Definições internas do Azure Policy para o Serviço de Kubernetes do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Serviço de Kubernetes do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Iniciativas
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: utilize a Integridade da Imagem para garantir que apenas imagens confiáveis sejam implementadas | Use a Integridade da Imagem para garantir que os clusters do AKS implantem apenas imagens confiáveis habilitando a Integridade da Imagem e os Complementos do Azure Policy em clusters do AKS. O Complemento de Integridade da Imagem e o Complemento do Azure Policy são pré-requisitos para usar a Integridade da Imagem para verificar se a imagem está assinada na implantação. Para obter mais informações, acesse https://aka.ms/aks/image-integrity. | 3 | 1.1.0 – versão prévia |
| [Versão prévia]: a implantação de medidas de segurança deve ajudar a guiar os desenvolvedores em relação às melhores práticas do AKS | Uma coleção de práticas recomendadas do Kubernetes que são recomendadas pelo Serviço de Kubernetes do Azure Para obter a melhor experiência, use a implantação de medidas de segurança para atribuir essa iniciativa de política: https://aka.ms/aks/deployment-safeguards. O complemento Azure Policy para AKS é um pré-requisito para aplicar essas práticas recomendadas aos seus clusters. Para obter instruções sobre como habilitar o Complemento Azure Policy, acesse aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Padrões de linha de base de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux | Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod do cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Padrões restritos de segurança do pod do cluster do Kubernetes para cargas de trabalho baseadas no Linux | Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod do cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definições de política
Microsoft.ContainerService
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: [Integridade da Imagem] os clusters do Kubernetes só devem usar imagens assinadas por notação | Use imagens assinadas por notação para garantir que as imagens venham de fontes confiáveis e não sejam modificadas maliciosamente. Para obter mais informações, visite https://aka.ms/aks/image-integrity | Audit, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: A Extensão de Backup do Azure deve ser instalada em clusters do AKS | Garanta a instalação de proteção da extensão de backup nos seus Clusters do AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: O Backup do Azure deve ser habilitado para clusters do AKS | Garanta a proteção dos seus Clusters do AKS habilitando o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS. | AuditIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: Clusters Gerenciados do Serviço de Kubernetes do Azure devem ter redundância de zona | Os Clusters Gerenciados do Serviço de Kubernetes do Azure podem ser configurados para serem com redundância de zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade estejam definidas para todos os pools de nós. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: não é possível editar nós individuais. | Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite pools de nós. Modificar nós individuais pode levar a configurações inconsistentes, desafios operacionais e possíveis riscos de segurança. | Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: Implementar a Integridade da Imagem no Serviço de Kubernetes do Azure | Implantar clusters de Kubernetes do Azure e integridade de imagem e complementos de política. Para obter mais informações, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, desabilitado | 1.0.5-preview |
| [Versão prévia]: as imagens de contêiner de cluster do Kubernetes devem incluir o gancho preStop | Requer que as imagens de contêiner incluam um gancho de preStop para encerrar normalmente os processos durante os desligamentos do pod. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: as imagens de contêiner de cluster do Kubernetes não devem incluir a marca de imagem mais recente | Exige que as imagens de contêiner não usem a marca mais recente no Kubernetes; é uma prática recomendada garantir a reprodutibilidade, impedir atualizações não intencionais e facilitar a depuração e as reversões usando imagens de contêiner explícitas e com controle de versão. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os contêineres de cluster do Kubernetes só devem efetuar pull de imagens quando os segredos de pull de imagem estiverem presentes | Restringir pulls de imagem de contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado a imagens em um cluster do Kubernetes | Audit, Deny, desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: os serviços de cluster do Kubernetes devem usar seletores exclusivos | Certifique-se de que os serviços em um namespace têm seletores exclusivos. Um seletor de serviço exclusivo garante que cada serviço dentro de um namespace seja identificado exclusivamente com base em critérios específicos. Essa política sincroniza recursos de entrada no OPA por meio do Gatekeeper. Antes de aplicar, verifique se a capacidade de memória dos pods do Gatekeeper não será excedida. Os parâmetros se aplicam a namespaces específicos, mas isso sincroniza todos os recursos desse tipo em todos os namespaces. Está atualmente em versão prévia do AKS (Serviço de Kubernetes). | Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: o cluster do Kubernetes deve implementar Orçamentos precisos de Interrupção do Pod | Impede montantes de interrupção de pods defeituosos, garantindo um número mínimo de pods operacionais. Consulte a documentação oficial do Kubernetes para obter detalhes. Essa política depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de entrada dentro do escopo dela ao OPA. Antes de aplicar essa política, verifique se os recursos de entrada sincronizados não sobrecarregarão sua capacidade de memória. Embora os parâmetros avaliem namespaces específicos, todos os recursos desse tipo entre namespaces serão sincronizados. Observação: essa política está atualmente em versão prévia do AKS (Serviço de Kubernetes). | Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: os clusters do Kubernetes devem restringir a criação de um determinado tipo de recurso | O tipo de recurso do Kubernetes fornecido não deve ser implantado em determinados namespaces. | Audit, Deny, desabilitado | 2.2.0-preview |
| [Versão prévia]: o conjunto de regras de antiafinidade é obrigatório | Essa política garante que os pods sejam agendados em nós diferentes dentro do cluster. Ao impor regras antiafinidade, a disponibilidade será mantida mesmo se um dos nós ficar indisponível. Os pods continuarão a ser executados em outros nós, aumentando a resiliência. | Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: sem rótulos específicos do AKS | Impede que os clientes apliquem rótulos específicos do AKS. O AKS usa rótulos prefixados com kubernetes.azure.com para denotar componentes de propriedade do AKS. O cliente não deve usar esses rótulos. |
Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: tintas reservadas do pool do sistema | Restringe a contaminação de CriticalAddonsOnly apenas ao pool do sistema. O AKS usa a contaminação de CriticalAddonsOnly para manter os pods do cliente longe do pool do sistema. Ele garante uma separação clara entre componentes do AKS e pods de cliente, bem como impede que os pods de clientes sejam removidos se eles não tolerarem a contaminação de CriticalAddonsOnly. | Audit, Deny, desabilitado | 1.1.1-preview |
| [Versão prévia]: restringe o taint CriticalAddonsOnly apenas ao pool do sistema. | Para evitar a remoção de aplicativos de usuário de pools de usuários e manter a separação de preocupações entre os pools de usuário e os pools do sistema, o taint "CriticalAddonsOnly" não deve ser aplicado aos pools de usuários. | Mutar, Desabilitado | 1.1.0 – versão prévia |
| [Preview]: Define os limites de CPU dos contêineres de cluster do Kubernetes para valores padrão caso não estejam presentes. | Definindo limites de CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. | Mutar, Desabilitado | 1.1.1-preview |
| [Preview]: Define os limites de memória dos contêineres de cluster do Kubernetes para valores padrão caso não estejam presentes. | Definindo limites de memória de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. | Mutar, Desabilitado | 1.1.1-preview |
| [Versão prévia]: define os pods maxUnavailable como 1 para recursos PodDisruptionBudget | Definir o valor máximo do pod indisponível como 1 garante que o seu aplicativo ou serviço esteja disponível durante uma interrupção | Mutar, Desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: define readOnlyRootFileSystem na especificação do pod em contêineres de inicialização como true se ele não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança impedindo que os contêineres gravem no sistema de arquivos raiz. Isso funciona apenas para contêineres do Linux. | Mutar, Desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: define readOnlyRootFileSystem na especificação do pod como true se ele não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança impedindo que os contêineres gravem no sistema de arquivos raiz | Mutar, Desabilitado | 1.1.0 – versão prévia |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Os Clusters do Kubernetes do Azure devem habilitar a Interface de Armazenamento de Contêiner (CSI) | A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Serviço de Kubernetes do Azure. Para saber mais, https://aka.ms/aks-csi-driver | Audit, desabilitado | 1.0.0 |
| Os clusters de Kubernetes do Azure devem habilitar o KMS (Serviço de Gerenciamento de Chaves) | Use o KMS (Serviço de Gerenciamento de Chaves) para criptografar dados secretos inativos no etcd para a segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. | Audit, desabilitado | 1.0.0 |
| Os Clusters de Kubernetes do Azure devem usar CNI do Azure | O CNI do Azure é um pré-requisito para alguns recursos do Serviço de Kubernetes do Azure, incluindo políticas de rede do Azure, pools de nós do Windows e complementos de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni | Audit, desabilitado | 1.0.1 |
| Os Clusters do Serviço de Kubernetes do Azure devem desabilitar a Invocação de Comando | Desabilitar a invocação de comando pode aprimorar a segurança, evitando o bypass do acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes | Audit, desabilitado | 1.0.1 |
| Os Clusters do Serviço de Kubernetes do Azure devem habilitar a atualização automática do cluster | A atualização automática do cluster do AKS pode garantir que seus clusters estejam atualizados e não percam os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, desabilitado | 1.0.0 |
| Os Clusters de Serviço de Kubernetes do Azure devem habilitar o Limpador de Imagens | O Image Cleaner executa a identificação e remoção automáticas de imagens, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. | Audit, desabilitado | 1.0.0 |
| Os Clusters do Serviço de Kubernetes do Azure devem habilitar a integração do Microsoft Entra ID | A integração do Microsoft Entra ID gerenciada pelo AKS pode controlar o acesso aos clusters configurando o RBAC (controle de acesso baseado em função) do Kubernetes com base na identidade do usuário ou na associação ao grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. | Audit, desabilitado | 1.0.2 |
| Os Clusters de Serviço de Kubernetes do Azure devem habilitar a atualização automática do sistema operacional do nó | Atualizações de segurança do sistema operacional no nível do nó do AKS. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, desabilitado | 1.0.0 |
| Os clusters do Serviço de Kubernetes do Azure devem habilitar a identidade da carga de trabalho | A identidade da carga de trabalho permite atribuir uma identidade exclusiva a cada Pod do Kubernetes e associá-la aos recursos protegidos do Azure AD, como o Azure Key Vault, permitindo o acesso seguro a esses recursos de dentro do Pod. Saiba mais em: https://aka.ms/aks/wi. | Audit, desabilitado | 1.0.0 |
| Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes nativos de nuvem incluindo proteção de ambiente, proteção de cargas de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, desabilitado | 2.0.1 |
| Os clusters do Serviço de Kubernetes do Azure devem ter métodos de autenticação local desabilitados | Desabilitar os métodos de autenticação local garante que os clusters do Serviço de Kubernetes do Azure exijam identidades do Azure Active Directory exclusivamente para autenticação, o que melhora a segurança. Saiba mais em: https://aka.ms/aks-disable-local-accounts. | Audit, Deny, desabilitado | 1.0.1 |
| Os clusters do Serviço de Kubernetes do Azure devem usar identidades gerenciadas | Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities | Audit, desabilitado | 1.0.1 |
| Os Clusters Privados do Serviço de Kubernetes do Azure devem ser habilitados | Habilite o recurso de cluster privado para o cluster do Serviço de Kubernetes do Azure para garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça somente na rede privada. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters | O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
| O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.0.3 |
| As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| Configurar os clusters do Serviço de Kubernetes do Azure para habilitar o perfil do Defender | O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes de nuvem nativa incluindo proteção de ambiente, proteção de carga de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.Defender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no seu cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, desabilitado | 4.1.0 |
| Configurar a instalação da extensão Flux no cluster do Kubernetes | Instalar a extensão flux no cluster do Kubernetes para habilitar a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando a origem e os segredos do bucket no Key Vault | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer um bucket SecretKey armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e o Certificado de Autoridade de Certificação HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um Certificado de Autoridade de Certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave HTTPS armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave privada SSH armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos HTTPS | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição exige segredos de chave e de usuários HTTPS armazenados no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada não usando nenhum segredo | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos SSH | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição requer um segredo de chave privada SSH no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configurar os clusters do Serviço de Kubernetes do Azure integrados ao Microsoft Entra ID com o Acesso necessário ao Grupo de Administradores | Certifique-se de melhorar a segurança do cluster, regendo centralmente o acesso do Administrador aos clusters do AKS integrados do Microsoft Entra ID. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar a atualização automática do sistema operacional no Cluster de Kubernetes do Azure | Use a atualização automática do sistema operacional do Node para controlar as atualizações de segurança do sistema operacional no nível do nó dos clusters do Serviço de Kubernetes do Azure (AKS). Para obter mais informações, acesse https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, desabilitado | 1.0.1 |
| Implantar – Defina as configurações de diagnóstico do Serviço de Kubernetes do Azure no workspace do Log Analytics | Implanta as configurações de diagnóstico para que o Serviço de Kubernetes do Azure transmita logs de recursos para um workspace do Log Analytics. | DeployIfNotExists, desabilitado | 3.0.0 |
| Implantar Complemento do Azure Policy para clusters do Serviço de Kubernetes do Azure | Use o Complemento do Azure Policy para gerenciar e relatar o estado de conformidade de seus clusters do AKS (Serviço de Kubernetes do Azure). Para obter mais informações, consulte https://aka.ms/akspolicydoc. | DeployIfNotExists, desabilitado | 4.1.0 |
| Implantar o Limpador de Imagens no Serviço de Kubernetes do Azure | Implantar o Limpador de Imagens em clusters do Kubernetes do Azure. Para obter mais informações, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, desabilitado | 1.0.4 |
| Implantar a Manutenção Planejada para agendar e controlar atualizações para seu cluster do AKS (Serviço de Kubernetes do Azure) | A Manutenção Planejada permite agendar janelas de manutenção semanais para executar atualizações e minimizar o impacto na carga de trabalho. Depois de agendada, a atualização ocorre somente durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Desabilitar a Invocação de Comando nos clusters do Serviço de Kubernetes do Azure | Desabilitar a invocação de comando pode aprimorar a segurança ao rejeitar acessos ao cluster para invocação de comando | DeployIfNotExists, desabilitado | 1.2.0 |
| Verificar se os contêineres de cluster têm investigações de preparação ou atividade configuradas | Essa política impõe que todos os pods tenham investigações de preparação e/ou atividade configuradas. Os tipos de investigação podem ser os seguintes: tcpSocket, httpGet e exec. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.2.0 |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host | Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| Os contêineres de cluster do Kubernetes não devem usar as interfaces de sysctl proibidas | Os contêineres não devem usar as interfaces de sysctl proibidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.1 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente o ProcMountType permitido | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.1 |
| Os contêineres do cluster do Kubernetes devem usar apeanas a política de pull permitida | Restringir a política de pull de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Audit, Deny, desabilitado | 3.1.0 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do seccomp permitidos | Os contêineres de pod podem usar somente perfis do seccomp permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os volumes FlexVolume do pod do cluster do Kubernetes devem usar somente os drivers permitidos | Os volumes FlexVolume do pod devem usar somente os drivers permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.1 |
| Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.1 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.1 |
| Os pods e os contêineres do cluster do Kubernetes devem usar somente as opções de SELinux permitidas | Os pods e os contêineres devem usar somente as opções de SELinux permitidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.1 |
| Os pods do cluster do Kubernetes devem usar somente os tipos de volumes permitidos | Os pods podem usar somente tipos de volume permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.1 |
| Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados | Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.1.0 |
| Os pods no cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | Use IPs externos permitidos para evitar um potencial ataque (CVE-2020-8554) em um cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.1.0 |
| O cluster do Kubernetes não deve usar pods naked | Bloquear o uso de pods naked. Pods naked não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Implantação, Replicset, Daemonset ou Trabalhos | Audit, Deny, desabilitado | 2.1.0 |
| Os contêineres Windows do cluster do Kubernetes não devem sobrecarregar a CPU e a memória | As solicitações de recurso de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar sobrecarga. Se a memória do Windows estiver provisionada em excesso, ela processará páginas em disco – o que pode reduzir o desempenho – em vez de encerrar o contêiner com falha de memória insuficiente | Audit, Deny, desabilitado | 2.1.0 |
| Os contêineres do Windows do cluster de Kubernetes não devem ser executados como ContainerAdministrator | Impeça o uso do ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Essa recomendação destina-se a aprimorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, desabilitado | 1.1.0 |
| Os contêineres Windows do cluster do Kubernetes só devem ser executados com o usuário aprovado e o grupo de usuários de domínio | Controle o usuário que os pods e contêineres do Windows podem usar para executar em um Cluster do Kubernetes. Essa recomendação faz parte das Políticas de Segurança de Pod ou nós do Windows que são destinados a aprimorar a segurança dos seus ambientes do Kubernetes. | Audit, Deny, desabilitado | 2.1.0 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.1.0 |
| Os clusters de Kubernetes devem garantir que a função de administrador do cluster seja usada somente quando necessário | A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada somente onde e quando necessário. | Audit, desabilitado | 1.0.0 |
| Os clusters do Kubernetes devem minimizar o uso curinga na função e na função de cluster | Usar curingas ‘*’ pode ser um risco à segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser usada indevidamente por um invasor ou um usuário comprometido para obter acesso não autorizado aos recursos do cluster. | Audit, desabilitado | 1.0.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.1.0 |
| Os clusters do Kubernetes não devem permitir permissões de edição do ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint e EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, desabilitado | 3.1.0 |
| Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| Os clusters do Kubernetes não devem usar funcionalidades de segurança específicas | Evite funcionalidades de segurança específicas em clusters do Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.1.0 |
| Os clusters do Kubernetes devem usar o StorageClass do driver da Interface de Armazenamento de Contêiner (CSI) | A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Kubernetes. O StorageClass do provisionador na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Audit, Deny, desabilitado | 2.2.0 |
| Os clusters do Kubernetes devem usar balanceadores de carga internos | Use balanceadores de carga internos para tornar um serviço do Kubernetes acessível somente a aplicativos em execução na mesma rede virtual que o cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.1.0 |
| Os recursos do Kubernetes devem ter anotações obrigatórias | Verifique se as anotações obrigatórias estão anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos dos recursos do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.1.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados | Os logs de recurso do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividades ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário | AuditIfNotExists, desabilitado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.