Azure házirend beépített definíciói az Azure Kubernetes szolgáltatáshoz
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure Kubernetes Service-hez. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Kezdeményezések
| Név | Leírás | Házirendek | Verzió |
|---|---|---|---|
| [Előzetes verzió]: A képintegritással biztosíthatja, hogy csak megbízható rendszerképek legyenek üzembe helyezve | Az Image Integrity használatával biztosíthatja, hogy az AKS-fürtök csak megbízható lemezképeket helyezzenek üzembe az AKS-fürtök képintegritási és Azure Policy-bővítményeinek engedélyezésével. Az Image Integrity bővítmény és az Azure Policy bővítmény egyaránt előfeltétele annak, hogy az Image Integrity használatával ellenőrizze, hogy a rendszerkép aláírása az üzembe helyezéskor történik-e. További információkért látogasson el https://aka.ms/aks/image-integrityide. | 3 | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Az üzembe helyezési védelemnek segítenie kell a fejlesztőket az AKS ajánlott ajánlott eljárásaihoz | Az Azure Kubernetes Service (AKS) által ajánlott ajánlott Kubernetes-eljárások gyűjteménye. A legjobb élmény érdekében használja az üzembe helyezési óvintézkedéseket a következő házirend-kezdeményezés hozzárendeléséhez: https://aka.ms/aks/deployment-safeguards. Az AKS-hez készült Azure Policy-bővítmény előfeltétele ezeknek az ajánlott eljárásoknak a fürtökre való alkalmazásának. Az Azure Policy bővítmény engedélyezésével kapcsolatos utasításokért tekintse meg a aka.ms/akspolicydoc | 19 | 1.7.0-előzetes verzió |
| A Kubernetes-fürt podjának biztonsági alapkonfigurációi Linux-alapú számítási feladatokhoz | Ez a kezdeményezés tartalmazza a Kubernetes-fürt podjának biztonsági alapkonfigurációs szabványait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . | 5 | 1.4.0 |
| A Kubernetes-fürt podjának korlátozott biztonsági szabványai Linux-alapú számítási feladatokhoz | Ez a kezdeményezés tartalmazza a Kubernetes-fürt podjának korlátozott biztonsági szabványainak szabályzatait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . | 8 | 2.5.0 |
Szabályzatdefiníciók
Microsoft.ContainerService
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: [Képintegritás] A Kubernetes-fürtök csak jelöléssel aláírt képeket használhatnak | A jelöléssel aláírt képek használatával győződjön meg arról, hogy a képek megbízható forrásokból származnak, és nem lesznek rosszindulatúan módosítva. További információkért látogasson el a https://aka.ms/aks/image-integrity | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backup-bővítményt telepíteni kell az AKS-fürtökre | Az Azure Backup használatához gondoskodjon a biztonsági mentési bővítmény védelmének telepítéséről az AKS-fürtökben. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell az AKS-fürtökhöz | Az Azure Backup engedélyezésével gondoskodjon az AKS-fürtök védelméről. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Kubernetes Service által felügyelt fürtöknek zónaredundánsnak kell lenniük | Az Azure Kubernetes Service által felügyelt fürtök zónaredundánsként konfigurálhatók. A szabályzat ellenőrzi a fürt csomópontkészletét, és biztosítja, hogy az avaialbilty zónák az összes csomópontkészlethez be legyenek állítva. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Nem szerkeszthetők az egyes csomópontok | Az egyes csomópontok nem szerkeszthetők. A felhasználók nem szerkeszthetik az egyes csomópontokat. Szerkessze a csomópontkészleteket. Az egyes csomópontok módosítása inkonzisztens beállításokhoz, üzemeltetési kihívásokhoz és potenciális biztonsági kockázatokhoz vezethet. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Képintegritás üzembe helyezése az Azure Kubernetes Service-ben | Az Image Integrity és a Policy Add-Ons Azure Kubernetes-fürtök üzembe helyezése. További információkért látogasson el a https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-előzetes verzió |
| [Előzetes verzió]: Az Azure Backup-bővítmény telepítése AKS-fürtökben (felügyelt fürt) egy adott címkével. | Az Azure Backup-bővítmény telepítése előfeltétele az AKS-fürtök védelmének. A biztonsági mentési bővítmény telepítésének kényszerítése az adott címkét tartalmazó összes AKS-fürtön. Ezzel nagy méretekben kezelheti az AKS-fürtök biztonsági mentését. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backup-bővítmény telepítése AKS-fürtökben (felügyelt fürtökben) adott címke nélkül. | Az Azure Backup-bővítmény telepítése előfeltétele az AKS-fürtök védelmének. A biztonsági mentési bővítmény telepítésének kényszerítése az összes AKS-fürtön egy adott címkeérték nélkül. Ezzel nagy méretekben kezelheti az AKS-fürtök biztonsági mentését. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttároló lemezképeinek tartalmazniuk kell a preStop hookot | Megköveteli, hogy a tárolólemezképek tartalmazzon egy előStop-horgot a folyamatok zökkenőmentes leállításához a podleállítások során. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttároló lemezképei nem tartalmazhatják a legújabb képcímkét | Megköveteli, hogy a tárolólemezképek ne használják a legújabb címkét a Kubernetesben, ajánlott eljárás a reprodukálhatóság biztosítása, a nem kívánt frissítések megakadályozása, valamint a könnyebb hibakeresés és visszaállítás elősegítése explicit és verziószámozott tárolórendszerképek használatával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolóknak csak akkor szabad képeket lekérni, ha a rendszerkép lekérési titkos kódokat tartalmaz | A tárolók rendszerkép-lekéréseinek korlátozása az ImagePullSecrets jelenlétének kikényszerítéséhez, biztosítva a kubernetes-fürtön belüli képek biztonságos és engedélyezett elérését | Naplózás, megtagadás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtszolgáltatásoknak egyedi választókat kell használniuk | Győződjön meg arról, hogy a névtér szolgáltatásai egyedi választókkal rendelkeznek. Az egyedi szolgáltatásválasztó biztosítja, hogy a névtérben lévő összes szolgáltatás egyedileg azonosítható legyen adott feltételek alapján. Ez a szabályzat szinkronizálja a bejövő erőforrásokat az OPA-ba a Gatekeeperen keresztül. Alkalmazás előtt ellenőrizze, hogy a Gatekeeper-podok memóriakapacitása nem lesz-e túllépve. A paraméterek adott névterekre vonatkoznak, de az összes ilyen típusú erőforrást szinkronizálja az összes névtérben. A Kubernetes Service (AKS) jelenleg előzetes verzióban érhető el. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtnek pontos podkimaradási költségvetéseket kell implementálnia | Megakadályozza a hibás podkimaradási költségvetéseket, biztosítva a minimális számú működési podot. Részletekért tekintse meg a Kubernetes hivatalos dokumentációját. A Gatekeeper-adatreplikációra támaszkodik, és szinkronizálja a rá vonatkozó összes bejövő erőforrást az OPA-ba. A szabályzat alkalmazása előtt győződjön meg arról, hogy a szinkronizált bejövő erőforrások nem fogják terhelni a memóriakapacitást. Bár a paraméterek adott névtereket értékelnek ki, a névterek közötti összes ilyen erőforrás szinkronizálódik. Megjegyzés: a Kubernetes Service (AKS) jelenleg előzetes verzióban érhető el. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtöknek korlátozniuk kell az adott erőforrástípus létrehozását | Adott Kubernetes-erőforrástípus nem helyezhető üzembe bizonyos névtérben. | Naplózás, megtagadás, letiltva | 2.2.0-előzetes verzió |
| [Előzetes verzió]: Affinitás elleni szabályokkal kell rendelkeznie | Ez a szabályzat biztosítja, hogy a podok a fürt különböző csomópontjaira legyenek ütemezve. Az affinitási szabályok kényszerítésével a rendelkezésre állás akkor is megmarad, ha az egyik csomópont elérhetetlenné válik. A podok továbbra is futnak más csomópontokon, ami növeli a rugalmasságot. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Nincsenek AKS-specifikus címkék | Megakadályozza, hogy az ügyfelek AKS-címkéket alkalmazzanak. Az AKS az AKS tulajdonában lévő összetevők megjelöléséhez előtaggal ellátott kubernetes.azure.com címkéket használ. Az ügyfél nem használhatja ezeket a címkéket. |
Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Fenntartott rendszerkészlet-fertőzöttek | A CriticalAddonsOnly-t csak a rendszerkészletre korlátozza. Az AKS a CriticalAddonsOnly taint használatával távol tartja az ügyfél podjait a rendszerkészlettől. Ez biztosítja az AKS-összetevők és az ügyfél podok egyértelmű elkülönítését, valamint megakadályozza az ügyfél podok kizárását, ha nem tolerálják a CriticalAddonsOnly fertőzöttséget. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A CriticalAddonsOnly-t csak a rendszerkészletre korlátozza. | A felhasználói alkalmazások felhasználói készletekből való kizárásának elkerülése és a felhasználói és rendszerkészletek közötti aggodalmak elkülönítésének fenntartása érdekében a "CriticalAddonsOnly" nem alkalmazható a felhasználói készletekre. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolók CPU-korlátait alapértelmezett értékre állítja, ha nem jelenik meg. | Tároló CPU-korlátainak beállítása az erőforrás-kimerülési támadások megelőzésére a Kubernetes-fürtökben. | Mutáció, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolók memóriakorlátját alapértelmezett értékre állítja, ha nincs jelen. | Tárolómemóriakorlátok beállítása az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. | Mutáció, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A maxUnavailable podokat 1 értékre állítja a PodDisruptionBudget-erőforrásokhoz | A maximális elérhetetlen podérték 1 értékre állítása biztosítja, hogy az alkalmazás vagy szolgáltatás elérhető legyen a megszakítás során | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A readOnlyRootFileSystem értéket állítja be a Pod specifikációban az Init-tárolókban igaz értékre, ha nincs beállítva. | A readOnlyRootFileSystem igaz értékre állítása növeli a biztonságot azáltal, hogy megakadályozza, hogy a tárolók a gyökér fájlrendszerbe írjanak. Ez csak Linux-tárolók esetén működik. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A pod-specifikációban a readOnlyRootFileSystem értéket igaz értékre állítja, ha nincs beállítva. | A readOnlyRootFileSystem igaz értékre állítása növeli a biztonságot azáltal, hogy megakadályozza a tárolók írását a gyökér fájlrendszerbe | Mutáció, letiltva | 1.1.0-előzetes verzió |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| Az Azure Kubernetes-fürtöknek engedélyeznie kell a Tárolótároló interfészt (CSI) | A Tárolótároló felület (CSI) egy szabvány, amely tetszőleges blokk- és fájlrendszereket ad ki tárolóalapú számítási feladatok számára az Azure Kubernetes Service-ben. További információ: https://aka.ms/aks-csi-driver | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-fürtöknek engedélyeznie kell kulcskezelő szolgáltatás (KMS) | A Kubernetes-fürt biztonsága érdekében a kulcskezelő szolgáltatás (KMS) használatával titkosíthatja a kubernetes-fürt biztonsága érdekében az etcd-ben inaktív titkos adatokat. További információ: https://aka.ms/aks/kmsetcdencryption. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-fürtöknek az Azure CNI-t kell használniuk | Az Azure CNI előfeltétele az Azure Kubernetes Service egyes funkcióinak, például az Azure hálózati szabályzatainak, a Windows-csomópontkészleteknek és a virtuális csomópontok bővítményének. További információ: https://aka.ms/aks-azure-cni | Naplózás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek le kell tiltania a parancshívást | A parancsmeghívás letiltása növelheti a biztonságot a korlátozott hálózati hozzáférés vagy a Kubernetes szerepköralapú hozzáférés-vezérlés megkerülésének elkerülésével | Naplózás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a fürt automatikus frissítését | Az AKS-fürt automatikus frissítése biztosítja, hogy a fürtök naprakészek legyenek, és ne hagyja ki az AKS és a felsőbb rétegbeli Kubernetes legújabb funkcióit és javításait. További információ: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell az Image Cleaner szolgáltatást | Az Image Cleaner automatikusan sebezhető, nem használt képazonosítást és -eltávolítást végez, ami csökkenti az elavult képek kockázatát, és csökkenti a tisztításukhoz szükséges időt. További információ: https://aka.ms/aks/image-cleaner. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a Microsoft Entra ID integrációját | Az AKS által felügyelt Microsoft Entra ID-integráció a kubernetes szerepköralapú hozzáférés-vezérlés (Kubernetes RBAC) konfigurálásával kezelheti a fürtök elérését a felhasználó identitás- vagy címtárcsoport-tagsága alapján. További információ: https://aka.ms/aks-managed-aad. | Naplózás, letiltva | 1.0.2 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a csomópont operációs rendszerének automatikus frissítését | Az AKS-csomópont operációs rendszerének automatikus frissítése szabályozza a csomópontszintű operációs rendszer biztonsági frissítéseit. További információ: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a számítási feladatok identitását | A számítási feladatok identitása lehetővé teszi egyedi identitás hozzárendelését az egyes Kubernetes-podokhoz, és társítható az Azure AD által védett erőforrásokhoz, például az Azure Key Vaulthoz, így biztonságosan hozzáférhet ezekhez az erőforrásokhoz a podon belülről. További információ: https://aka.ms/aks/wi. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure Kubernetes-szolgáltatásfürtök kizárólag Azure Active Directory-identitásokat igényeljenek a hitelesítéshez. További információ: https://aka.ms/aks-disable-local-accounts. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek felügyelt identitásokat kell használniuk | Felügyelt identitások használatával körbefuttathatja a szolgáltatásneveket, egyszerűbbé teheti a fürtkezelést, és elkerülheti a felügyelt szolgáltatásnevekhez szükséges összetettségeket. További információ: https://aka.ms/aks-update-managed-identities | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Kubernetes Service privát fürtjeinek használatát | Engedélyezze az Azure Kubernetes Service-fürt privát fürtszolgáltatását, hogy az API-kiszolgáló és a csomópontkészletek közötti hálózati forgalom csak a magánhálózaton maradjon. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Azure Kubernetes Service-fürtök konfigurálása a Defender-profil engedélyezéséhez | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.Defendert az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| A Flux-bővítmény telepítésének konfigurálása a Kubernetes-fürtön | Telepítse a Flux-bővítményt a Kubernetes-fürtre a fluxconfigurations fürtben való üzembe helyezésének engedélyezéséhez | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval gyűjtőforrás és titkos kulcsok használatával a KeyVaultban | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt Bucket SecretKey szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a HTTPS CA-tanúsítvány használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-hitelesítésszolgáltatói tanúsítvány szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és HTTPS-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt HTTPS-kulcskulcs szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és SSH-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz A Key Vaultban tárolt titkos SSH titkos kulcskód szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2-konfigurációval nyilvános Git-adattár használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott Flux v2 gyűjtőforrással helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval HTTPS-titkos kódokkal | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-felhasználót és kulcstitkokat kell tárolni a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval titkos kódok nélkül | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval SSH-titkos kódok használatával | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz SSH titkos kulcskulcs szükséges a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| A Microsoft Entra ID integrált Azure Kubernetes-szolgáltatásfürtök konfigurálása a szükséges Rendszergazda csoporthozzáféréssel | Győződjön meg arról, hogy a fürtbiztonság javítása központilag szabályozza Rendszergazda istrator hozzáférését a Microsoft Entra ID integrált AKS-fürtöihez. | DeployIfNotExists, Disabled | 2.1.0 |
| A Node OS automatikus frissítésének konfigurálása az Azure Kubernetes-fürtön | A Node OS automatikus frissítésével szabályozhatja az Azure Kubernetes Service-fürtök (AKS) csomópontszintű operációsrendszer-biztonsági frissítéseit. További információkért látogasson el https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-imageide. | DeployIfNotExists, Disabled | 1.0.1 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása az Azure Kubernetes Service-hez a Log Analytics-munkaterületre | Üzembe helyezi az Azure Kubernetes Service diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez. | DeployIfNotExists, Disabled | 3.0.0 |
| Azure Policy-bővítmény üzembe helyezése Azure Kubernetes Service-fürtökön | Az Azure Policy-bővítmény használatával kezelheti és jelentheti az Azure Kubernetes Service-fürtök megfelelőségi állapotát. További információ: https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Image Cleaner üzembe helyezése az Azure Kubernetes Service-ben | Az Image Cleaner üzembe helyezése Azure Kubernetes-fürtökön. További információkért látogasson el a https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Tervezett karbantartás üzembe helyezése az Azure Kubernetes Service-fürt frissítéseinek ütemezéséhez és szabályozásához | A tervezett karbantartás lehetővé teszi a heti karbantartási időszakok ütemezését a frissítések elvégzéséhez és a számítási feladatok hatásának minimalizálásához. Az ütemezést követően a frissítések csak a kijelölt ablakban történnek. További információ: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Parancshívás letiltása Azure Kubernetes Service-fürtökön | A parancsmeghívás letiltása növelheti a biztonságot a fürt meghívási parancshoz való hozzáférésének elutasításával | DeployIfNotExists, Disabled | 1.2.0 |
| Győződjön meg arról, hogy a fürttárolók készenlét- vagy élettartam-mintavételeket konfiguráltak | Ez a szabályzat kikényszeríti, hogy minden podon konfigurálva legyen a készültségi és/vagy az élettartam-mintavétel. A mintavétel típusa lehet tcpSocket, httpGet és exec. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . | Naplózás, megtagadás, letiltva | 3.2.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürttárolók nem használhatnak tiltott sysctl-interfészeket | A tárolók nem használhatnak tiltott sysctl-interfészeket a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolóknak csak az engedélyezett ProcMountType-t kell használniuk | A podtárolók csak engedélyezett ProcMountType-fájlokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett lekéréses szabályzatot használhatnak | A tárolók lekérési szabályzatának korlátozása, hogy a tárolók csak engedélyezett rendszerképeket használjanak az üzemelő példányokon | Naplózás, megtagadás, letiltva | 3.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett seccomp-profilokat használhatnak | A podtárolók csak engedélyezett seccomp profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt pod FlexVolume kötetei csak engedélyezett illesztőprogramokat használhatnak | A Pod FlexVolume-kötetek csak engedélyezett illesztőprogramokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak az engedélyezett Standard kiadás Linux-beállításokat használhatják | A podok és tárolók csak engedélyezett Standard kiadás Linux-beállításokat használhatnak egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürt podjai csak engedélyezett kötettípusokat használhatnak | A podok csak engedélyezett kötettípusokat használhatnak a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürt podjainak megadott címkéket kell használniuk | A megadott címkék használatával azonosíthatja a Kubernetes-fürtök podjait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtszolgáltatások csak engedélyezett külső IP-címeket használhatnak | Használjon engedélyezett külső IP-címeket a kubernetes-fürtök potenciális támadásának (CVE-2020-8554) elkerüléséhez. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| A Kubernetes-fürt nem használhat meztelen podokat | Meztelen podok használatának letiltása. A meztelen podok nem lesznek újraütemezve csomóponthiba esetén. A podokat üzembe helyezés, replicset, démonkészlet vagy feladatok alapján kell felügyelni | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem hagyják túl a processzort és a memóriát | A Túlküldés elkerülése érdekében a Windows tárolóerőforrás-kéréseinek kisebbnek vagy egyenlőnek kell lenniük az erőforráskorlátnak vagy meg nem határozottnak kell lenniük. Ha a Windows-memória túlterhelt, a lemez lapjait dolgozza fel – ami lelassíthatja a teljesítményt – ahelyett, hogy memóriakihasználtság esetén megszüntette volna a tárolót | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem futtathatók tárolóként Rendszergazda istratorként | A Tároló Rendszergazda istrator felhasználóként való használatának megakadályozása a Windows-podok vagy -tárolók tárolófolyamatainak végrehajtásához. Ez a javaslat a Windows-csomópontok biztonságának javítását célozza. További információ: https://kubernetes.io/docs/concepts/windows/intro/ . | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Kubernetes-fürt Windows-tárolóinak csak jóváhagyott felhasználói és tartományi felhasználói csoporttal kell futniuk | Annak a felhasználónak a szabályozása, amellyel a Windows-podok és -tárolók kubernetes-fürtön futtathatók. Ez a javaslat a Windows-csomópontok podbiztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtöknek biztosítaniuk kell, hogy a fürt-rendszergazda szerepkör csak akkor legyen használatban, ha szükséges | A "fürtadminisztrátor" szerepkör széles körű hatásköröket biztosít a környezet felett, és csak ott és akkor szabad használni, ha szükséges. | Naplózás, letiltva | 1.0.0 |
| A Kubernetes-fürtöknek minimálisra kell csökkenteniük a helyettesítő karakterek szerepkörben és fürtszerepkörben való használatát | A*helyettesítő karakterek használata biztonsági kockázatot jelenthet, mivel széles körű engedélyeket biztosít, amelyek nem feltétlenül szükségesek egy adott szerepkörhöz. Ha egy szerepkör túl sok engedéllyel rendelkezik, előfordulhat, hogy egy támadó vagy egy feltört felhasználó visszaél azzal, hogy jogosulatlan hozzáférést szerezzen a fürt erőforrásaihoz. | Naplózás, letiltva | 1.0.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a ClusterRole/system:aggregate-to-edit végpontszerkesztési engedélyeit | ClusterRole/system:aggregate-to-edit nem engedélyezheti a végpont szerkesztési engedélyeit a CVE-2021-25740 miatt, az Endpoint &EndpointSlice engedélyek lehetővé teszik a névtérközi továbbítást, https://github.com/kubernetes/kubernetes/issues/103675. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, letiltva | 3.1.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatnak speciális biztonsági képességeket | A Kubernetes-fürtök bizonyos biztonsági képességeinek megakadályozása a poderőforrás jogosulatlan jogosultságainak megakadályozása érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtöknek a StorageClass tárolótároló-illesztőt (CSI) kell használniuk | A tárolóalapú tárolási interfész (Container Storage Interface, CSI) a tetszőleges blokk- és fájltárolási rendszereknek a Kubernetes tárolóalapú számítási feladatai számára történő elérhetővé tételére vonatkozó szabvány. Az AKS 1.21-es verziója óta a StorageClass faalapú kiépítési osztályát el kell elavultnak minősíteni. További információ: https://aka.ms/aks-csi-driver | Naplózás, megtagadás, letiltva | 2.2.0 |
| A Kubernetes-fürtöknek belső terheléselosztókat kell használniuk | Belső terheléselosztók használatával a Kubernetes-szolgáltatást csak a Kubernetes-fürtvel azonos virtuális hálózaton futó alkalmazások számára teheti elérhetővé. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-erőforrásoknak kötelező széljegyzetekkel kell rendelkezniük | Győződjön meg arról, hogy a szükséges széljegyzetek egy adott Kubernetes-erőforrástípushoz vannak csatolva a Kubernetes-erőforrások jobb erőforrás-kezeléséhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, megtagadás, letiltva | 3.1.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | Az Azure Kubernetes Service erőforrásnaplói segíthetnek újra létrehozni a tevékenységnaplókat a biztonsági incidensek vizsgálata során. Annak engedélyezése, hogy szükség esetén a naplók létezni tudjanak | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.