Wbudowane definicje usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Platforma Kubernetes z obsługą usługi Azure Arc
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie usługi Azure Backup powinno być zainstalowane w klastrach usługi AKS | Upewnij się, że instalacja rozszerzenia kopii zapasowej w klastrach usługi AKS umożliwia korzystanie z usługi Azure Backup. Usługa Azure Backup for AKS to bezpieczne rozwiązanie do ochrony danych natywnych dla chmury dla klastrów usługi AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | Wersja zapoznawcza 7.1.0 |
| [Wersja zapoznawcza]: Klastry Kubernetes powinny ograniczyć tworzenie danego typu zasobu | Biorąc pod uwagę typ zasobu Kubernetes, nie należy wdrażać w określonej przestrzeni nazw. | Inspekcja, Odmowa, Wyłączone | 2.2.0-preview |
| Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy | Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Klastry kubernetes z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Open Service Mesh | Rozszerzenie Open Service Mesh zapewnia wszystkie standardowe funkcje siatki usług na potrzeby zabezpieczeń, zarządzania ruchem i obserwacji usług aplikacji. Dowiedz się więcej tutaj: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Strimzi Kafka | Rozszerzenie Strimzi Kafka udostępnia operatorom instalowanie platformy Kafka na potrzeby tworzenia potoków danych w czasie rzeczywistym i aplikacji przesyłania strumieniowego z zabezpieczeniami i możliwościami obserwacji. Dowiedz się więcej tutaj: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc w celu zainstalowania rozszerzenia usługi Azure Policy | Wdróż rozszerzenie usługi Azure Policy dla usługi Azure Arc, aby zapewnić wymuszanie na dużą skalę i ochronę klastrów Kubernetes z obsługą usługi Arc w scentralizowany, spójny sposób. Dowiedz się więcej na https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie klastrów Kubernetes z włączoną usługą Azure Arc do korzystania z zakresu usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/arc/privatelink. | Modyfikowanie, wyłączone | 1.0.0 |
| Konfigurowanie instalacji rozszerzenia Flux w klastrze Kubernetes | Instalowanie rozszerzenia Flux w klastrze Kubernetes w celu włączenia wdrożenia funkcji "fluxconfigurations" w klastrze | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu źródła zasobnika i wpisów tajnych w usłudze KeyVault | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga klucza tajnego zasobnika bucket przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i certyfikatu urzędu certyfikacji HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga certyfikatu urzędu certyfikacji HTTPS. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych HTTPS | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza HTTPS przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu repozytorium Git i wpisów tajnych SSH | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH przechowywanego w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu konfiguracji platformy Flux w wersji 2 przy użyciu publicznego repozytorium Git | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium Git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes przy użyciu określonego źródła zasobnika Flux v2 przy użyciu lokalnych wpisów tajnych | Wdróż "fluxConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego zasobnika. Ta definicja wymaga lokalnych wpisów tajnych uwierzytelniania przechowywanych w klastrze Kubernetes. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych HTTPS | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisów tajnych użytkownika i klucza HTTPS przechowywanych w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps bez wpisów tajnych | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja nie wymaga żadnych wpisów tajnych. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurowanie klastrów Kubernetes z określoną konfiguracją usługi GitOps przy użyciu wpisów tajnych SSH | Wdróż "sourceControlConfiguration" w klastrach Kubernetes, aby zapewnić, że klastry uzyskują źródło prawdy dla obciążeń i konfiguracji ze zdefiniowanego repozytorium git. Ta definicja wymaga wpisu tajnego klucza prywatnego SSH w usłudze Key Vault. Aby uzyskać instrukcje, odwiedź stronę https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Upewnij się, że kontenery klastra mają skonfigurowane sondy gotowości lub aktualności | Te zasady wymuszają, że wszystkie zasobniki mają skonfigurowane sondy gotowości i/lub aktualności. Typy sond mogą być dowolnymi typami tcpSocket, httpGet i exec. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać instrukcje dotyczące korzystania z tych zasad, odwiedź stronę https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Kontenery klastra Kubernetes nie powinny używać zabronionych interfejsów sysctl | Kontenery nie powinny używać niedozwolonych interfejsów sysctl w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonego typu ProcMountType | Kontenery zasobników mogą używać tylko dozwolonych typów ProcMountTypes w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych zasad ściągania | Ograniczanie zasad ściągania kontenerów w celu wymuszania kontenerów używania tylko dozwolonych obrazów we wdrożeniach | Inspekcja, Odmowa, Wyłączone | 3.1.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów seccomp | Kontenery zasobników mogą używać tylko dozwolonych profilów seccomp w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Woluminy zasobnika klastra Kubernetes FlexVolume powinny używać tylko dozwolonych sterowników | Woluminy Pod FlexVolume powinny używać tylko dozwolonych sterowników w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.1 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.1 |
| Zasobniki klastra Kubernetes i kontenery powinny używać tylko dozwolonych opcji SELinux | Zasobniki i kontenery powinny używać tylko dozwolonych opcji SELinux w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko dozwolonych typów woluminów | Zasobniki mogą używać tylko dozwolonych typów woluminów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.1 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.1.0 |
| Zasobniki klastra Kubernetes powinny używać określonych etykiet | Użyj określonych etykiet, aby zidentyfikować zasobniki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Usługi klastra Kubernetes powinny używać tylko dozwolonych zewnętrznych adresów IP | Użyj dozwolonych zewnętrznych adresów IP, aby uniknąć potencjalnego ataku (CVE-2020-8554) w klastrze Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.1.0 |
| Klaster Kubernetes nie powinien używać zasobników nagich | Blokuj użycie nagich zasobników. Zasobniki naked nie zostaną ponownie ułożone w przypadku awarii węzła. Zasobniki powinny być zarządzane przez zadania deployment, Replicset, Daemonset lub Jobs | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Kontenery klastra Kubernetes systemu Windows nie powinny nadmiernie zatwierdzać procesora i pamięci | Żądania zasobów kontenera systemu Windows powinny być mniejsze lub równe limitowi zasobów lub nieokreślone, aby uniknąć nadmiernego przydziału. Jeśli pamięć systemu Windows jest nadmiernie aprowizowana, będzie przetwarzać strony na dysku — co może spowolnić wydajność — zamiast przerywać działanie kontenera z braku pamięci | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Kontenery systemu Windows klastra Kubernetes nie powinny działać jako kontener Administracja istrator | Zapobiegaj użyciu kontenera Administracja istrator jako użytkownik do wykonywania procesów kontenera dla zasobników lub kontenerów systemu Windows. To zalecenie ma na celu poprawę bezpieczeństwa węzłów systemu Windows. Aby uzyskać więcej informacji, zobacz https://kubernetes.io/docs/concepts/windows/intro/ . | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Kontenery systemu Windows klastra Kubernetes powinny być uruchamiane tylko z zatwierdzoną grupą użytkowników i domeny | Kontrolowanie użytkownika, którego zasobniki i kontenery systemu Windows mogą używać do uruchamiania w klastrze Kubernetes. To zalecenie jest częścią zasad zabezpieczeń zasobników w węzłach systemu Windows, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.1.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 7.1.0 |
| Klastry Kubernetes nie powinny zezwalać na uprawnienia edycji punktu końcowego elementu ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit nie powinno zezwalać na uprawnienia do edycji punktu końcowego z powodu CVE-2021-25740, uprawnienia punktów końcowych i punktów końcowychZwolenie na przekazywanie między przestrzeniami nazw, https://github.com/kubernetes/kubernetes/issues/103675. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, wyłączone | 3.1.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać określonych funkcji zabezpieczeń | Zapobiegaj określonym funkcjom zabezpieczeń w klastrach Kubernetes, aby uniemożliwić niegranowane uprawnienia w zasobie zasobnika. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.1.0 |
| Klastry Kubernetes powinny używać sterownika Container Storage Interface (CSI) StorageClass | Interfejs Container Storage Interface (CSI) jest standardem umożliwiającym uwidacznianie dowolnych systemów magazynów blokowych i magazynów plików konteneryzowanym obciążeniom na platformie Kubernetes. Klasa StorageClass inicjowania obsługi administracyjnej w drzewie powinna być przestarzała od wersji 1.21 usługi AKS. Aby dowiedzieć się więcej, https://aka.ms/aks-csi-driver | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
| Zasoby kubernetes powinny mieć wymagane adnotacje | Upewnij się, że wymagane adnotacje są dołączone do danego rodzaju zasobu Kubernetes w celu lepszego zarządzania zasobami platformy Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 3.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.