Azure Arc 지원 Kubernetes에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Arc 지원 Kubernetes에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Arc를 지원하는 Kubernetes
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 6.0.0-preview |
| [미리 보기]: AKS 클러스터에 Azure Backup 확장을 설치해야 합니다. | AZURE Backup을 활용하려면 AKS 클러스터에 백업 확장을 설치하도록 보호합니다. AKS용 Azure Backup은 AKS 클러스터를 위한 안전한 클라우드 네이티브 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 클라우드용 Microsoft Defender 확장을 설치하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 7.1.0-preview |
| [미리 보기]: Kubernetes 클러스터는 특정 리소스 종류의 만들기를 제한해야 함 | 지정된 Kubernetes 리소스 종류는 특정 네임스페이스에 배포하지 않아야 합니다. | 감사, 거부, 사용 안 함 | 2.2.0-preview |
| Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 함 | Azure Arc용 Azure Policy 확장은 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터에 대규모 적용 및 보호를 제공합니다. https://aka.ms/akspolicydoc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Arc 지원 Kubernetes 클러스터는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Arc 사용 Kubernetes 클러스터에는 Open Service Mesh 확장이 설치되어 있어야 함 | Open Service Mesh 확장은 애플리케이션 서비스의 보안, 트래픽 관리 및 가시성을 위한 모든 표준 서비스 메시 기능을 제공합니다. 여기서 자세히 알아보기: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc 지원 Kubernetes 클러스터에 Strimzi Kafka 확장이 설치되어 있어야 함 | Strimzi Kafka 확장은 운영자가 보안 및 통합 가시성 기능을 갖춘 실시간 데이터 파이프라인과 스트림 애플리케이션을 구축하기 위해 Kafka를 설치할 수 있도록 지원합니다. 여기(https://aka.ms/arc-strimzikafka-doc)에서 자세히 알아보세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Policy 확장을 설치하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Arc에 대한 Azure Policy 확장을 배포하여 대규모 적용을 제공하고 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터를 보호합니다. https://aka.ms/akspolicydoc에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Arc 프라이빗 링크 범위를 사용하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| Kubernetes 클러스터에 Flux 확장 설치 구성 | Kubernetes 클러스터에 Flux 확장을 설치하여 클러스터에서 'fluxconfigurations' 배포 가능 | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| KeyVault의 버킷 원본 및 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 버킷 SecretKey가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 HTTPS CA 인증서를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 HTTPS CA 인증서가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Git 리포지토리 및 HTTPS 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 로컬 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 SSH 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공개 Git 리포지토리를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 비밀을 사용하여 지정된 Flux v2 버킷 원본으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| HTTPS 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 사용자 및 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 비밀을 사용하지 않고 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| SSH 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault의 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 클러스터 컨테이너에 준비 상태 또는 활동성 프로브가 구성되어 있는지 확인 | 이 정책은 모든 Pod에 준비 상태 및/또는 활동성 프로브를 구성하도록 적용합니다. 프로브 형식은 tcpSocket, httpGet 및 exec일 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 3.2.0 |
| Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.2.0 |
| Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 | Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터 컨테이너는 금지된 sysctl 인터페이스를 사용해서는 안 됨 | 컨테이너는 Kubernetes 클러스터에서 금지된 sysctl 인터페이스를 사용하지 않아야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
| Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.2.0 |
| Kubernetes 클러스터 컨테이너는 허용된 ProcMountType만 사용해야 함 | Pod 컨테이너는 Kubernetes 클러스터에서 허용된 ProcMountTypes만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 끌어오기 정책만 사용해야 함 | 컨테이너의 끌어오기 정책을 제한하여 컨테이너가 배포에서 허용된 이미지만 사용하도록 허용 | 감사, 거부, 사용 안 함 | 3.1.0 |
| Kubernetes 클러스터 컨테이너는 허용된 seccomp 프로필만 사용해야 함 | Pod 컨테이너는 Kubernetes 클러스터에서 허용된 seccomp 프로필만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.2.0 |
| Kubernetes 클러스터 Pod FlexVolume 볼륨은 허용되는 드라이버만 사용해야 함 | Pod FlexVolume 볼륨은 Kubernetes 클러스터에서 허용된 드라이버만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.1 |
| Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 Pod 및 컨테이너는 허용된 SELinux 옵션만 사용해야 함 | Pod 및 컨테이너는 Kubernetes 클러스터에서 허용된 SELinux 옵션만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 Pod는 허용된 볼륨 유형만 사용해야 함 | Pod는 Kubernetes 클러스터에서 허용된 볼륨 유형만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.1 |
| Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
| Kubernetes 클러스터 Pod는 지정된 레이블을 사용해야 함 | 지정된 레이블을 사용하여 Kubernetes 클러스터에서 Pod를 식별합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
| Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
| Kubernetes 클러스터 서비스는 허용된 외부 IP만 사용해야 함 | 허용되는 외부 IP를 사용하여 Kubernetes 클러스터에서 잠재적인 공격(CVE-2020-8554)을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
| Kubernetes 클러스터에서 Naked Pod를 사용하지 않아야 함 | Naked Pod를 사용하지 않도록 차단합니다. 노드 실패가 발생하는 경우 Naked Pod의 일정이 조정되지 않습니다. Pod는 Deployment, Replicset, Daemonset 또는 Jobs를 통해 관리해야 합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터 Windows 컨테이너에서 CPU 및 메모리를 과도하게 커밋하지 않아야 함 | Windows 컨테이너 리소스 요청은 리소스 제한보다 작거나 같아야 초과 커밋을 방지할 수 있습니다. Windows 메모리가 과도하게 프로비저닝되면 메모리 부족으로 컨테이너를 종료하는 대신 디스크의 페이지를 처리하여 성능을 저하시킬 수 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터 Windows 컨테이너는 ContainerAdministrator로 실행하지 않아야 함 | Windows Pod 또는 컨테이너에 대한 컨테이너 프로세스를 실행하기 위해 ContainerAdministrator를 사용자로 사용할 수 없습니다. 이 권장 사항은 Windows 노드의 보안을 개선하기 위한 것입니다. 자세한 내용은 https://kubernetes.io/docs/concepts/windows/intro/을 참조하십시오. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Kubernetes 클러스터 Windows 컨테이너에서 승인된 사용자 및 도메인 사용자 그룹으로만 실행해야 함 | Windows Pod 및 컨테이너를 통해 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자를 제어합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Windows 노드의 Pod 보안 정책 중 일부입니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
| Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 | 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
| Kubernetes 클러스터는 ClusterRole/system:aggregate-to-edit의 엔드포인트 편집 권한을 허용하지 않아야 함 | ClusterRole/system:aggregate-to-edit는 CVE-2021-25740으로 인한 엔드포인트 편집 권한을 허용하지 않아야 합니다. 엔드포인트 및 EndpointSlice 권한에서 네임스페이스 간 전달(https://github.com/kubernetes/kubernetes/issues/103675)을 허용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 사용 안 함 | 3.1.0 |
| Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 | 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 특정 보안 기능을 사용하지 않아야 함 | Kubernetes 클러스터의 특정 보안 기능을 차단하여 Pod 리소스에 대해 부여되지 않은 권한을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 | Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| Kubernetes 클러스터는 CSI(Container Storage Interface) 드라이버 StorageClass를 사용해야 합니다. | CSI(Container Storage Interface)는 Kubernetes에서 컨테이너화된 워크로드에 임의 블록 및 파일 스토리지 시스템을 노출하는 표준입니다. AKS 버전 1.21 이후 트리 내 프로비저닝 프로그램 StorageClass는 더 이상 사용되지 않습니다. 자세한 내용은 https://aka.ms/aks-csi-driver를 참조하세요. | 감사, 거부, 사용 안 함 | 2.2.0 |
| Kubernetes 리소스에 필수 주석이 있어야 함 | Kubernetes 리소스의 개선된 리소스 관리를 위해 필요한 주석이 지정된 Kubernetes 리소스 종류에 연결되어 있는지 확인합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 3.1.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.