Předdefinované definice Azure Policy pro službu Azure Kubernetes Service
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro službu Azure Kubernetes Service. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Iniciativy
| Název | Popis | Zásady | Verze |
|---|---|---|---|
| [Preview]: K zajištění nasazení jenom důvěryhodných imagí použijte integritu image. | Pomocí integrity imagí zajistíte, že clustery AKS nasadí jenom důvěryhodné image tím, že povolíte integritu imagí a doplňky Azure Policy v clusterech AKS. Doplněk Integrita image i doplněk Azure Policy jsou předpokladem použití integrity image k ověření, jestli je image při nasazení podepsaná. Další informace najdete na adrese https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Preview]: Ochrana nasazení by měla pomoct vývojářům s doporučenými osvědčenými postupy AKS. | Kolekce osvědčených postupů Kubernetes, které doporučuje Služba Azure Kubernetes Service (AKS). Nejlepších zkušeností dosáhnete, když k přiřazení této iniciativy zásad použijete bezpečnostní opatření nasazení: https://aka.ms/aks/deployment-safeguards. Doplněk Azure Policy pro AKS je předpokladem pro použití těchto osvědčených postupů pro vaše clustery. Pokyny k povolení doplňku Azure Policy najdete v tématu aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Standardní standardy zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu | Tato iniciativa zahrnuje zásady pro standardy standardních hodnot zabezpečení podů clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standardy zabezpečení podů clusteru Kubernetes pro úlohy založené na Linuxu | Tato iniciativa zahrnuje zásady pro standardy zabezpečení podů clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definice zásad
Microsoft.ContainerService
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes by měly používat jenom image podepsané notací. | Používejte obrázky podepsané notací, abyste zajistili, že obrázky pocházejí z důvěryhodných zdrojů a nebudou se zlými úmysly změněny. Další informace najdete na stránce https://aka.ms/aks/image-integrity | Audit, zakázáno | 1.0.0-preview |
| [Preview]: Rozšíření Azure Backup by mělo být nainstalované v clusterech AKS. | Zajistěte ochranu instalace rozšíření zálohování v clusterech AKS pro využití služby Azure Backup. Azure Backup pro AKS je zabezpečené a cloudové nativní řešení ochrany dat pro clustery AKS. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Pro clustery AKS by měla být povolená služba Azure Backup. | Zajistěte ochranu clusterů AKS povolením služby Azure Backup. Azure Backup pro AKS je zabezpečené a cloudové nativní řešení ochrany dat pro clustery AKS. | AuditIfNotExists, zakázáno | 1.0.0-preview |
| [Preview]: Spravované clustery Azure Kubernetes Service by měly být zónově redundantní. | Spravované clustery Azure Kubernetes Service je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Zásady kontrolují fondy uzlů v clusteru a zajišťují, že jsou pro všechny fondy uzlů nastavené zóny avaialbilty. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Nejde upravit jednotlivé uzly | Nelze upravit jednotlivé uzly. Uživatelé by neměli upravovat jednotlivé uzly. Upravte fondy uzlů. Úprava jednotlivých uzlů může vést k nekonzistentnímu nastavení, provozním výzvám a potenciálním bezpečnostním rizikům. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Nasazení integrity image ve službě Azure Kubernetes Service | Nasaďte clustery Azure Kubernetes s integritou i doplňky zásad. Další informace najdete na stránce https://aka.ms/aks/image-integrity | DeployIfNotExists, zakázáno | 1.0.5-preview |
| [Preview]: Image kontejneru clusteru Kubernetes musí obsahovat předpřipravený háček. | Vyžaduje, aby image kontejnerů obsahovaly předstop háku pro řádné ukončení procesů během vypnutí podu. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Image kontejneru clusteru Kubernetes by neměly obsahovat nejnovější značku image. | Vyžaduje, aby image kontejnerů v Kubernetes nepoužíly nejnovější značku, je osvědčeným postupem zajistit reprodukovatelnost, zabránit nezamýšleným aktualizacím a usnadnit ladění a vrácení zpět pomocí explicitních a verzí imagí kontejneru. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Kontejnery clusteru Kubernetes by měly načítat image jenom v případě, že jsou k dispozici tajné kódy pro vyžádání image. | Omezení vyžádání imagí kontejnerů za účelem vynucení přítomnosti ImagePullSecrets, zajištění zabezpečeného a autorizovaného přístupu k imagím v clusteru Kubernetes | Audit, Odepřít, Zakázáno | 1.1.0-preview |
| [Preview]: Clusterové služby Kubernetes by měly používat jedinečné selektory. | Ujistěte se, že služby v oboru názvů mají jedinečné selektory. Jedinečný selektor služeb zajišťuje, aby každá služba v oboru názvů byla jedinečně identifikovatelná na základě konkrétních kritérií. Tato zásada synchronizuje prostředky příchozího přenosu dat do OPA prostřednictvím Gatekeeperu. Před použitím ověřte, že nedojde k překročení kapacity paměti podů Gatekeeper. Parametry platí pro konkrétní obory názvů, ale synchronizují všechny prostředky tohoto typu napříč všemi obory názvů. Aktuálně ve verzi Preview pro Kubernetes Service (AKS). | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Cluster Kubernetes by měl implementovat přesné rozpočty přerušení podů. | Zabraňuje vadným rozpočtům přerušení podů a zajišťuje minimální počet provozních podů. Podrobnosti najdete v oficiální dokumentaci k Kubernetes. Spoléhá na replikaci dat Gatekeeper a synchronizuje všechny prostředky příchozího přenosu dat, které jsou s ním vymezené, do OPA. Než použijete tuto zásadu, ujistěte se, že synchronizované prostředky příchozího přenosu dat nebudou zatěžovat vaši kapacitu paměti. Přestože parametry vyhodnocují konkrétní obory názvů, všechny prostředky tohoto typu napříč obory názvů se budou synchronizovat. Poznámka: Aktuálně ve verzi Preview pro Kubernetes Service (AKS). | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Clustery Kubernetes by měly omezit vytváření daného typu prostředku. | Daný typ prostředku Kubernetes by neměl být nasazen v určitém oboru názvů. | Audit, Odepřít, Zakázáno | 2.2.0-preview |
| [Preview]: Musí mít nastavená pravidla proti spřažení. | Tato zásada zajišťuje, aby pody byly naplánované na různých uzlech v clusteru. Vynucením pravidel ochrany proti spřažení se dostupnost udržuje i v případě, že některý z uzlů nebude dostupný. Pody budou dál běžet na jiných uzlech, což zvyšuje odolnost. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Žádné popisky specifické pro AKS | Zabrání zákazníkům v použití konkrétních popisků AKS. AKS používá k označení komponent vlastněných AKS popisky s předponou kubernetes.azure.com . Zákazník by neměl tyto popisky používat. |
Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Tainty vyhrazeného systémového fondu | Omezuje taint CriticalAddonsOnly pouze na systémový fond. AKS používá taint CriticalAddonsOnly k tomu, aby pody zákazníků zůstaly mimo systémový fond. Zajišťuje jasné oddělení mezi komponentami AKS a pody zákazníků a také zabraňuje vyřazení podů zákazníků, pokud netolerují taint CriticalAddonsOnly. | Audit, Odepřít, Zakázáno | 1.1.1-preview |
| [Preview]: Omezuje taint CriticalAddonsOnly pouze na systémový fond. | Aby nedocházelo k vyřazení uživatelských aplikací z fondů uživatelů a zachovalo se oddělení obav mezi fondy uživatelů a systémových fondů, nemělo by se u fondů uživatelů používat taint CriticalAddonsOnly. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví omezení procesoru kontejnerů clusteru Kubernetes na výchozí hodnoty v případě, že nejsou k dispozici. | Nastavení limitů procesoru kontejneru, aby se zabránilo útokům na vyčerpání prostředků v clusteru Kubernetes. | Ztlumení, zakázáno | 1.1.1-preview |
| [Preview]: Nastaví omezení paměti kontejnerů clusteru Kubernetes na výchozí hodnoty v případě, že nejsou k dispozici. | Nastavení limitů paměti kontejneru, aby se zabránilo útokům na vyčerpání prostředků v clusteru Kubernetes. | Ztlumení, zakázáno | 1.1.1-preview |
| [Preview]: Nastaví maximální počet podů na 1 pro prostředky PodDisruptionBudget. | Nastavení maximální hodnoty nedostupného podu na 1 zajistí, že během přerušení bude vaše aplikace nebo služba k dispozici. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví readOnlyRootFileSystem ve specifikaci podu v kontejnerech init na hodnotu true, pokud není nastavena. | Nastavení readOnlyRootFileSystem na true zvyšuje zabezpečení tím, že brání kontejnerům v zápisu do kořenového systému souborů. To funguje jenom pro kontejnery Linuxu. | Ztlumení, zakázáno | 1.1.0-preview |
| [Preview]: Nastaví readOnlyRootFileSystem ve specifikaci podu na hodnotu true, pokud není nastavena. | Nastavení readOnlyRootFileSystem na true zvyšuje zabezpečení tím, že brání kontejnerům v zápisu do kořenového systému souborů. | Ztlumení, zakázáno | 1.1.0-preview |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Clustery Azure Kubernetes by měly povolit rozhraní úložiště kontejnerů (CSI) | Rozhraní úložiště kontejnerů (CSI) je standardem pro zveřejnění libovolných systémů úložiště bloků a souborů pro kontejnerizované úlohy ve službě Azure Kubernetes Service. Další informace https://aka.ms/aks-csi-driver | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes by měly povolit Služba správy klíčů (Služba správy klíčů) | Pro zabezpečení clusteru Kubernetes použijte Služba správy klíčů (Služba správy klíčů) k šifrování neaktivních uložených uložených uložených dat atd. Další informace najdete tady: https://aka.ms/aks/kmsetcdencryption. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes by měly používat Azure CNI | Azure CNI je předpokladem pro některé funkce služby Azure Kubernetes Service, včetně zásad sítě Azure, fondů uzlů Windows a doplňků pro virtuální uzly. Další informace najdete tady: https://aka.ms/aks-azure-cni | Audit, zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly zakázat vyvolání příkazů. | Zakázání vyvolání příkazu může zvýšit zabezpečení tím, že se zabrání obejití omezeného síťového přístupu nebo řízení přístupu na základě role Kubernetes. | Audit, zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly povolit automatický upgrade clusteru. | Automatický upgrade clusteru AKS může zajistit, aby vaše clustery byly aktuální a nezmeškaly nejnovější funkce nebo opravy z AKS a upstreamového Kubernetes. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit nástroj Image Cleaner. | Nástroj Image Cleaner provádí automatickou zranitelnou, nepoužitou identifikaci a odebrání obrázku, což snižuje riziko zastaralých obrázků a zkracuje dobu potřebnou k jejich vyčištění. Další informace najdete tady: https://aka.ms/aks/image-cleaner. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit integraci s Microsoft Entra ID | Integrace Microsoft Entra ID spravované službou AKS může spravovat přístup ke clusterům konfigurací řízení přístupu na základě role Kubernetes (Kubernetes RBAC) na základě identity uživatele nebo členství ve skupině adresářů. Další informace najdete tady: https://aka.ms/aks-managed-aad. | Audit, zakázáno | 1.0.2 |
| Clustery Azure Kubernetes Service by měly povolit automatický upgrade operačního systému uzlu. | Automatický upgrade operačního systému uzlu AKS řídí aktualizace zabezpečení operačního systému na úrovni uzlu. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly povolit identitu úloh. | Identita úloh umožňuje přiřadit každému podu Kubernetes jedinečnou identitu a přidružit ji k chráněným prostředkům Azure AD, jako je Azure Key Vault, a umožnit tak zabezpečený přístup k těmto prostředkům z podu. Další informace najdete tady: https://aka.ms/aks/wi. | Audit, zakázáno | 1.0.0 |
| Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o programu Microsoft Defender for Containers v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, zakázáno | 2.0.1 |
| Clustery Azure Kubernetes Service by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby clustery Azure Kubernetes Service měly k ověřování výhradně vyžadovat identity Azure Active Directory. Další informace najdete tady: https://aka.ms/aks-disable-local-accounts. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure Kubernetes Service by měly používat spravované identity. | Pomocí spravovaných identit zabalte instanční objekty, zjednodušte správu clusteru a vyhněte se složitosti vyžadované pro spravované instanční objekty. Další informace najdete tady: https://aka.ms/aks-update-managed-identities | Audit, zakázáno | 1.0.1 |
| Privátní clustery Azure Kubernetes Service by měly být povolené. | Povolte funkci privátního clusteru pro cluster Azure Kubernetes Service, abyste zajistili, že síťový provoz mezi vaším serverem ROZHRANÍ API a fondy uzlů zůstane jenom v privátní síti. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, zakázáno | 1.0.1 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Konfigurace clusterů Azure Kubernetes Service pro povolení profilu Defenderu | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.Defender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Přečtěte si další informace o programu Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, zakázáno | 4.1.0 |
| Konfigurace instalace rozšíření Flux v clusteru Kubernetes | Instalace rozšíření Flux v clusteru Kubernetes za účelem povolení nasazení fluxconfigurations v clusteru | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí zdroje kbelíku a tajných kódů ve službě KeyVault | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje kontejner SecretKey uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a certifikátu CERTIFIKAČNÍ autority HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje certifikát certifikační autority HTTPS. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč HTTPS uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí úložiště Git a tajných kódů SSH | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH uložený ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes s konfigurací Flux v2 pomocí veřejného úložiště Git | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes se zadaným zdrojem kontejneru Flux v2 pomocí místních tajných kódů | Nasaďte do clusterů Kubernetes "fluxConfiguration", abyste zajistili, že clustery z definovaného kontejneru získají svůj zdroj pravdivých informací pro úlohy a konfigurace. Tato definice vyžaduje místní ověřovací tajné kódy uložené v clusteru Kubernetes. Pokyny naleznete na adrese https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů HTTPS | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajné kódy uživatele a klíče HTTPS uložené ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps bez tajných kódů | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice nevyžaduje žádné tajné kódy. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace clusterů Kubernetes se zadanou konfigurací GitOps pomocí tajných kódů SSH | Nasaďte do clusterů Kubernetes "sourceControlConfiguration", abyste zajistili, že clustery z definovaného úložiště Git získají svůj zdroj pravdivých informací o úlohách a konfiguracích. Tato definice vyžaduje tajný klíč privátního klíče SSH ve službě Key Vault. Pokyny naleznete na adrese https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurace integrovaných clusterů Azure Kubernetes Service s integrovaným Microsoft Entra ID s požadovaným přístupem ke skupině Správa | Zajistěte, aby se zlepšilo zabezpečení clusteru centrálním řízením přístupu Správa istratoru k integrovaným clusterům AKS s Microsoft Entra ID. | DeployIfNotExists, zakázáno | 2.1.0 |
| Konfigurace automatického upgradu operačního systému uzlu v clusteru Azure Kubernetes | Automatický upgrade operačního systému uzlu slouží k řízení aktualizací zabezpečení operačního systému na úrovni uzlů clusterů Azure Kubernetes Service (AKS). Další informace najdete na adrese https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, zakázáno | 1.0.1 |
| Nasazení – Konfigurace nastavení diagnostiky pro službu Azure Kubernetes Service do pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro službu Azure Kubernetes Service pro streamování protokolů prostředků do pracovního prostoru služby Log Analytics. | DeployIfNotExists, zakázáno | 3.0.0 |
| Nasazení doplňku Azure Policy do clusterů Azure Kubernetes Service | Pomocí doplňku Azure Policy můžete spravovat a hlásit stav dodržování předpisů clusterů Azure Kubernetes Service (AKS). Další informace najdete na webu https://aka.ms/akspolicydoc. | DeployIfNotExists, zakázáno | 4.1.0 |
| Nasazení nástroje Image Cleaner ve službě Azure Kubernetes Service | Nasazení nástroje Image Cleaner v clusterech Azure Kubernetes Další informace najdete na stránce https://aka.ms/aks/image-cleaner | DeployIfNotExists, zakázáno | 1.0.4 |
| Nasazení plánované údržby pro plánování a řízení upgradů pro cluster Azure Kubernetes Service (AKS) | Plánovaná údržba umožňuje naplánovat týdenní časové intervaly údržby, abyste mohli provádět aktualizace a minimalizovat dopad úloh. Po naplánování dojde k upgradům pouze během vybraného okna. Další informace najdete tady: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Zakázání vyvolání příkazu v clusterech Azure Kubernetes Service | Zakázání vyvolání příkazu může zvýšit zabezpečení odmítnutím přístupu k příkazu invoke-command ke clusteru. | DeployIfNotExists, zakázáno | 1.2.0 |
| Ujistěte se, že kontejnery clusteru mají nakonfigurované testy připravenosti nebo aktivity. | Tato zásada vynucuje, aby všechny pody měly nakonfigurované testy připravenosti nebo aktivity. Typy sond můžou být libovolné z tcpSocket, httpGet a exec. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Pokyny k používání této zásady naleznete v tématu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Kontejnery clusteru Kubernetes by neměly používat zakázaná rozhraní sysctl. | Kontejnery by neměly používat zakázaná rozhraní sysctl v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolený typ ProcMountType. | Kontejnery podů můžou v clusteru Kubernetes používat pouze povolené typy ProcMountTypes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené zásady vyžádání změn. | Omezení zásad vyžádání replikace kontejnerů tak, aby vynucovaly kontejnery tak, aby používaly pouze povolené image v nasazeních | Audit, Odepřít, Zakázáno | 3.1.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily seccomp. | Kontejnery podů můžou používat pouze povolené profily seccomp v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Svazky clusteru Kubernetes Pod FlexVolume by měly používat pouze povolené ovladače. | Svazky Pod FlexVolume by měly používat pouze povolené ovladače v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.1 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.1 |
| Pody a kontejnery clusteru Kubernetes by měly používat pouze povolené možnosti SELinuxu | Pody a kontejnery by měly používat pouze povolené možnosti SELinux v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody clusteru Kubernetes by měly používat pouze povolené typy svazků. | Pody můžou používat pouze povolené typy svazků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.1 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Pody clusteru Kubernetes by měly používat zadané popisky. | Pomocí zadaných popisků identifikujte pody v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clusterové služby Kubernetes by měly používat jenom povolené externí IP adresy. | Použijte povolené externí IP adresy, abyste se vyhnuli potenciálnímu útoku (CVE-2020-8554) v clusteru Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Cluster Kubernetes by neměl používat nahé pody. | Zablokujte používání nahých podů. V případě selhání uzlu nebudou přeplánované nahé pody. Pody by měly být spravovány nasazením, replicitou, procesem démon nebo úlohami. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Kontejnery clusteru Kubernetes pro Windows by neměly přepočítat procesor a paměť. | Požadavky na prostředky kontejneru Windows by měly být menší nebo rovny limitu prostředků nebo nezadané, aby se zabránilo nadměrnému omezení. Pokud je paměť Systému Windows nadměrně zřízená, zpracuje stránky na disku – což může zpomalit výkon – místo ukončení kontejneru s nedostatkem paměti. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Kontejnery clusteru Kubernetes pro Windows by se neměly spouštět jako kontejner Správa istrator | Zabraňte použití kontejneru Správa istrator jako uživatel ke spouštění procesů kontejneru pro pody nebo kontejnery Windows. Toto doporučení je určené ke zlepšení zabezpečení uzlů Windows. Další informace naleznete v tématu https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Odepřít, Zakázáno | 1.1.0 |
| Kontejnery clusteru Kubernetes s Windows by se měly spouštět jenom se schválenými uživateli a doménovými skupinami uživatelů. | Řídí uživatele, kterého mohou pody a kontejnery Windows používat ke spuštění v clusteru Kubernetes. Toto doporučení je součástí zásad zabezpečení podů na uzlech Windows, které mají zlepšit zabezpečení prostředí Kubernetes. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.1.0 |
| Clustery Kubernetes by měly zajistit, aby se role správce clusteru používala jenom v případě potřeby. | Role správce clusteru poskytuje široké možnosti nad prostředím a měla by se používat jenom tam, kde a v případě potřeby. | Audit, zakázáno | 1.0.0 |
| Clustery Kubernetes by měly minimalizovat použití zástupných znaků v roli a roli clusteru. | Použití zástupných znaků *může být bezpečnostní riziko, protože uděluje široká oprávnění, která nemusí být nutná pro konkrétní roli. Pokud má role příliš mnoho oprávnění, může ho útočník zneužít nebo ohrozit uživatele, aby získal neoprávněný přístup k prostředkům v clusteru. | Audit, zakázáno | 1.0.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clustery Kubernetes by neměly povolovat oprávnění pro úpravy koncového bodu role clusteru nebo system:aggregate-to-edit | Role clusteru/system:aggregate-to-edit by neměly umožňovat oprávnění k úpravám koncového bodu kvůli CVE-2021-25740, oprávnění koncového bodu a koncového boduSlice umožňují předávání mezi obory názvů. https://github.com/kubernetes/kubernetes/issues/103675 Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, zakázáno | 3.1.0 |
| Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly používat konkrétní možnosti zabezpečení. | Zabraňte konkrétním možnostem zabezpečení v clusterech Kubernetes, aby se zabránilo nechtěným oprávněním k prostředku podu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.1.0 |
| Clustery Kubernetes by měly používat třídu StorageClass ovladače Container Storage Interface (CSI). | CSI (Container Storage Interface) je standard pro zpřístupnění libovolných blokových a souborových systémů úložišť kontejnerizovaným úlohám v Kubernetes. Třída StorageClass ve stromu by měla být zastaralá, protože AKS verze 1.21. Další informace https://aka.ms/aks-csi-driver | Audit, Odepřít, Zakázáno | 2.2.0 |
| Clustery Kubernetes by měly používat interní nástroje pro vyrovnávání zatížení. | Použití interních nástrojů pro vyrovnávání zatížení k tomu, aby služba Kubernetes byla přístupná jenom aplikacím běžícím ve stejné virtuální síti jako cluster Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Prostředky Kubernetes by měly mít požadované poznámky | Ujistěte se, že jsou požadované poznámky připojené k danému typu prostředku Kubernetes, aby se zlepšila správa prostředků vašich prostředků Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 3.1.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Protokoly prostředků ve službě Azure Kubernetes Service by měly být povolené. | Protokoly prostředků služby Azure Kubernetes Service můžou pomoct znovu vytvořit záznamy aktivit při vyšetřování incidentů zabezpečení. Povolte ho, abyste měli jistotu, že protokoly budou existovat v případě potřeby. | AuditIfNotExists, zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.