Controles de Conformidade Regulatória do Azure Policy para o AKS (Serviço de Kubernetes do Azure)
A Conformidade Regulatória no Azure Policy fornece definições de iniciativas (internas) criadas e gerenciadas pela Microsoft para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controles de segurança do AKS (Serviço de Kubernetes do Azure).
Você pode atribuir os itens internos a um controle de segurança individualmente a fim de ajudar a manter seus recursos do Azure em conformidade com o padrão específico.
O título de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão da Política para ver a origem no repositório GitHub do Azure Policy.
Importante
Cada controle está associado a uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Portanto, a Conformidade no Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os controles e as definições de Conformidade Regulatória do Azure Policy para esses padrões de conformidade podem mudar com o tempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.1.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.5 | Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.3.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.5 | Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para analisar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Detalhes de conformidade regulatória do azure Policy para CIS v1.4.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.7 | Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
CMMC nível 3
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira Cybersecurity Maturity Model Certification (CMMC).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Controle de acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Controle de acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Controle de acesso | AC.2.007 | Empregar o princípio de privilégios mínimos, incluindo para funções de segurança específicas e contas privilegiadas. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Controle de acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Gerenciamento de configuração | CM.2.062 | Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
FedRAMP Alto
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.
FedRAMP Moderado
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.
HIPAA HITRUST 9.2
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – HIPaa HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, confira HIPAA HITRUST 9.2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Gerenciamento de privilégios | 1149.01c2System.9 – 01.c | A organização facilita o compartilhamento de informações, permitindo que os usuários autorizados determinem o acesso de um parceiro de negócios quando o critério é permitido, conforme definido pela organização, e empregando processos manuais ou mecanismos automatizados para ajudar os usuários a tomar decisões de compartilhamento/colaboração de informações. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| 11 Controle de Acesso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Acesso Autorizado a Sistemas de Informações | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| 12 Log de Auditoria e Monitoramento | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimentos Operacionais Documentados | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
Políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty. Para obter mais informações sobre esse padrão de conformidade, confira Portfólio de políticas do Microsoft Cloud for Sovereignty.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.3 - Chaves Gerenciadas pelo Cliente | SO.3 | Os produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente sempre que possível. | Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
Referência de segurança de nuvem da Microsoft
O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o parâmetro de comparação de segurança da nuvem da Microsoft, confira os Arquivos de mapeamento do Azure Security Benchmark.
Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.
NIST SP 800-171 R2
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.16 | Proteja a confidencialidade do CUI em repouso. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.8 | Implemente mecanismos criptográficos para impedir a divulgação não autorizada da CUI durante a transmissão, a menos que ela conte com proteções físicas alternativas. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | 1.0.2 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | 5.1.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.1.1 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.1.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.1.1 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.1.1 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.1.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.1.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 7.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | 1.0.2 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | 5.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.1.1 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.1.1 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.1.1 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.1.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 7.1.0 |
NIST SP 800-53 Rev. 4
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.
Tema de nuvem do NL BIO
Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | 1.0.2 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | 5.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.1.1 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.1.1 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.1.1 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 7.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem usar o namespace padrão | 4.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| U.05.1 Proteção de dados – Medidas de criptografia | U.05.1 | O transporte de dados é protegido com criptografia em que o gerenciamento de chaves é realizado pelo próprio CSC, se possível. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| U.07.3 Separação de dados – Recursos de gerenciamento | U.07.3 | U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| U.11.1 Serviços de criptografia – Política | U.11.1 | Na política de criptografia, no mínimo, as entidades de acordo com a BIO foram elaboradas. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| U.11.2 Serviços de criptografia – Medidas de criptografia | U.11.2 | No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| U.15.1 Log e monitoramento – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados | 1.0.0 |
Reserve Bank of India – Estrutura de TI para NBFC
Para examinar como as iniciativas internas disponíveis no azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, veja Conformidade Regulatória do azure Policy – Banco de Reserva da Índia – Framework de TI para NBFC. Para obter mais informações sobre esse padrão de conformidade, veja Banco de Reserva da Índia – Framework de TI para NBFC.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Governança de TI | 1 | Governança de TI–1 | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Informações e Segurança Cibernética | 3.1.a | Identificação e Classificação de Ativos de Informação–3.1 | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Informações e Segurança Cibernética | 3.1.c | Controle de Acesso baseado em função–3.1 | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Informações e Segurança Cibernética | 3.1.g | Trails-3.1 | Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Segurança da Informação e Segurança Cibernética | 3.3 | Gerenciamento de vulnerabilidades 3.3 | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
Reserve Bank of India IT Framework for Banks v2016
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações — 7.7 | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 | |
| Gerenciamento e defesa contra ameaças em tempo de execução avançado | Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.2 | Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 | |
| Controle de acesso/Gerenciamento do usuário | Controle de acesso/Gerenciamento do usuário – 8.1 | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
RMIT Malásia
Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malásia.
SWIFT CSP-CSCF v2021
Para ler como os itens integrados do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP CSCF v2021.
System and Organization Controls (SOC) 2
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, confira os Detalhes de conformidade regulatória do Azure Policy para o SOC (Controles de Sistema e Organização) 2. Para obter mais informações sobre esse padrão de conformidade, confira o SOC (Controles de Sistema e Organização) 2.
| Domínio | ID do controle | Título do controle | Política (Portal do Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| Controles de acesso lógico e físico | CC6.3 | Acesso baseado em Rol e privilégios mínimos | O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | 1.0.3 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 8.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | 1.0.2 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | 5.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.1.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.1.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.1.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 7.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem usar o namespace padrão | 4.1.0 |
| Operações de sistema | CC7.2 | Monitorar componentes do sistema para verificar se há comportamento anômalo | Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | 1.0.2 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | 5.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.1.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.1.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.1.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | 6.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 7.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem usar o namespace padrão | 4.1.0 |
Próximas etapas
- Saiba mais sobre a Conformidade Regulatória do Azure Policy.
- Confira os internos no repositório Azure Policy GitHub.