Azure Kubernetes Service (AKS) 用の Azure Policy 規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、Microsoft によって作成および管理される ("組み込み" の) イニシアチブ定義が提供されます。 このページでは、Azure Kubernetes Service (AKS) のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。
セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
CIS Microsoft Azure Foundations Benchmark 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 構成管理 | CM.2.062 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 特権管理 | 1149.01c2System.9 - 01.c | 組織は、承認されたユーザーが組織によって定義された裁量に従ってビジネス パートナーのアクセスを決定できるようにし、ユーザーによる情報共有やコラボレーションの決定を支援するための手動プロセスや自動メカニズムを導入することで、情報の共有を促進します。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 11 アクセス制御 | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 情報システムへの認可済みアクセス | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 12 監査ログと監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 文書化された業務手順 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
Microsoft Cloud for Sovereignty のベースライン機密ポリシー
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン機密ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.3 - カスタマー マネージド キー | SO.3 | 可能な場合にはカスタマー マネージド キーを使うように Azure 製品を構成する必要があります。 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのセキュリティ | NS-2 | ネットワーク制御を使用してクラウド サービスをセキュリティで保護します | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| 特権アクセス | PA-7 | Just Enough Administration (最小限の特権) の原則に従う | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| データ保護 | DP-3 | 転送中の機密データを暗号化する | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| ログと脅威検出 | LT-1 | 脅威検出機能を有効にする | Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | 2.0.1 |
| ログと脅威検出 | LT-2 | ID およびアクセス管理の脅威検出を有効にする | Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | 2.0.1 |
| ログと脅威検出 | LT-3 | セキュリティ調査のためのログを有効にする | Azure Kubernetes Service でリソース ログを有効にする必要がある | 1.0.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | 5.1.0 | |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | 6.1.1 | |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | 6.1.0 | |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | 9.2.0 | |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは既定の名前空間を使用しない | 4.1.0 |
| 体制と脆弱性の管理 | PV-6 | 脆弱性を迅速かつ自動的に修復する | Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | 1.0.1 |
| DevOps セキュリティ | DS-6 | DevOps ライフサイクル全体を通してワークロードのセキュリティを確保する | Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | 1.0.1 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | 1.0.1 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 5.1.0 | |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 6.1.1 | |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 6.1.0 | |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 9.2.0 | |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 5.1.0 | |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 6.1.1 | |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 6.1.0 | |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 9.2.0 | |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 5.1.0 | |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 6.1.1 | |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 6.1.0 | |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 9.2.0 | |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは既定の名前空間を使用しない | 4.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | 1.0.1 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| U.10.5 IT サービスとデータへのアクセス - 適格性 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーには、少なくとも BIO に準拠した問題が詳述されています。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| U.11.2 暗号化サービス - 暗号化手段 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | 1.0.1 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Kubernetes Service でリソース ログを有効にする必要がある | 1.0.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| IT ガバナンス | 1 | IT ガバナンス-1 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| 情報とサイバーセキュリティ | 3.1.a | 情報資産の識別と分類 - 3.1 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 情報とサイバーセキュリティ | 3.1.c | ロール ベースのアクセス制御 - 3.1 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 情報とサイバーセキュリティ | 3.1.g | 証跡-3.1 | Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | 2.0.1 |
| 情報とサイバーセキュリティ | 3.3 | 脆弱性の管理-3.3 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| パッチまたは脆弱性と変更管理 | パッチまたは脆弱性と変更管理-7.7 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 | |
| 詳細なリアルタイム脅威保護と管理 | 詳細なリアルタイム脅威保護と管理-13.2 | Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | 2.0.1 | |
| ユーザー アクセスの制御または管理 | ユーザー アクセスの制御または管理-8.1 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号化 | 10.19 | Cryptography - 10.19 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| アクセス制御 | 10.54 | アクセス制御 - 10.54 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | 6.1.0 | |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| アクセス制御 | 10.60 | アクセス制御 - 10.60 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | 10.61 | アクセス制御 - 10.61 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| アクセス制御 | 10.62 | アクセス制御 - 10.62 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| パッチとエンド オブ ライフ システム管理 | 10.65 | パッチとエンド オブ ライフ システム管理 - 10.65 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| セキュリティ オペレーション センター (SOC) | 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| サイバーセキュリティのコントロール メジャー | 付録 5.5 | サイバーセキュリティのコントロール メジャー - 付録 5.5 | Kubernetes クラスター サービスでは、許可された外部 IP のみ使用する必要がある | 5.1.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| SWIFT 環境保護 | 1.4 | インターネット アクセスの制限 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| 攻撃面と脆弱性の減少 | 2.1 | 内部 データ フロー セキュリティ | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | ソフトウェアの整合性 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | 侵入の検出 | Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | 1.0.1 |
System and Organization Controls (SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | 1.0.3 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 8.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 5.1.0 | |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 6.1.1 | |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 6.1.0 | |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 9.2.0 | |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは既定の名前空間を使用しない | 4.1.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | 2.0.1 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | 1.0.2 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.2.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 5.1.0 | |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 6.1.1 | |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 6.1.0 | |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 9.2.0 | |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.2.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.1.1 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.1.1 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | 6.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターで特権コンテナーを許可しない | 9.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 7.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは既定の名前空間を使用しない | 4.1.0 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。