Kontrollen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Azure Kubernetes Service (AKS)
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy umfasst von Microsoft erstellte und verwaltete Initiativendefinitionen (Integrationen) für die Compliancedomänen und Sicherheitskontrollen, die sich auf unterschiedliche Compliancestandards beziehen. Auf dieser Seite sind die Compliancedomänen und Sicherheitskontrollen für Azure Kubernetes Service (AKS) aufgeführt.
Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
CIS Microsoft Azure Foundations Benchmark
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Build-Ins für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8.5 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8.5 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8.7 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
CMMC Level 3
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Zugriffssteuerung | AC.2.007 | Verwenden Sie das Prinzip der geringsten Rechte, u. a. für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Konfigurationsverwaltung | CM.2.062 | Verwenden Sie das Prinzip der geringsten Funktionen, indem Sie Organisationssysteme so konfigurieren, dass ausschließlich zentrale Funktionen bereitgestellt werden. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
HIPAA HITRUST 9.2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: HIPAA HITRUST 9.2. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter HIPAA HITRUST 9.2.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Berechtigungsverwaltung | 1149.01c2System.9 - 01.c | Die Organisation ermöglicht die gemeinsame Nutzung von Informationen, indem sie autorisierten Benutzern ermöglicht, den Zugriff eines Geschäftspartners zu bestimmen, wenn die Ermessensfreiheit, wie von der Organisation definiert, zulässig ist, und indem sie manuelle Prozesse oder automatisierte Mechanismen einsetzt, um Benutzer bei Entscheidungen über die gemeinsame Nutzung von Informationen/Zusammenarbeit zu unterstützen. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| 11 Zugriffssteuerung | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| 12 Überwachungsprotokollierung und Überwachung | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumentierte Betriebsverfahren | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
Grundwerte für vertrauliche Richtlinien für Microsoft Cloud for Sovereignty
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure-Produkte müssen so konfiguriert werden, dass wenn möglich kundenseitig verwaltete Schlüssel verwendet werden. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
Microsoft Cloud Security Benchmark
Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | Schützen von Clouddiensten mit Netzwerksteuerelementen | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| Privilegierter Zugriff | PA-7 | Folgen Sie dem Prinzip der Just Enough Administration (Prinzip der minimalen Berechtigungen) | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Datenschutz | DP-3 | Verschlüsseln vertraulicher Daten während der Übertragung | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| Protokollierung und Bedrohungserkennung | LT-1 | Funktionen für die Bedrohungserkennung aktivieren | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-2 | Aktivieren der Bedrohungserkennung für die Identitäts- und Zugriffsverwaltung | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-3 | Aktivieren der Protokollierung für die Sicherheitsuntersuchung | Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | 1.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | Schnelles und automatisches Beheben von Sicherheitsrisiken | Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
| DevOps-Sicherheit | DS-6 | Erzwingen der Sicherheit von Workloads während des DevOps-Lebenszyklus | Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.10 | Sie können Kryptografieschlüssel für die Kryptografie einrichten und verwalten, die in den Organisationssystemen eingesetzt wird. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.16 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.8 | Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO-Clouddesign
Wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliance-Standard entsprechen, können Sie unter Azure Policy – Gesetzliche Bestimmungen – Details für PCI-DSS v4.0 nachlesen. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.6 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.05.1 Datenschutz – kryptografische Maßnahmen | U.05.1 | Der Datentransport wird mithilfe von Kryptografie gesichert, wobei die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| U.05.2 Datenschutz – kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| U.05.2 Datenschutz – kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind auf dem neuesten Stand der Technik zu schützen. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | 1.0.1 |
| U.07.1 Datentrennung – isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden auf kontrollierte Weise realisiert. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| U.07.3 Datentrennung – Verwaltungsfeatures | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| U.09.3 Schadsoftwareschutz – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzer*innen | U.10.2 | Unter der Verantwortung des CSP wird Administrator*innen der Zugriff gewährt. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzer*innen | U.10.3 | Nur Benutzer*innen mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| U.10.5 Zugriff auf IT-Dienste und -Daten – kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| U.11.1 Cryptoservices – Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| U.11.2 Cryptoservices – kryptografische Maßnahmen | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO 11770. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| U.11.3 Cryptoservices – verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| U.11.3 Cryptoservices – verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom CSC verwaltet werden. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | 1.0.1 |
| U.15.1 Protokollierung und Überwachung – protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom CSC aufgezeichnet. | Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | 1.0.0 |
Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft)
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – Reserve Bank of India – IT-Framework für NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domain | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Patches/Sicherheitsrisiken und Change Management | Patches/Sicherheitsrisiken und Change Management-7.7 | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 | |
| Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit | Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit-13.2 | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 | |
| Benutzerzugriffssteuerung/-verwaltung | Benutzerzugriffssteuerung/-verwaltung-8.1 | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
RMIT Malaysia
Um zu überprüfen, wie die verfügbaren Azure-Richtlinienintegrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, lesen Sie Azure Policy Regulatory Compliance – RMIT Malaysia. Weitere Informationen zu diesem Compliancestandard finden Sie unter RMIT Malaysia.
SWIFT CSP-CSCF v2021
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Azure-Richtliniendetails zur Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter SWIFT CSP CSCF v2021.
System- und Organisationssteuerelemente (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls). Weitere Informationen zu diesem Compliancestandard finden Sie unter System- und Organisationskontrollen (SOC) 2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Version der Richtlinie (GitHub) |
|---|---|---|---|---|
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| Logische und physische Zugriffssteuerung | CC6.3 | Rollenbasierter Zugriff und geringste Rechte | Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | 1.0.3 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzerinnen und Benutzer | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | 8.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.1.0 |
| Systemvorgänge | CC7.2 | Überwachen von Systemkomponenten auf ungewöhnliches Verhalten | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | 9.2.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | 5.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.1.1 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.2.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.2.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.1.1 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.1.1 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | 6.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 7.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Change Management | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.1.0 |
Nächste Schritte
- Weitere Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.