Beépített Azure Policy-definíciók az Azure Arc-kompatibilis Kuberneteshez
Ez a lap az Azure Arc-kompatibilis Kubernetes beépített Szabályzatdefinícióinak indexe. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure Arc-kompatibilis Kubernetes
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backup-bővítményt telepíteni kell az AKS-fürtökre | Az Azure Backup használatához gondoskodjon a biztonsági mentési bővítmény védelmének telepítéséről az AKS-fürtökben. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Felhőhöz készült Microsoft Defender bővítmény telepítéséhez | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtöknek korlátozniuk kell az adott erőforrástípus létrehozását | Adott Kubernetes-erőforrástípus nem helyezhető üzembe bizonyos névtérben. | Naplózás, megtagadás, letiltva | 2.2.0-előzetes verzió |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Az Azure Arc-kompatibilis kubernetes-fürtöket Azure Arc Private Link-hatókörrel kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie az Open Service Mesh-bővítménynek | Az Open Service Mesh bővítmény minden szabványos szolgáltatásháló-képességet biztosít az alkalmazásszolgáltatások biztonságához, forgalomkezeléséhez és megfigyelhetőségéhez. További információ: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie a Strimzi Kafka-bővítménynek | A Strimzi Kafka bővítmény lehetővé teszi a Kafka telepítését valós idejű adatfolyamok és streamelési alkalmazások biztonsági és megfigyelhetőségi képességekkel történő létrehozásához. További információ: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása az Azure Policy-bővítmény telepítéséhez | Az Azure Policy Azure Archoz készült bővítményének üzembe helyezése a nagy léptékű kényszerítések biztosításához és az Arc-kompatibilis Kubernetes-fürtök központosított, konzisztens védelméhez. További információ: https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Azure Arc Private Link-hatókör használatára | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
| A Flux-bővítmény telepítésének konfigurálása a Kubernetes-fürtön | Telepítse a Flux-bővítményt a Kubernetes-fürtre a fluxconfigurations fürtben való üzembe helyezésének engedélyezéséhez | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval gyűjtőforrás és titkos kulcsok használatával a KeyVaultban | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt Bucket SecretKey szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a HTTPS CA-tanúsítvány használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-hitelesítésszolgáltatói tanúsítvány szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és HTTPS-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt HTTPS-kulcskulcs szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és SSH-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz A Key Vaultban tárolt titkos SSH titkos kulcskód szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2-konfigurációval nyilvános Git-adattár használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott Flux v2 gyűjtőforrással helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval HTTPS-titkos kódokkal | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-felhasználót és kulcstitkokat kell tárolni a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval titkos kódok nélkül | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval SSH-titkos kódok használatával | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz SSH titkos kulcskulcs szükséges a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Győződjön meg arról, hogy a fürttárolók készenlét- vagy élettartam-mintavételeket konfiguráltak | Ez a szabályzat kikényszeríti, hogy minden podon konfigurálva legyen a készültségi és/vagy az élettartam-mintavétel. A mintavétel típusa lehet tcpSocket, httpGet és exec. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . | Naplózás, megtagadás, letiltva | 3.2.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürttárolók nem használhatnak tiltott sysctl-interfészeket | A tárolók nem használhatnak tiltott sysctl-interfészeket a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolóknak csak az engedélyezett ProcMountType-t kell használniuk | A podtárolók csak engedélyezett ProcMountType-fájlokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett lekéréses szabályzatot használhatnak | A tárolók lekérési szabályzatának korlátozása, hogy a tárolók csak engedélyezett rendszerképeket használjanak az üzemelő példányokon | Naplózás, megtagadás, letiltva | 3.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett seccomp-profilokat használhatnak | A podtárolók csak engedélyezett seccomp profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt pod FlexVolume kötetei csak engedélyezett illesztőprogramokat használhatnak | A Pod FlexVolume-kötetek csak engedélyezett illesztőprogramokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak az engedélyezett Standard kiadás Linux-beállításokat használhatják | A podok és tárolók csak engedélyezett Standard kiadás Linux-beállításokat használhatnak egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürt podjai csak engedélyezett kötettípusokat használhatnak | A podok csak engedélyezett kötettípusokat használhatnak a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürt podjainak megadott címkéket kell használniuk | A megadott címkék használatával azonosíthatja a Kubernetes-fürtök podjait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtszolgáltatások csak engedélyezett külső IP-címeket használhatnak | Használjon engedélyezett külső IP-címeket a kubernetes-fürtök potenciális támadásának (CVE-2020-8554) elkerüléséhez. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| A Kubernetes-fürt nem használhat meztelen podokat | Meztelen podok használatának letiltása. A meztelen podok nem lesznek újraütemezve csomóponthiba esetén. A podokat üzembe helyezés, replicset, démonkészlet vagy feladatok alapján kell felügyelni | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem hagyják túl a processzort és a memóriát | A Túlküldés elkerülése érdekében a Windows tárolóerőforrás-kéréseinek kisebbnek vagy egyenlőnek kell lenniük az erőforráskorlátnak vagy meg nem határozottnak kell lenniük. Ha a Windows-memória túlterhelt, a lemez lapjait dolgozza fel – ami lelassíthatja a teljesítményt – ahelyett, hogy memóriakihasználtság esetén megszüntette volna a tárolót | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem futtathatók tárolóként Rendszergazda istratorként | A Tároló Rendszergazda istrator felhasználóként való használatának megakadályozása a Windows-podok vagy -tárolók tárolófolyamatainak végrehajtásához. Ez a javaslat a Windows-csomópontok biztonságának javítását célozza. További információ: https://kubernetes.io/docs/concepts/windows/intro/ . | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Kubernetes-fürt Windows-tárolóinak csak jóváhagyott felhasználói és tartományi felhasználói csoporttal kell futniuk | Annak a felhasználónak a szabályozása, amellyel a Windows-podok és -tárolók kubernetes-fürtön futtathatók. Ez a javaslat a Windows-csomópontok podbiztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a ClusterRole/system:aggregate-to-edit végpontszerkesztési engedélyeit | ClusterRole/system:aggregate-to-edit nem engedélyezheti a végpont szerkesztési engedélyeit a CVE-2021-25740 miatt, az Endpoint &EndpointSlice engedélyek lehetővé teszik a névtérközi továbbítást, https://github.com/kubernetes/kubernetes/issues/103675. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, letiltva | 3.1.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatnak speciális biztonsági képességeket | A Kubernetes-fürtök bizonyos biztonsági képességeinek megakadályozása a poderőforrás jogosulatlan jogosultságainak megakadályozása érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtöknek a StorageClass tárolótároló-illesztőt (CSI) kell használniuk | A tárolóalapú tárolási interfész (Container Storage Interface, CSI) a tetszőleges blokk- és fájltárolási rendszereknek a Kubernetes tárolóalapú számítási feladatai számára történő elérhetővé tételére vonatkozó szabvány. Az AKS 1.21-es verziója óta a StorageClass faalapú kiépítési osztályát el kell elavultnak minősíteni. További információ: https://aka.ms/aks-csi-driver | Naplózás, megtagadás, letiltva | 2.2.0 |
| A Kubernetes-erőforrásoknak kötelező széljegyzetekkel kell rendelkezniük | Győződjön meg arról, hogy a szükséges széljegyzetek egy adott Kubernetes-erőforrástípushoz vannak csatolva a Kubernetes-erőforrások jobb erőforrás-kezeléséhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, megtagadás, letiltva | 3.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.