Definizioni predefinite di Criteri di Azure per il servizio Azure Kubernetes
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il servizio Azure Kubernetes. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Iniziative
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: usare l'integrità dell'immagine per assicurarsi che vengano distribuite solo immagini attendibili | Usare l'integrità delle immagini per garantire che i cluster del servizio Azure Kubernetes distribuiscano solo immagini attendibili abilitando l'integrità delle immagini e i componenti aggiuntivi Criteri di Azure nei cluster del servizio Azure Kubernetes. I componenti aggiuntivi per l'integrità delle immagini e Criteri di Azure componente aggiuntivo sono entrambi prerequisiti per l'uso dell'integrità delle immagini per verificare se l'immagine è firmata alla distribuzione. Per altre info, visitare https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Anteprima]: Le misure di sicurezza della distribuzione devono aiutare gli sviluppatori a seguire le procedure consigliate per il servizio Azure Kubernetes | Raccolta di procedure consigliate per Kubernetes consigliate da servizio Azure Kubernetes (servizio Azure Kubernetes). Per un'esperienza ottimale, usare le misure di sicurezza della distribuzione per assegnare questa iniziativa di criteri: https://aka.ms/aks/deployment-safeguards. Criteri di Azure componente aggiuntivo per il servizio Azure Kubernetes è un prerequisito per l'applicazione di queste procedure consigliate ai cluster. Per istruzioni sull'abilitazione del componente aggiuntivo Criteri di Azure, passare a aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Standard baseline di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard baseline di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standard limitati di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard limitati di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definizioni dei criteri
Microsoft.ContainerService
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: [Integrità immagine] I cluster Kubernetes devono usare solo immagini firmate dalla notazione | Usare le immagini firmate dalla notazione per assicurarsi che le immagini provengano da origini attendibili e non vengano modificate in modo dannoso. Per altre info, visita https://aka.ms/aks/image-integrity | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure'estensione deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i cluster del servizio Azure Kubernetes | Assicurarsi di proteggere i cluster del servizio Azure Kubernetes abilitando Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: servizio Azure Kubernetes cluster gestiti deve essere ridondante della zona | servizio Azure Kubernetes i cluster gestiti possono essere configurati in modo che siano ridondanti o meno della zona. I criteri controllano i pool di nodi nel cluster e assicurano che le zone di disponibilità siano impostate per tutti i pool di nodi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Non è possibile modificare singoli nodi | Impossibile modificare singoli nodi. Gli utenti non devono modificare singoli nodi. Modificare i pool di nodi. La modifica di singoli nodi può causare impostazioni incoerenti, sfide operative e potenziali rischi per la sicurezza. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Distribuire l'integrità delle immagini in servizio Azure Kubernetes | Distribuire cluster Azure Kubernetes sia integrità delle immagini che componenti aggiuntivi per i criteri. Per altre info, visita https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes devono includere l'hook preStop | Richiede che le immagini del contenitore includano un hook preStop per terminare normalmente i processi durante gli arresti dei pod. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes non devono includere il tag di immagine più recente | Richiede che le immagini del contenitore non usino il tag più recente in Kubernetes, è consigliabile garantire la riproducibilità, impedire gli aggiornamenti imprevisti e semplificare il debug e il rollback usando immagini del contenitore esplicite e con controllo delle versioni. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i contenitori del cluster Kubernetes devono eseguire il pull solo di immagini quando sono presenti segreti pull delle immagini | Limitare il pull dell'immagine dei contenitori per applicare la presenza di ImagePullSecrets, garantendo l'accesso sicuro e autorizzato alle immagini all'interno di un cluster Kubernetes | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I servizi cluster Kubernetes devono usare selettori univoci | Verificare che i servizi in uno spazio dei nomi abbiano selettori univoci. Un selettore di servizio univoco garantisce che ogni servizio all'interno di uno spazio dei nomi sia identificabile in modo univoco in base a criteri specifici. Questo criterio sincronizza le risorse in ingresso in OPA tramite Gatekeeper. Prima dell'applicazione, verificare che la capacità di memoria dei pod gatekeeper non venga superata. I parametri si applicano a spazi dei nomi specifici, ma sincronizza tutte le risorse di tale tipo in tutti gli spazi dei nomi. Attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: il cluster Kubernetes deve implementare budget accurati di interruzione dei pod | Impedisce budget di interruzione dei pod difettosi, garantendo un numero minimo di pod operativi. Per informazioni dettagliate, vedere la documentazione ufficiale di Kubernetes. Si basa sulla replica dei dati gatekeeper e sincronizza tutte le risorse di ingresso con ambito in OPA. Prima di applicare questo criterio, assicurarsi che le risorse in ingresso sincronizzate non pressioniranno la capacità di memoria. Anche se i parametri valutano spazi dei nomi specifici, tutte le risorse di quel tipo tra gli spazi dei nomi verranno sincronizzate. Nota: attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: i cluster Kubernetes devono limitare la creazione di un tipo di risorsa specificato | Dato il tipo di risorsa Kubernetes non deve essere distribuito in determinati spazi dei nomi. | Audit, Deny, Disabled | 2.2.0-preview |
| [Anteprima]: deve avere un set di regole anti-affinità | Questo criterio garantisce che i pod siano pianificati in nodi diversi all'interno del cluster. Applicando le regole di anti-affinità, la disponibilità viene mantenuta anche se uno dei nodi non è più disponibile. I pod continueranno a essere eseguiti in altri nodi, migliorando la resilienza. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Nessuna etichetta specifica del servizio Azure Kubernetes | Impedisce ai clienti di applicare etichette specifiche del servizio Azure Kubernetes. Il servizio Azure Kubernetes usa etichette precedute kubernetes.azure.com da per indicare i componenti di proprietà del servizio Azure Kubernetes. Il cliente non deve usare queste etichette. |
Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Taints del pool di sistema riservato | Limita il taint CriticalAddonsOnly solo al pool di sistema. Il servizio Azure Kubernetes usa il taint CriticalAddonsOnly per evitare i pod dei clienti dal pool di sistema. Garantisce una netta separazione tra i componenti del servizio Azure Kubernetes e i pod dei clienti, oltre a impedire che i pod dei clienti vengano rimossi se non tollerano il taint CriticalAddonsOnly. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: limita il taint CriticalAddonsOnly solo al pool di sistema. | Per evitare la rimozione delle app utente dai pool di utenti e mantenere la separazione delle preoccupazioni tra l'utente e i pool di sistema, il taint 'CriticalAddonsOnly' non deve essere applicato ai pool di utenti. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta i limiti di CPU dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti della CPU del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Mutate, Disabled | 1.1.1-preview |
| [Anteprima]: imposta i limiti di memoria dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti di memoria del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Mutate, Disabled | 1.1.1-preview |
| [Anteprima]: imposta i pod maxUnavailable su 1 per le risorse PodDisruptionBudget | L'impostazione del valore massimo del pod non disponibile su 1 garantisce che l'applicazione o il servizio sia disponibile durante un'interruzione | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica Pod nei contenitori init su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice. Questo funziona solo per i contenitori Linux. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica pod su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice | Mutate, Disabled | 1.1.0-preview |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
| I cluster Azure Kubernetes devono abilitare l'interfaccia del contenitore Archiviazione (CSI) | Container Archiviazione Interface (CSI) è uno standard per esporre sistemi di archiviazione di file e blocchi arbitrari a carichi di lavoro in contenitori in servizio Azure Kubernetes. Per altre informazioni, https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) | Usare Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) per crittografare i dati segreti inattivi in etcd per la sicurezza del cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono usare Azure CNI | Azure CNI è un prerequisito per alcune funzionalità di servizio Azure Kubernetes, tra cui criteri di rete di Azure, pool di nodi Windows e componente aggiuntivo nodi virtuali. Per altre informazioni, vedere: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes Clusters should disable Command Invoke | La disabilitazione di command invoke può migliorare la sicurezza evitando il bypass dell'accesso alla rete con restrizioni o del controllo degli accessi in base al ruolo di Kubernetes | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes Cluster devono abilitare l'aggiornamento automatico del cluster | L'aggiornamento automatico del cluster del servizio Azure Kubernetes può garantire che i cluster siano aggiornati e non perdere le funzionalità o le patch più recenti del servizio Azure Kubernetes e upstream. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Cluster devono abilitare Image Cleaner | Image Cleaner esegue l'identificazione e la rimozione automatica delle immagini vulnerabili, inutilizzate, riducendo il rischio di immagini non aggiornate e riducendo il tempo necessario per pulirle. Per altre informazioni, vedere https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Clusters should enable Microsoft Entra ID integration | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| servizio Azure Kubernetes Cluster deve abilitare l'aggiornamento automatico del sistema operativo del nodo | L'aggiornamento automatico del sistema operativo del nodo del servizio Azure Kubernetes controlla gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Cluster devono abilitare l'identità del carico di lavoro | L'identità del carico di lavoro consente di assegnare un'identità univoca a ogni pod Kubernetes e associarla a risorse protette di Azure AD, ad esempio Azure Key Vault, consentendo l'accesso sicuro a queste risorse dall'interno del pod. Per altre informazioni, vedere https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito al cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| servizio Azure Kubernetes i cluster devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che i cluster servizio Azure Kubernetes richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| servizio Azure Kubernetes Cluster devono usare le identità gestite | Usare le identità gestite per eseguire il wrapping delle entità servizio, semplificare la gestione dei cluster ed evitare la complessità necessaria per le entità servizio gestite. Per altre informazioni, vedere: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes è necessario abilitare i cluster privati | Abilitare la funzionalità cluster privato per il cluster servizio Azure Kubernetes per garantire che il traffico di rete tra il server API e i pool di nodi rimanga solo nella rete privata. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists, Disabled | 1.0.1 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Configurare cluster servizio Azure Kubernetes per abilitare il profilo di Defender | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.Defender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando l'origine bucket e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e il certificato della CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con l'origine bucket Flux v2 specificata usando i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando segreti HTTPS | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando segreti SSH | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare l'ID servizio Azure Kubernetes integrato di Microsoft Entra ID con l'accesso al gruppo necessario Amministrazione | Assicurarsi di migliorare la sicurezza del cluster regolando centralmente l'accesso Amministrazione istrator ai cluster del servizio Azure Kubernetes integrati di Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare l'aggiornamento automatico del sistema operativo del nodo nel cluster Azure Kubernetes | Usare l'aggiornamento automatico del sistema operativo del nodo per controllare gli aggiornamenti della sicurezza del sistema operativo a livello di nodo dei cluster servizio Azure Kubernetes (servizio Azure Kubernetes). Per altre info, visitare https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Distribuisci: configurare le impostazioni di diagnostica per servizio Azure Kubernetes nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per servizio Azure Kubernetes per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuire il componente aggiuntivo Criteri di Azure nei cluster del servizio Azure Kubernetes | Usare il componente aggiuntivo Criteri di Azure per gestire e segnalare lo stato di conformità dei cluster del servizio Azure Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Distribuire Image Cleaner in servizio Azure Kubernetes | Distribuire Image Cleaner nei cluster Azure Kubernetes. Per altre info, visita https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Distribuire manutenzione pianificata per pianificare e controllare gli aggiornamenti per il cluster servizio Azure Kubernetes (servizio Azure Kubernetes) | Manutenzione pianificata consente di pianificare le finestre di manutenzione settimanali per eseguire gli aggiornamenti e ridurre al minimo l'impatto del carico di lavoro. Una volta pianificato, gli aggiornamenti vengono eseguiti solo durante la finestra selezionata. Per altre informazioni, vedere: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Disabilitare Command Invoke nei cluster servizio Azure Kubernetes | La disabilitazione di command invoke può migliorare la sicurezza rifiutando l'accesso invoke-command al cluster | DeployIfNotExists, Disabled | 1.2.0 |
| Verificare che i contenitori del cluster dispongano di probe di idoneità o attività configurati | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limitare i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Audit, Deny, Disabled | 3.1.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume pod devono usare solo i driver consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.1 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e contenitori del cluster Kubernetes devono usare solo le opzioni SELinux consentite | I pod e i contenitori devono usare solo le opzioni edizione Standard Linux consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono usare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Audit, Deny, Disabled | 2.1.0 |
| I contenitori windows del cluster Kubernetes non devono sovracommettere cpu e memoria | Le richieste di risorse contenitore di Windows devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se viene eseguito il provisioning eccessivo della memoria di Windows, le pagine verranno elaborate su disco, che può rallentare le prestazioni, anziché terminare il contenitore con memoria insufficiente | Audit, Deny, Disabled | 2.1.0 |
| I contenitori windows del cluster Kubernetes non devono essere eseguiti come contenitore Amministrazione istrator | Impedire l'utilizzo di Container Amministrazione istrator come utente per eseguire i processi del contenitore per pod o contenitori Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| I contenitori windows del cluster Kubernetes devono essere eseguiti solo con utenti approvati e gruppo di utenti di dominio | Controllare l'utente che i pod e i contenitori di Windows possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows che consentono di migliorare la sicurezza degli ambienti Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes devono assicurarsi che il ruolo di amministratore del cluster venga usato solo se necessario | Il ruolo "cluster-admin" offre poteri di ampia portata nell'ambiente e deve essere usato solo dove e quando necessario. | Audit, Disabled | 1.0.0 |
| I cluster Kubernetes devono ridurre al minimo l'uso dei caratteri jolly nel ruolo e nel ruolo del cluster | L'uso dei caratteri jolly '*' può essere un rischio per la sicurezza perché concede autorizzazioni generali che potrebbero non essere necessarie per un ruolo specifico. Se un ruolo ha troppe autorizzazioni, potrebbe essere usato in modo improprio da un utente malintenzionato o compromesso per ottenere l'accesso non autorizzato alle risorse nel cluster. | Audit, Disabled | 1.0.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica degli endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes devono usare il driver Container Archiviazione Interface(CSI) Archiviazione Class | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner nell'albero Archiviazione Class deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| I cluster Kubernetes devono usare servizi di bilanciamento del carico interni | Usare i servizi di bilanciamento del carico interni per rendere un servizio Kubernetes accessibile solo alle applicazioni in esecuzione nella stessa rete virtuale del cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Le risorse Kubernetes devono avere annotazioni necessarie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
| I log delle risorse del servizio Azure Kubernetes devono essere abilitati | i log delle risorse di servizio Azure Kubernetes consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.