Inbyggda definitioner för Azure Policy i Azure Kubernetes Service
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure Kubernetes Service. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Initiativ
| Name | beskrivning | Principer | Version |
|---|---|---|---|
| [Förhandsversion]: Använd bildintegritet för att säkerställa att endast betrodda avbildningar distribueras | Använd Bildintegritet för att säkerställa att AKS-kluster endast distribuerar betrodda avbildningar genom att aktivera tilläggen Bildintegritet och Azure Policy i AKS-kluster. Tillägg för bildintegritet och Azure Policy-tillägg är båda förutsättningar för att använda bildintegritet för att kontrollera om avbildningen är signerad vid distributionen. Mer information finns i https://aka.ms/aks/image-integrity. | 3 | 1.1.0-förhandsversion |
| [Förhandsversion]: Distributionsskydd bör hjälpa utvecklare att använda rekommenderade metodtips för AKS | En samling metodtips för Kubernetes som rekommenderas av Azure Kubernetes Service (AKS). Använd distributionsskydd för att tilldela det här principinitiativet för bästa möjliga upplevelse: https://aka.ms/aks/deployment-safeguards. Azure Policy-tillägg för AKS är en förutsättning för att tillämpa dessa metodtips på dina kluster. Anvisningar om hur du aktiverar Azure Policy-tillägget finns i aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Säkerhetsstandarder för Kubernetes-klusterpoddar för Linux-baserade arbetsbelastningar | Det här initiativet omfattar principerna för Kubernetes-klusterpoddens säkerhetsbaslinjestandarder. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Anvisningar om hur du använder den här principen finns i https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Säkerhetsbegränsade standarder för Kubernetes-klusterpoddar för Linux-baserade arbetsbelastningar | Det här initiativet innehåller principer för kubernetes-klusterpoddens säkerhetsbegränsade standarder. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Anvisningar om hur du använder den här principen finns i https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Principdefinitioner
Microsoft.ContainerService
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: [Bildintegritet] Kubernetes-kluster bör endast använda avbildningar signerade av notation | Använd bilder signerade av notation för att se till att avbildningar kommer från betrodda källor och inte kommer att ändras på ett skadligt sätt. Mer information finns i https://aka.ms/aks/image-integrity | Granskning, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup-tillägget ska installeras i AKS-kluster | Se till att säkerhetsinstallationen av säkerhetskopieringstillägget i dina AKS-kluster används för att utnyttja Azure Backup. Azure Backup för AKS är en säker och molnbaserad dataskyddslösning för AKS-kluster | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Backup ska vara aktiverat för AKS-kluster | Skydda dina AKS-kluster genom att aktivera Azure Backup. Azure Backup för AKS är en säker och molnbaserad dataskyddslösning för AKS-kluster. | AuditIfNotExists, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Azure Kubernetes Service Managed Clusters bör vara zonredundanta | Azure Kubernetes Service Managed Clusters kan konfigureras som zonredundanta eller inte. Principen kontrollerar nodpoolerna i klustret och ser till att avaialbilty-zoner anges för alla nodpooler. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Det går inte att redigera enskilda noder | Det går inte att redigera enskilda noder. Användare bör inte redigera enskilda noder. Redigera nodpooler. Att ändra enskilda noder kan leda till inkonsekventa inställningar, driftutmaningar och potentiella säkerhetsrisker. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Distribuera avbildningsintegritet i Azure Kubernetes Service | Distribuera azure Kubernetes-kluster för både avbildningsintegritet och principtillägg. Mer information finns i https://aka.ms/aks/image-integrity | DeployIfNotExists, inaktiverad | 1.0.5-förhandsversion |
| [Förhandsversion]: Kubernetes-klustercontaineravbildningar måste innehålla preStop-kroken | Kräver att containeravbildningar innehåller en preStop-krok för att korrekt avsluta processer under poddavstängningar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Kubernetes-klustercontaineravbildningar bör inte innehålla den senaste avbildningstaggen | Kräver att containeravbildningar inte använder den senaste taggen i Kubernetes. Det är ett bra sätt att säkerställa reproducerbarhet, förhindra oavsiktliga uppdateringar och underlätta enklare felsökning och återställningar med hjälp av explicita och versionsbaserade containeravbildningar. | Granska, neka, inaktiverad | 1.0.0-preview |
| [Förhandsversion]: Kubernetes-klustercontainrar bör endast hämta avbildningar när avbildningshämtningshemligheter finns | Begränsa containrars avbildningshämtningar för att framtvinga förekomsten av ImagePullSecrets, vilket säkerställer säker och auktoriserad åtkomst till bilder i ett Kubernetes-kluster | Granska, neka, inaktiverad | 1.1.0-förhandsversion |
| [Förhandsversion]: Kubernetes-klustertjänster bör använda unika väljare | Se till att tjänster i ett namnområde har unika väljare. En unik tjänstväljare ser till att varje tjänst i ett namnområde är unikt identifierbar baserat på specifika kriterier. Den här principen synkroniserar inkommande resurser till OPA via Gatekeeper. Kontrollera att minneskapaciteten för Gatekeeper-poddar inte överskrids innan du tillämpar den. Parametrar gäller för specifika namnområden, men alla resurser av den typen synkroniseras över alla namnområden. För närvarande i förhandsversion för Kubernetes Service (AKS). | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Kubernetes-klustret bör implementera korrekta poddavbrottsbudgetar | Förhindrar felaktiga poddstörningar, vilket säkerställer ett minsta antal driftspoddar. Mer information finns i den officiella Kubernetes-dokumentationen. Förlitar sig på Gatekeeper-datareplikering och synkroniserar alla ingressresurser som är begränsade till den till OPA. Innan du tillämpar den här principen kontrollerar du att de synkroniserade ingressresurserna inte belastar din minneskapacitet. Även om parametrar utvärderar specifika namnområden synkroniseras alla resurser av den typen mellan namnområden. Obs! För närvarande i förhandsversion för Kubernetes Service (AKS). | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Kubernetes-kluster bör begränsa skapandet av en viss resurstyp | Angiven Kubernetes-resurstyp bör inte distribueras i ett visst namnområde. | Granska, neka, inaktiverad | 2.2.0-preview |
| [Förhandsversion]: Måste ha regler för antitillhörighet angivna | Den här principen säkerställer att poddar schemaläggs på olika noder i klustret. Genom att tillämpa regler mot tillhörighet bibehålls tillgängligheten även om en av noderna blir otillgänglig. Poddar fortsätter att köras på andra noder, vilket ökar motståndskraften. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Inga AKS-specifika etiketter | Hindrar kunder från att använda AKS-specifika etiketter. AKS använder etiketter som prefixats med kubernetes.azure.com för att ange AKS-ägda komponenter. Kunden bör inte använda dessa etiketter. |
Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Taints för reserverad systempool | Begränsar CriticalAddonsOnly taint till bara systempoolen. AKS använder CriticalAddonsOnly taint för att hålla kundpoddar borta från systempoolen. Det säkerställer en tydlig separation mellan AKS-komponenter och kundpoddar, samt förhindrar att kundpoddar avlägsnas om de inte tolererar CriticalAddonsOnly-borttagningen. | Granska, neka, inaktiverad | 1.1.1-preview |
| [Förhandsversion]: Begränsar CriticalAddonsOnly taint till bara systempoolen. | För att undvika borttagning av användarappar från användarpooler och upprätthålla separation av problem mellan användar- och systempooler bör tainten "CriticalAddonsOnly" inte tillämpas på användarpooler. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger CPU-gränser för Kubernetes-klustercontainrar till standardvärden om de inte finns eller överskrider gränserna. | Ställa in cpu-gränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger minnesgränser för Kubernetes-klustercontainrar till standardvärden om de inte finns eller överskrider gränserna. | Ställa in gränser för containerminne för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Ställer in maxUnavailable poddar till 1 för PodDisruptionBudget-resurser | Om du anger maximalt otillgängligt poddvärde till 1 ser du till att programmet eller tjänsten är tillgänglig under ett avbrott | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger readOnlyRootFileSystem i poddspecifikationen i init-containrar till true om den inte har angetts. | Om readOnlyRootFileSystem anges till true ökar säkerheten genom att containrar inte skrivs in i rotfilsystemet. Detta fungerar endast för Linux-containrar. | Mutate, Disabled | 1.1.0-förhandsversion |
| [Förhandsversion]: Anger readOnlyRootFileSystem i poddspecifikationen till sant om det inte har angetts. | Om readOnlyRootFileSystem anges till true ökar säkerheten genom att containrar inte skrivs in i rotfilsystemet | Mutate, Disabled | 1.1.0-förhandsversion |
| Auktoriserade IP-intervall ska definieras i Kubernetes Services | Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. | Granskning, inaktiverad | 2.0.1 |
| Azure Kubernetes-kluster ska aktivera CSI (Container Storage Interface) | Container Storage Interface (CSI) är en standard för att exponera godtyckliga block- och fillagringssystem för containerbaserade arbetsbelastningar i Azure Kubernetes Service. Mer information finns i https://aka.ms/aks-csi-driver | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-kluster ska aktivera nyckelhanteringstjänst (KMS) (KMS) | Använd nyckelhanteringstjänst (KMS) (KMS) för att kryptera hemliga data i vila i etcd för Kubernetes-klustersäkerhet. Läs mer på: https://aka.ms/aks/kmsetcdencryption. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-kluster bör använda Azure CNI | Azure CNI är en förutsättning för vissa Azure Kubernetes Service-funktioner, inklusive Azure-nätverksprinciper, Windows-nodpooler och tillägg för virtuella noder. Läs mer på: https://aka.ms/aks-azure-cni | Granskning, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör inaktivera kommandoanrop | Om du inaktiverar kommandot anropa kan du förbättra säkerheten genom att undvika förbikoppling av begränsad nätverksåtkomst eller rollbaserad Åtkomstkontroll i Kubernetes | Granskning, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör aktivera automatisk uppgradering av kluster | Automatisk uppgradering av AKS-kluster kan säkerställa att dina kluster är uppdaterade och inte missar de senaste funktionerna eller korrigeringarna från AKS och uppströms Kubernetes. Läs mer på: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera Image Cleaner | Image Cleaner utför automatisk sårbar, oanvänd bildidentifiering och borttagning, vilket minskar risken för inaktuella bilder och minskar den tid som krävs för att rensa upp dem. Läs mer på: https://aka.ms/aks/image-cleaner. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera Integrering av Microsoft Entra-ID | AKS-hanterad Microsoft Entra-ID-integrering kan hantera åtkomsten till klustren genom att konfigurera Rollbaserad åtkomstkontroll för Kubernetes (Kubernetes RBAC) baserat på en användares identitets- eller kataloggruppsmedlemskap. Läs mer på: https://aka.ms/aks-managed-aad. | Granskning, inaktiverad | 1.0.2 |
| Azure Kubernetes-tjänstkluster bör aktivera automatisk uppgradering av nodoperativsystem | Automatisk uppgradering av AKS-nodoperativsystem styr säkerhetsuppdateringar på nodnivå. Läs mer på: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes-tjänstkluster bör aktivera arbetsbelastningsidentitet | Med arbetsbelastningsidentiteten kan du tilldela en unik identitet till varje Kubernetes-podd och associera den med Azure AD-skyddade resurser, till exempel Azure Key Vault, vilket ger säker åtkomst till dessa resurser från podden. Läs mer på: https://aka.ms/aks/wi. | Granskning, inaktiverad | 1.0.0 |
| Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Granskning, inaktiverad | 2.0.1 |
| Azure Kubernetes-tjänstkluster bör ha lokala autentiseringsmetoder inaktiverade | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att säkerställa att Azure Kubernetes Service Clusters uteslutande kräver Azure Active Directory-identiteter för autentisering. Läs mer på: https://aka.ms/aks-disable-local-accounts. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Kubernetes-tjänstkluster bör använda hanterade identiteter | Använd hanterade identiteter för att omsluta tjänstens huvudnamn, förenkla klusterhanteringen och undvika den komplexitet som krävs för hanterade tjänstens huvudnamn. Läs mer på: https://aka.ms/aks-update-managed-identities | Granskning, inaktiverad | 1.0.1 |
| Privata Azure Kubernetes Service-kluster ska vara aktiverade | Aktivera funktionen för privata kluster för ditt Azure Kubernetes Service-kluster för att säkerställa att nätverkstrafiken mellan API-servern och nodpoolerna endast finns kvar i det privata nätverket. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
| Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.3 |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | AuditIfNotExists, inaktiverad | 1.0.1 |
| Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar | Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
| Konfigurera Azure Kubernetes Service-kluster för att aktivera Defender-profil | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.Defender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, inaktiverad | 4.1.0 |
| Konfigurera installation av Flux-tillägget i Kubernetes-kluster | Installera Flux-tillägget i Kubernetes-klustret för att aktivera distribution av "fluxkonfigurationer" i klustret | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med bucketkälla och hemligheter i KeyVault | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver en Bucket SecretKey som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med Git-lagringsplats och HTTPS CA-certifikat | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver ett HTTPS CA-certifikat. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och HTTPS-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en HTTPS-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av Git-lagringsplats och SSH-hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet som lagras i Key Vault. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med Flux v2-konfiguration med hjälp av en offentlig Git-lagringsplats | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade Git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven Flux v2 Bucket-källa med hjälp av lokala hemligheter | Distribuera en "fluxConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade bucketen. Den här definitionen kräver lokala autentiseringshemligheter som lagras i Kubernetes-klustret. Instruktioner finns i https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av HTTPS-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver HTTPS-användar- och nyckelhemligheter som lagras i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration utan hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av SSH-hemligheter | Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver en privat SSH-nyckelhemlighet i Key Vault. Instruktioner finns i https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled, Disabled | 1.1.0 |
| Konfigurera Microsoft Entra-ID:t integrerade Azure Kubernetes-tjänstkluster med nödvändig administratörsgruppåtkomst | Se till att förbättra klustersäkerheten genom att centralt styra administratörsåtkomsten till Microsoft Entra ID-integrerade AKS-kluster. | DeployIfNotExists, inaktiverad | 2.1.0 |
| Konfigurera automatisk uppgradering av Node OS på Azure Kubernetes-kluster | Använd automatisk uppgradering av Node OS för att styra säkerhetsuppdateringar på nodnivå för AKS-kluster (Azure Kubernetes Service). Mer information finns i https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Distribuera – Konfigurera diagnostikinställningar för Azure Kubernetes Service till Log Analytics-arbetsytan | Distribuerar diagnostikinställningarna för Azure Kubernetes Service för att strömma resursloggar till en Log Analytics-arbetsyta. | DeployIfNotExists, inaktiverad | 3.0.0 |
| Distribuera Azure Policy-tillägg till Azure Kubernetes Service-kluster | Använd Azure Policy-tillägget för att hantera och rapportera om efterlevnadstillståndet för dina AKS-kluster (Azure Kubernetes Service). Mer information finns i https://aka.ms/akspolicydoc. | DeployIfNotExists, inaktiverad | 4.1.0 |
| Distribuera Image Cleaner på Azure Kubernetes Service | Distribuera Image Cleaner i Azure Kubernetes-kluster. Mer information finns i https://aka.ms/aks/image-cleaner | DeployIfNotExists, inaktiverad | 1.0.4 |
| Distribuera planerat underhåll för att schemalägga och kontrollera uppgraderingar för ditt AKS-kluster (Azure Kubernetes Service) | Med planerat underhåll kan du schemalägga veckovisa underhållsperioder för att utföra uppdateringar och minimera påverkan på arbetsbelastningen. När det är schemalagt sker uppgraderingar endast under det fönster som du har valt. Läs mer på: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Inaktivera Kommandot anropa i Azure Kubernetes Service-kluster | Om du inaktiverar kommandot anropa kan säkerheten förbättras genom att anropa-kommandoåtkomst till klustret avvisas | DeployIfNotExists, inaktiverad | 1.2.0 |
| Se till att klustercontainrar har konfigurerat beredskaps- eller liveness-avsökningar | Den här principen framtvingar att alla poddar har konfigurerat beredskaps- och/eller liveness-avsökningar. Avsökningstyper kan vara tcpSocket, httpGet och exec. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Anvisningar om hur du använder den här principen finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.2.0 |
| Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-klustercontainrar bör inte använda förbjudna sysctl-gränssnitt | Containrar bör inte använda förbjudna sysctl-gränssnitt i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna ProcMountType | Podcontainrar kan bara använda tillåtna ProcMountTypes i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Kubernetes-klustercontainrar bör endast använda tillåten pull-princip | Begränsa containrarnas pull-princip för att framtvinga att containrar endast använder tillåtna avbildningar i distributioner | Granska, neka, inaktiverad | 3.1.0 |
| Kubernetes-klustercontainrar bör endast använda tillåtna seccomp-profiler | Podcontainrar kan bara använda tillåtna seccomp-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Kubernetes-klusterpoddens FlexVolume-volymer bör endast använda tillåtna drivrutiner | Pod FlexVolume-volymer bör endast använda tillåtna drivrutiner i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Kubernetes-klusterpoddar och containrar bör endast använda tillåtna SELinux-alternativ | Poddar och containrar bör endast använda tillåtna SELinux-alternativ i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Kubernetes-klusterpoddar bör endast använda tillåtna volymtyper | Poddar kan bara använda tillåtna volymtyper i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Kubernetes-klusterpoddar bör använda angivna etiketter | Använd angivna etiketter för att identifiera poddarna i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser | Använd tillåtna externa IP-adresser för att undvika den potentiella attacken (CVE-2020-8554) i ett Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Kubernetes-kluster ska inte använda nakna poddar | Blockera användning av nakna poddar. Nakna poddar kommer inte att schemaläggas om i händelse av ett nodfel. Poddar ska hanteras av Distribution, Replicset, Daemonset eller Jobb | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar bör inte överbekräja processor och minne | Resursbegäranden för Windows-containrar ska vara mindre eller lika med resursgränsen eller ospecificerade för att undvika övertagande. Om Windows-minnet är överetablerad bearbetas sidor i disken – vilket kan göra prestandan långsammare – i stället för att avsluta containern med slut på minne | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster Windows-containrar ska inte köras som ContainerAdministrator | Förhindra användning av ContainerAdministrator som användare för att köra containerprocesserna för Windows-poddar eller -containrar. Den här rekommendationen är avsedd att förbättra säkerheten för Windows-noder. Mer information finns i https://kubernetes.io/docs/concepts/windows/intro/ . | Granska, neka, inaktiverad | 1.1.0 |
| Kubernetes-kluster Windows-containrar bör endast köras med godkänd användar- och domänanvändargrupp | Kontrollera den användare som Windows-poddar och containrar kan använda för att köra i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper på Windows-noder som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. | Granska, neka, inaktiverad | 2.1.0 |
| Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör se till att klusteradministratörsrollen endast används där det behövs | Rollen "klusteradministratör" ger omfattande befogenheter över miljön och bör endast användas där och när det behövs. | Granskning, inaktiverad | 1.0.0 |
| Kubernetes-kluster bör minimera användningen av jokertecken i roll- och klusterrollen | Att använda jokertecken *kan vara en säkerhetsrisk eftersom det ger breda behörigheter som kanske inte är nödvändiga för en viss roll. Om en roll har för många behörigheter kan den eventuellt missbrukas av en angripare eller komprometterad användare för att få obehörig åtkomst till resurser i klustret. | Granskning, inaktiverad | 1.0.0 |
| Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Kubernetes-kluster bör inte tillåta behörigheter för slutpunktsredigering för ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit bör inte tillåta behörigheter för slutpunktsredigering på grund av CVE-2021-25740, Endpoint & EndpointSlice-behörigheter tillåter vidarebefordran mellan namnområden, https://github.com/kubernetes/kubernetes/issues/103675. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granskning, inaktiverad | 3.1.0 |
| Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda specifika säkerhetsfunktioner | Förhindra specifika säkerhetsfunktioner i Kubernetes-kluster för att förhindra oanvänd behörighet på poddresursen. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Kubernetes-kluster bör använda CSI-drivrutinen (Container Storage Interface) StorageClass | Container Storage Interface (CSI) är en standard för att exponera godtyckliga block- och fillagringssystem för containerbaserade arbetsbelastningar på Kubernetes. In-tree provisioner StorageClass bör vara inaktuell sedan AKS version 1.21. Mer information finns i https://aka.ms/aks-csi-driver | Granska, neka, inaktiverad | 2.2.0 |
| Kubernetes-kluster bör använda interna lastbalanserare | Använd interna lastbalanserare för att göra en Kubernetes-tjänst endast tillgänglig för program som körs i samma virtuella nätverk som Kubernetes-klustret. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Kubernetes-resurser ska ha nödvändiga anteckningar | Se till att nödvändiga anteckningar är kopplade till en viss Kubernetes-resurstyp för förbättrad resurshantering av dina Kubernetes-resurser. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | Granska, neka, inaktiverad | 3.1.0 |
| Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version | Uppgradera kubernetes-tjänstklustret till en senare Kubernetes-version för att skydda mot kända sårbarheter i din aktuella Kubernetes-version. Sårbarhets-CVE-2019-9946 har korrigerats i Kubernetes version 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ | Granskning, inaktiverad | 1.0.2 |
| Resursloggar i Azure Kubernetes Service ska vara aktiverade | Azure Kubernetes Service-resursloggar kan hjälpa till att återskapa aktivitetsspår när du undersöker säkerhetsincidenter. Aktivera den för att se till att loggarna finns när det behövs | AuditIfNotExists, inaktiverad | 1.0.0 |
| Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service-kluster ska krypteras på värden | För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. | Granska, neka, inaktiverad | 1.0.1 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.