产品必须配置为尽可能使用客户管理的密钥。 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1

Microsoft 云安全基准

Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Microsoft Cloud 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - Microsoft Cloud 安全基准

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
网络安全 NS-2 使用网络控件保护云服务 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
特权访问 PA-7 遵循 Just Enough Administration(最小特权)原则 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
数据保护 DP-3 加密传输中的敏感数据 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
日志记录和威胁检测 LT-1 启用威胁检测功能 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
日志记录和威胁检测 LT-3 启用日志记录以进行安全调查 应启用 Azure Kubernetes 服务中的资源日志 1.0.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器只应使用允许的功能 6.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器应只使用允许的映像 9.3.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集服务应只侦听允许的端口 8.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应允许特权容器 9.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集应禁用自动装载 API 凭据 4.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不得允许容器特权提升 7.2.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 5.1.0
安全状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应使用默认命名空间 4.2.0
安全状况和漏洞管理 PV-6 快速自动地修正漏洞 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
DevOps 安全性 DS-6 在整个 DevOps 生命周期内加强工作负载的安全性 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1

NIST SP 800-171 R2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-171 R2。 有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 3.1.3 根据批准的授权控制 CUI 流。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 3.13.1 监视、控制和保护组织系统的外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 3.13.10 为组织系统中使用的加密技术建立加密密钥并进行管理。 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 3.13.16 保护静态 CUI 的机密性。 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和通信保护 3.13.2 采用可提高组织系统内有效信息安全的体系结构设计、软件开发技术和系统工程原则。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 3.13.5 为物理上或逻辑上与内部网络分离的可公开访问的系统组件实现子网。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 3.13.6 默认拒绝和例外允许(即全部拒绝和例外允许)网络通信流量。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 3.13.8 除非另有其他物理安全措施进行保护,否则实现加密机制以防止在传输过程中未经授权泄露 CUI。 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和信息完整性 3.14.1 及时识别、报告和更正系统缺陷。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集不应允许特权容器 9.2.0
配置管理 3.4.1 在各个系统开发生命周期内,建立和维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。 Kubernetes 群集不得允许容器特权提升 7.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集不应允许特权容器 9.2.0
配置管理 3.4.2 为组织系统中使用的信息技术产品建立和实施安全配置设置。 Kubernetes 群集不得允许容器特权提升 7.2.0

NIST SP 800-53 修订版 4

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - NIST SP 800-53 修订版 4。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 4

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-3 (7) 基于角色的访问控制 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 AC-4 信息流强制 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
配置管理 CM-6 配置设置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 CM-6 配置设置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许特权容器 9.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许容器特权提升 7.2.0
系统和通信保护 SC-7 边界保护 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-7 (3) 接入点 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-8 传输保密性和完整性 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-8 (1) 加密或备用物理保护 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-12 加密密钥建立和管理 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 SC-28 保护静态信息 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和通信保护 SC-28 (1) 加密保护 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和信息完整性 SI-2 缺陷修正 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
系统和信息完整性 SI-2 (6) 删除以前版本的软件/固件 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

NIST SP 800-53 Rev. 5

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规遵从性 - NIST SP 800-53 Rev. 5。 有关此符合性标准的详细信息,请参阅 NIST SP 800-53 Rev. 5

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
访问控制 AC-3 (7) 基于角色的访问控制 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 AC-4 信息流强制 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
配置管理 CM-6 配置设置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
配置管理 CM-6 配置设置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器只应使用允许的功能 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应只使用允许的映像 9.3.0
配置管理 CM-6 配置设置 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
配置管理 CM-6 配置设置 Kubernetes 群集服务应只侦听允许的端口 8.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许特权容器 9.2.0
配置管理 CM-6 配置设置 Kubernetes 群集不得允许容器特权提升 7.2.0
系统和通信保护 SC-7 边界保护 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-7 (3) 接入点 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
系统和通信保护 SC-8 传输保密性和完整性 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-8 (1) 加密保护 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
系统和通信保护 SC-12 加密密钥建立和管理 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
系统和通信保护 SC-28 保护静态信息 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和通信保护 SC-28 (1) 加密保护 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
系统和信息完整性 SI-2 缺陷修正 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
系统和信息完整性 SI-2 (6) 删除以前版本的软件和固件 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

NL BIO 云主题

若要查看所有 Azure 服务内置的可用 Azure Policy 如何映射到此合规性标准,请参阅 NL BIO 云主题的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅基线信息安全政府网络安全 - 数字政府 (digitaleoverheid.nl)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
C.04.3 技术漏洞管理 - 时间线 C.04.3 如果滥用和预期损坏的可能性都很高,则修补程序安装时间不晚于一周内。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
C.04.6 技术漏洞管理 - 时间线 C.04.6 可以通过及时执行修补程序管理来补救技术弱点。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器只应使用允许的功能 6.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器应只使用允许的映像 9.3.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集服务应只侦听允许的端口 8.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集不应允许特权容器 9.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集应禁用自动装载 API 凭据 4.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集不得允许容器特权提升 7.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 5.1.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 群集不应使用默认命名空间 4.2.0
C.04.7 技术漏洞管理 - 评估 C.04.7 记录并报告技术漏洞评估。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
U.05.1 数据保护 - 加密措施 U.05.1 数据传输使用加密技术进行保护,其中密钥管理由 CSC 自行执行(如果可能)。 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
U.05.2 数据保护 - 加密措施 U.05.2 存储在云服务中的数据应得到最先进的保护。 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
U.05.2 数据保护 - 加密措施 U.05.2 存储在云服务中的数据应得到最先进的保护。 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
U.07.1 数据分离 - 隔离 U.07.1 数据永久隔离是多租户体系结构。 补丁以受控的方式实现。 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
U.07.3 数据分离 - 管理功能 U.07.3 U.07.3 - 以受控方式授予查看或修改 CSC 数据和/或加密密钥的权限,并记录使用。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
U.09.3 恶意软件防护 - 检测、预防和恢复 U.09.3 恶意软件防护在不同的环境中运行。 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
U.10.2 访问 IT 服务和数据 - 用户 U.10.2 根据 CSP 的责任,向管理员授予访问权限。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
U.10.3 访问 IT 服务和数据 - 用户 U.10.3 只有拥有已进行身份验证的设备的用户才能访问 IT 服务和数据。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
U.10.5 访问 IT 服务和数据 - 胜任 U.10.5 对 IT 服务和数据的访问受技术措施的限制,并已实施。 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
U.11.1 加密服务 - 策略 U.11.1 在加密策略中,至少已对符合 BIO 的主题进行了详细说明。 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
U.11.2 加密服务 - 加密度量值 U.11.2 对于 PKIoverheid 证书,请使用 PKIoverheid 要求进行密钥管理。 在其他情况下,请使用 ISO11770。 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
U.11.3 加密服务 - 加密 U.11.3 敏感数据始终使用 CSC 管理的私钥进行加密。 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
U.11.3 加密服务 - 加密 U.11.3 敏感数据始终使用 CSC 管理的私钥进行加密。 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 1.0.1
U.15.1 日志记录和监视 - 记录的事件 U.15.1 CSP 和 CSC 记录违反策略规则。 应启用 Azure Kubernetes 服务中的资源日志 1.0.0

印度储备银行 - 面向 NBFC 的 IT 框架

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - 印度储备银行 - 面向 NBFC 的 IT 框架。 有关此合规性标准的详细信息,请参阅印度储备银行 - 面向 NBFC 的 IT 框架

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
IT 治理 1 IT 治理-1 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
信息和网络安全 3.1.a 信息资产的标识和分类-3.1 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
信息和网络安全 3.1.c 基于角色的访问控制 3.1 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
信息和网络安全 3.1.g Trails-3.1 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
信息和网络安全 3.3 漏洞管理 - 3.3 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

印度储备银行面向银行的 IT 框架 v2016

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 法规合规性 - RBI ITF Banks v2016。 有关此合规性标准的详细信息,请参阅 RBI ITF Banks v2016 (PDF)

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
补丁/漏洞和变更管理 补丁/漏洞和更改管理-7.7 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
高级 Real-Timethreat Defenceand 管理 高级 Real-Time Threat Defence and Management-13.2 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
用户访问控制/管理 用户访问控制/管理-8.1 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4

马来西亚 RMIT

若要查看可供所有 Azure 服务使用的 Azure Policy 内置项如何映射到此合规性标准,请参阅 Azure Policy 合规性 - 马来西亚 RMIT。 有关此合规性标准的详细信息,请参阅马来西亚 RMIT

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
加密 10.19 加密- 10.19 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
访问控制 10.54 访问控制 - 10.54 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 10.55 访问控制 - 10.55 Kubernetes 群集容器只应使用允许的功能 6.2.0
访问控制 10.55 访问控制 - 10.55 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
访问控制 10.55 访问控制 - 10.55 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
访问控制 10.55 访问控制 - 10.55 Kubernetes 群集不应允许特权容器 9.2.0
访问控制 10.55 访问控制 - 10.55 Kubernetes 群集不得允许容器特权提升 7.2.0
访问控制 10.60 访问控制 - 10.60 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 10.61 访问控制 - 10.61 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
访问控制 10.62 访问控制 - 10.62 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
补丁和生命周期终结系统管理 10.65 补丁和生命周期终结系统管理 - 10.65 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2
安全运营中心 (SOC) 11.17 安全运营中心 (SOC) - 11.17 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
网络安全控制措施 附录 5.5 网络安全控制措施 - 附录 5.5 Kubernetes 群集服务只应使用允许的外部 IP 5.2.0
网络安全控制措施 附录 5.6 网络安全控制措施 - 附录 5.6 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
网络安全控制措施 附录 5.6 网络安全控制措施 - 附录 5.6 Kubernetes 群集服务应只侦听允许的端口 8.2.0
网络安全控制措施 附录 5.6 网络安全控制措施 - 附录 5.6 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0

西班牙 ENS

要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于西班牙 ENS 的 Azure Policy 合规性详细信息。 有关此合规性标准的详细信息,请参阅 CCN-STIC 884

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
保护措施 mp.s.3 服务保护 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
操作框架 op.exp.2 操作 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
操作框架 op.exp.3 操作 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
操作框架 op.exp.4 操作 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
操作框架 op.exp.5 操作 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
操作框架 op.exp.6 操作 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
操作框架 op.exp.6 操作 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1
操作框架 op.exp.6 操作 配置 Azure Kubernetes 服务群集以启用 Defender 配置文件 4.3.0
操作框架 op.exp.7 操作 Kubernetes 群集容器应只使用允许的映像 9.3.0
操作框架 op.exp.8 操作 应启用 Azure Kubernetes 服务中的资源日志 1.0.0
操作框架 op.mon.3 系统监视 Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 1.0.1

SWIFT CSP-CSCF v2021

要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅针对 SWIFT CSP-CSCF v2021 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅 SWIFT CSP CSCF v2021

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
SWIFT 环境保护 1.1 SWIFT 环境保护 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
SWIFT 环境保护 1.4 Internet 访问的限制 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
减少攻击面和漏洞 2.1 内部数据流安全性 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
检测系统或事务记录的异常活动 6.2 软件完整性 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1
检测系统或事务记录的异常活动 6.5A 入侵检测 Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 1.0.1

系统和组织控制 (SOC) 2

若要查看所有 Azure 服务的可用 Azure Policy 内置项如何映射到此合规性标准,请参阅适用于系统和组织控制 (SOC) 2 的 Azure Policy 法规合规性详细信息。 有关此合规性标准的详细信息,请参阅系统和组织控制 (SOC) 2

控制 ID 控制标题 策略
(Azure 门户)
策略版本
(GitHub)
逻辑访问控制和物理访问控制 CC6.1 逻辑访问安全软件、基础结构和体系结构 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
逻辑访问控制和物理访问控制 CC6.3 基于 ROL 的访问权限和最小权限 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.4
逻辑访问控制和物理访问控制 CC6.6 针对系统边界之外的威胁的安全措施 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
逻辑访问控制和物理访问控制 CC6.7 限制信息向授权用户移动 Kubernetes 群集应只可通过 HTTPS 进行访问 8.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器只应使用允许的功能 6.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器应只使用允许的映像 9.3.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集服务应只侦听允许的端口 8.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集不应允许特权容器 9.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集应禁用自动装载 API 凭据 4.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集不得允许容器特权提升 7.2.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 5.1.0
逻辑访问控制和物理访问控制 CC6.8 防止或检测未经授权的软件或恶意软件 Kubernetes 群集不应使用默认命名空间 4.2.0
系统操作 CC7.2 监视系统组件是否存在异常行为 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.1
变更管理 CC8.1 对基础结构、数据和软件的更改 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.3.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器只应使用允许的功能 6.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器应只使用允许的映像 9.3.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集容器应使用只读根文件系统运行 6.3.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集服务应只侦听允许的端口 8.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集不应允许特权容器 9.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集应禁用自动装载 API 凭据 4.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集不得允许容器特权提升 7.2.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 5.1.0
变更管理 CC8.1 对基础结构、数据和软件的更改 Kubernetes 群集不应使用默认命名空间 4.2.0

后续步骤