Definiciones de directivas integradas de Azure Policy para Kubernetes habilitado para Azure Arc
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Kubernetes habilitado para Azure Arc. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Kubernetes habilitado para Azure Arc
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: La extensión de Azure Backup debe instalarse en clústeres de AKS | Asegúrese de instalar la protección de la extensión de copia de seguridad en los clústeres de AKS para usar Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Versión preliminar]: Los clústeres de Kubernetes deben restringir la creación del tipo de recurso especificado | Dado el tipo de recurso de Kubernetes no se debe implementar en un determinado espacio de nombres. | Audit, Deny, Disabled | 2.2.0-preview |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy | La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben configurarse con un ámbito de Private Link de Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Open Service Mesh instalada | La extensión Open Service Mesh proporciona todas las capacidades de malla de servicio estándar para la seguridad, la administración del tráfico y la capacidad de observación de los servicios de aplicación. Más información aquí: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Strimzi Kafka | La extensión Strimzi Kafka proporciona a los operadores la instalación de Kafka para crear canalizaciones de datos en tiempo real y aplicaciones de streaming con funcionalidades de seguridad y observabilidad. Más información aquí: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes habilitados para Azure Arc para instalar la extensión de Azure Policy | Implemente la extensión de Azure Policy para Azure Arc a fin de proporcionar cumplimientos a escala y proteger los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configurar la instalación de la extensión Flux en el clúster de Kubernetes | Instalar la extensión Flux en el clúster de Kubernetes para habilitar la implementación de "fluxconfigurations" en el clúster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el origen y los secretos del cubo en KeyVault | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere un objeto SecretKey de cubo almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y el certificado de entidad de certificación de HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un certificado de entidad de certificación HTTPS. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada HTTPS almacenada en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos SSH | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada SSH almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT público | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con el origen de cubo de Flux v2 especificado mediante secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos HTTPS | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere que los secretos de usuario y clave de HTTPS estén almacenados en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada sin secretos | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos SSH | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere un secreto de clave privada SSH en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Asegúrese de que los contenedores de clúster tienen configurados sondeos de comprobación o ejecución | Esta directiva exige que todos los pods tengan configurados sondeos de preparación o ejecución. Los sondeos pueden ser cualquiera de tipo tcpSocket, httpGet y exec. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los contenedores de clúster de Kubernetes no deben usar interfaces sysctl prohibidas | Los contenedores no deben usar interfaces sysctl prohibidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar el tipo ProcMountType permitido | Los contenedores de pods solo pueden usar tipos ProcMountType permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar la directiva de extracción permitida | Restrinja la directiva de extracción de los contenedores para exigir que los contenedores solo usen imágenes permitidas en implementaciones. | Audit, Deny, Disabled | 3.1.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de seccomp permitidos | Los contenedores de pods solo pueden usar perfiles de seccomp permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los volúmenes FlexVolume del pod de clúster de Kubernetes solo deben usar controladores permitidos | Los volúmenes FlexVolume del pod solo deben usar controladores permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los pods y contenedores de los clústeres de Kubernetes solo deben usar opciones de SELinux permitidas | Los pods y contenedores solo deben usar opciones de SELinux permitidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar tipos de volumen permitidos | Los pods solo pueden usar tipos de volúmenes permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Los pods del clúster de Kubernetes deben usar etiquetas especificadas | Use las etiquetas especificadas para identificar los pods en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas | Use direcciones IP externas permitidas para evitar un ataque potencial (CVE-2020-8554) en un clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| El clúster de Kubernetes no debe usar pods desnudos | Bloquee el uso de pods desnudos. Los pods desnudos no se volverán a programar en caso de error de nodo. Los pods deben administrarse mediante Deployment, Replicset, DaemonSet o Jobs | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben sobreasignar la CPU y la memoria | Las solicitudes de recursos de contenedores de Windows deben ser menores o iguales que el límite de recursos o no estar especificados para evitar sobreasignaciones. Si la memoria de Windows está sobreaprovisionada, procesará las páginas en el disco, lo que puede ralentizar el rendimiento, en lugar de terminar el contenedor con memoria insuficiente. | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben ejecutarse como ContainerAdministrator | Evite el uso de ContainerAdministrator como usuario para ejecutar los procesos de contenedor para pods o contenedores de Windows. Esta recomendación está pensada para mejorar la seguridad de los nodos Windows. Para obtener más información, consulta https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Los contenedores de Windows del clúster de Kubernetes solo deben ejecutarse con un grupo de usuarios de dominio y usuario aprobado | Controle el usuario que los contenedores y pods de Windows pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods sobre los nodos de Windows, que están pensadas para mejorar la seguridad de los entornos de Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los clústeres de Kubernetes no deben permitir permisos de edición de puntos de conexión de ClusterRole/System:aggregate-to-edit | ClusterRole/system:aggregate-to-edit no debe permitir permisos de edición de puntos de conexión debido a CVE-2021-25740, los permisos Endpoint & EndpointSlice permiten el reenvío entre espacios de nombres, https://github.com/kubernetes/kubernetes/issues/103675. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar funcionalidades de seguridad específicas | Evite las funcionalidades de seguridad específicas en los clústeres de Kubernetes para impedir los privilegios no concedidos en el recurso de pod. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes deben usar el controlador StorageClass de Container Storage Interface (CSI) | La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Kubernetes. El aprovisionador en árbol StorageClass debería estar en desuso desde la versión 1.21 de AKS. Para obtener más información, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Los recursos Kubernetes deben tener las anotaciones necesarias | Asegúrese de que las anotaciones necesarias están asociadas en un tipo de recurso de Kubernetes determinado para mejorar la administración de recursos en los recursos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.