Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Службы Azure Kubernetes. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Инициативы
| Имя | Описание | Политики | Версия |
|---|---|---|---|
| [Предварительная версия]. Использование целостности изображений для обеспечения развертывания только доверенных образов | Используйте целостность изображений, чтобы обеспечить развертывание кластеров AKS только доверенных образов, включив целостность изображений и Политика Azure надстройки в кластерах AKS. Надстройка целостности изображений и надстройка Политика Azure являются предварительными условиями использования целостности изображений для проверки того, подписан ли образ при развертывании. Дополнительные сведения см. в статье https://aka.ms/aks/image-integrity. | 3 | 1.1.0 (предварительная версия) |
| [Предварительная версия]: кластер Kubernetes должен следовать рекомендациям по контролю защищённости эталона Kubernetes Центра Интернет-Безопасности (CIS). | Эта инициатива включает в себя политики для рекомендаций по безопасности Центра безопасности Интернета (CIS) Kubernetes, вы можете использовать эту инициативу для обеспечения соответствия стандартам CIS Kubernetes. Дополнительные сведения о соответствии CIS см. по адресу: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0 (предварительная версия) |
| Средства защиты развертывания должны помочь разработчикам в отношении рекомендуемых рекомендаций AKS | Коллекция рекомендаций Kubernetes, рекомендуемых Служба Azure Kubernetes (AKS). Для лучшего использования используйте средства защиты развертывания, чтобы назначить эту инициативу политики: https://aka.ms/aks/deployment-safeguards Политика Azure надстройка для AKS является необходимым условием для применения этих рекомендаций к кластерам. Инструкции по включению надстройки Политика Azure см. в aka.ms/akspolicydoc | двадцать семь | 3.0.0 |
| Стандарты базовой конфигурации безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов базовой конфигурации безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Стандарты безопасности объектов pod в кластере Kubernetes для рабочих нагрузок Linux | Эта инициатива включает политики стандартов безопасности для объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Определения политик
Microsoft.ContainerService
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: [Целостность изображений] Кластеры Kubernetes должны использовать только изображения, подписанные нотацией | Используйте образы, подписанные нотацией, чтобы гарантировать, что образы приходят из доверенных источников и не будут вредоносным образом изменены. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | Аудит, отключено | 1.1.0 (предварительная версия) |
| [предварительная версия]: расширение Azure Backup должно быть установлено в кластерах AKS | Убедитесь, что установка расширения резервного копирования в кластерах AKS позволяет использовать Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, отключено | 1.0.0 (предварительная версия) |
| [предварительная версия]. Для кластеров AKS необходимо включить резервное копирование Azure | Обеспечьте защиту кластеров AKS, включив Azure Backup. Azure Backup для AKS — это безопасное и облачное решение для защиты данных для кластеров AKS. | AuditIfNotExists, отключено | 1.0.0 (предварительная версия) |
| [Предварительная версия]: Служба Azure Kubernetes управляемые кластеры должны быть избыточными по зонам. | Служба Azure Kubernetes управляемые кластеры можно настроить как избыточные зоны или нет. Политика проверяет пулы узлов в кластере и гарантирует, что для всех пулов узлов заданы зоны avaialbilty. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| [предварительная версия]: развертывание целостности изображений на Служба Azure Kubernetes | Развертывание кластеров Azure Kubernetes с целостностью образов и политиками. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-integrity. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 (предварительная версия) |
| [Предварительная версия]: установите расширение Azure Backup в кластерах AKS (управляемый кластер) с заданным тегом. | Установка расширения Azure Backup является необходимым условием для защиты кластеров AKS. Принудительное применение установки расширения резервного копирования во всех кластерах AKS, содержащих заданный тег. Это позволяет управлять резервным копированием кластеров AKS в большом масштабе. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Установите расширение Azure Backup в кластерах AKS (управляемый кластер) без заданного тега. | Установка расширения Azure Backup является необходимым условием для защиты кластеров AKS. Принудительное применение установки расширения резервного копирования во всех кластерах AKS без определенного значения тега. Это позволяет управлять резервным копированием кластеров AKS в большом масштабе. | AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) | 1.0.0 (предварительная версия) |
| [Предварительная версия]: контейнеры кластера Kubernetes должны использовать только разрешенные интерфейсы sysctl | Контейнеры должны использовать только разрешенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| [предварительная версия]: кластер Kubernetes должен реализовать точные бюджеты нарушений pod | Предотвращает неисправные бюджеты сбоев pod, обеспечивая минимальное количество операционных модулей pod. Дополнительные сведения см. в официальной документации Kubernetes. Использует репликацию данных Gatekeeper и синхронизирует все ресурсы Deployment, StatefulSet и PodDisruptionBudget, ограниченные в OPA. Перед применением этой политики убедитесь, что синхронизированные ресурсы не напрягают емкость памяти. Все ресурсы этих типов в пространствах имен синхронизируются. Примечание. В настоящее время в предварительной версии службы Kubernetes (AKS). | Аудит, отказ в доступе, отключено | 1.3.1-preview |
| [предварительная версия]: кластеры Kubernetes должны ограничить создание заданного типа ресурса | Не следует развертывать заданный тип ресурса Kubernetes в определенном пространстве имен. | Аудит, отказ в доступе, отключено | 2.3.0-preview |
| [предварительная версия]: запрещает запуск контейнеров в качестве корневого элемента путем установки параметра runAsNotRoot значение true. | При задании runAsNotRoot значение true повышает безопасность, предотвращая запуск контейнеров в качестве корневого каталога. | Модификация, Отключено | 1.1.0 (предварительная версия) |
| [предварительная версия]: запрещает запуск контейнеров init в качестве корневого элемента путем установки параметра runAsNotRoot значение true. | При задании runAsNotRoot значение true повышает безопасность, предотвращая запуск контейнеров в качестве корневого каталога. | Модификация, Отключено | 1.1.0 (предварительная версия) |
| [Предварительная версия]: задает для контейнеров кластера Kubernetes securityContext.runAsUser значение 1000, идентификатор пользователя, отличного от корневого каталога. | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0 (предварительная версия) |
| [Предварительная версия]: задает тип профиля безопасного вычислительного режима контейнеров кластера Kubernetes в значение RuntimeDefault, если он отсутствует. | Установка типа профиля безопасного вычислительного режима для контейнеров, чтобы предотвратить несанкционированные и потенциально опасные вызовы системы к ядру из пользовательского пространства. | Модификация, Отключено | 1.2.0 (предварительная версия) |
| [Предварительная версия]: задает для контейнеров kubernetes init контейнеры securityContext.runAsUser значение 1000, а не корневой идентификатор пользователя | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0 (предварительная версия) |
| [Предварительная версия]: задает тип профиля безопасного вычислительного режима кластера Kubernetes в режиме безопасных вычислений в значение RuntimeDefault, если он отсутствует. | Задание типа профиля безопасного вычислительного режима для контейнеров init, чтобы предотвратить несанкционированные и потенциально опасные вызовы системы в ядро из пользовательского пространства. | Модификация, Отключено | 1.2.0 (предварительная версия) |
| [Предварительная версия]: задает поля Pod pod кластера Kubernetes securityContext.runAsUser значение 1000, идентификатор пользователя, отличного от корневого пользователя. | Уменьшает область атак, представленную путем эскалации привилегий в качестве корневого пользователя в присутствии уязвимостей безопасности. | Модификация, Отключено | 1.1.0 (предварительная версия) |
| [предварительная версия]. Задает повышение привилегий в спецификации Pod в контейнерах init значение false. | Настройка эскалации привилегий на значение false в контейнерах init повышает безопасность, предотвращая эскалацию привилегий контейнеров, например с помощью режима файла set-user-ID или set-group-ID. | Модификация, Отключено | 1.2.0 (предварительная версия) |
| [предварительная версия]: задает для спецификации Pod значение false. | Настройка эскалации привилегий на значение false повышает безопасность, запрещая контейнерам разрешать эскалацию привилегий, например с помощью режима файла set-user-ID или set-group-ID. | Модификация, Отключено | 1.2.0 (предварительная версия) |
| [предварительная версия]: задает неработоспособныйPodEvictionPolicy значение AlwaysAllow | Задает для неработоспособного бюджета PodEvictionPolicy значение AlwaysAllow, чтобы разрешить вытеснение даже неработоспособных модулей pod при выполнении администрирования кластера | Модификация, Отключено | 1.1.0 (предварительная версия) |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, отключено | 2.0.1 |
| Кластеры Azure Kubernetes должны отключить SSH | Отключение SSH позволяет защитить кластер и уменьшить область атаки. Дополнительные сведения см. в статье aka.ms/aks/disablessh | Аудит, отключено | 1.0.0 |
| Кластеры Azure Kubernetes должны включать интерфейс хранилища контейнеров (CSI) | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления произвольных блоков и файловых систем хранилища контейнерным рабочим нагрузкам в Служба Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Аудит, отключено | 1.0.0 |
| Кластеры Azure Kubernetes должны включать служба управления ключами (KMS) | Используйте служба управления ключами (KMS) для шифрования неактивных данных секретов в etcd для безопасности кластера Kubernetes. См. дополнительные сведения: https://aka.ms/aks/kmsetcdencryption. | Аудит, отключено | 1.1.0 |
| Кластеры Azure Kubernetes должны использовать Azure CNI | Azure CNI является необходимым компонентом для некоторых функций Службы Azure Kubernetes, включая политики сети Azure, пулы узлов Windows и надстройку виртуальных узлов. См. дополнительные сведения: https://aka.ms/aks-azure-cni. | Аудит, отключено | 1.0.1 |
| Кластеры служб Azure Kubernetes должны быть членом диспетчера флотов Azure Kubernetes. | Определите и сообщите о любых кластерах AKS, которые не являются членами диспетчера флота Azure Kubernetes. Дополнительные сведения см. в https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, отключено | 1.0.0 |
| Кластеры службы Azure Kubernetes должны отключить вызов команды | Отключение вызова команды может повысить безопасность путем избегания обхода ограниченного сетевого доступа или управления доступом на основе ролей Kubernetes | Аудит, отключено | 1.0.1 |
| Кластеры Служба Azure Kubernetes должны включить автоматическое обновление кластера | Автоматическое обновление кластера AKS может обеспечить актуальность кластеров и не пропускать последние функции или исправления из AKS и вышестоящего Kubernetes. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Аудит, отключено | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить очистку образов | Image Clean выполняет автоматически уязвимые, неиспользуемые идентификации и удаления изображений, что снижает риск устаревших изображений и сокращает время, необходимое для их очистки. См. дополнительные сведения: https://aka.ms/aks/image-cleaner. | Аудит, отключено | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить интеграцию идентификатора Microsoft Entra | Интеграция идентификатора Microsoft Entra, управляемого AKS, может управлять доступом к кластерам, настроив управление доступом на основе ролей Kubernetes (Kubernetes RBAC) на основе удостоверения пользователя или членства в группах каталогов. См. дополнительные сведения: https://aka.ms/aks-managed-aad. | Аудит, отключено | 1.0.2 |
| Кластеры Служба Azure Kubernetes должны включить автоматическое обновление ос узла | Обновления системы автоматического обновления узла AKS управляют обновлениями безопасности ОС на уровне узла. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Аудит, отключено | 1.0.0 |
| Кластеры Служба Azure Kubernetes должны включить удостоверение рабочей нагрузки | Удостоверение рабочей нагрузки позволяет назначить уникальное удостоверение каждому pod Kubernetes и связать его с защищенными ресурсами Azure AD, такими как Azure Key Vault, что обеспечивает безопасный доступ к этим ресурсам из pod. См. дополнительные сведения: https://aka.ms/aks/wi. | Аудит, отключено | 1.0.0 |
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Аудит, отключено | 2.0.1 |
| Для кластеров Службы Azure Kubernetes должны быть отключены локальные способы проверки подлинности | Отключение локальных способов проверки подлинности повышает уровень безопасности. В этом случае для проверки подлинности кластеры Службы Azure Kubernetes будут требовать исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://aka.ms/aks-disable-local-accounts. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кластеры Службы Azure Kubernetes должны использовать управляемые удостоверения | Используйте управляемые удостоверения для создания оболочки для субъектов-служб, более удобного управления кластерами и уменьшения сложности, связанной с управляемыми субъектами-службами. См. дополнительные сведения: https://aka.ms/aks-update-managed-identities. | Аудит, отключено | 1.0.1 |
| Частные кластеры Службы Azure Kubernetes должны быть включены | Включение функции частных кластеров для кластера Службы Azure Kubernetes для гарантии того, что сетевой трафик между сервером API и пулами узлов останется внутри частной сети. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Аудит, отключено | 1.0.2 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | AuditIfNotExists, отключено | 1.0.1 |
| Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Не удается изменить отдельные узлы | Не удается изменить отдельные узлы. Пользователи не должны изменять отдельные узлы. Измените пулы узлов. Изменение отдельных узлов может привести к несогласованным параметрам, операционным проблемам и потенциальным рискам безопасности. | Аудит, отказ в доступе, отключено | 1.3.1 |
| Настройка кластеров AKS для автоматического присоединения к указанному диспетчеру флотов Azure Kubernetes | Определите и убедитесь, что кластеры AKS присоединяются к заданному диспетчеру флота Azure Kubernetes. При необходимости выберите тег для поиска, чтобы указать, к какой группе обновления парка вы хотите присоединиться. Дополнительные сведения см. в https://aka.ms/kubernetes-fleet/policy | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка кластеров Службы Azure Kubernetes для активации профиля Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.Defender в кластере Служба Azure Kubernetes агент развертывается в кластере для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | РазвернутьЕслиНеСуществует, Отключено | 4.3.0 |
| Настройка установки расширения Flux в кластере Kubernetes | Установите расширение Flux в кластере Kubernetes, чтобы включить развертывание "fluxconfigurations" в кластере | РазвернутьЕслиНеСуществует, Отключено | 1.0.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью источника контейнера и секретов в KeyVault | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуется секретный ключ контейнера, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и сертификата ЦС HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется сертификат ЦС HTTPS. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов HTTPS | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет ключа HTTPS, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью репозитория Git и секретов SSH | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения требуется секрет закрытого ключа SSH, хранящийся в Key Vault. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с конфигурацией Flux v2 с помощью общедоступного репозитория Git | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного репозитория Git. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с указанным источником контейнеров Flux v2 с использованием локальных секретов | Развертывание конфигурации fluxConfiguration в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного контейнера. Для этого определения требуются локальные секреты аутентификации, хранящиеся в кластере Kubernetes. Инструкции можно найти по адресу https://aka.ms/GitOpsFlux2Policy. | РазвернутьЕслиНеСуществует, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов HTTPS | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуются секреты ключа и пользователя HTTPS, хранимые в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps без использования секретов | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения не требуются секреты. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Настройка кластеров Kubernetes с помощью указанной конфигурации GitOps с использованием секретов SSH | Развертывание конфигурации "sourceControlConfiguration" в кластерах Kubernetes с целью обеспечения для них достоверного источника рабочих нагрузок и конфигураций из определенного git-репозитория. Для этого определения требуется секрет закрытого ключа SSH в Key Vault. Инструкции можно найти по адресу https://aka.ms/K8sGitOpsPolicy. | аудитуЕслиНеСуществует, АудитЕслиНеСуществует, развертываниюЕслиНеСуществует, РазвертываниеЕслиНеСуществует, отключено, Отключено | 1.1.0 |
| Настройка интегрированного Служба Azure Kubernetes кластеров Microsoft Entra ID с необходимым доступом к группе администрирования | Обеспечение безопасности кластера путем централизованного управления доступом администратора к интегрированным кластерам AKS с идентификатором Microsoft Entra ID. | РазвернутьЕслиНеСуществует, Отключено | 2.1.0 |
| Настройка автоматического обновления ОС узла в кластере Azure Kubernetes | Используйте автоматическое обновление ОС узла для управления обновлениями безопасности ос на уровне узла кластеров Служба Azure Kubernetes (AKS). Дополнительные сведения см. в статье https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Развертывание — настройка параметров диагностики для службы Azure Kubernetes в рабочей области Log Analytics | Развертывание для Службы Azure Kubernetes параметров диагностики, настроенных для потоковой передачи журналов ресурсов в рабочую область Log Analytics. | РазвернутьЕслиНеСуществует, Отключено | 3.0.0 |
| Развертывание надстройки службы "Политика Azure" в кластерах Службы Azure Kubernetes | Надстройка службы "Политика Azure" позволяет управлять состоянием соответствия кластеров Службы Azure Kubernetes (AKS) и получать уведомления о нем. Дополнительные сведения см. в разделе https://aka.ms/akspolicydoc. | РазвернутьЕслиНеСуществует, Отключено | 4.2.0 |
| Развертывание очистки образа в Служба Azure Kubernetes | Развертывание image Cleaner в кластерах Azure Kubernetes. Дополнительные сведения см. на следующей странице: https://aka.ms/aks/image-cleaner. | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Развертывание планового обслуживания для планирования и контроля обновлений для кластера Служба Azure Kubernetes (AKS) | Плановое обслуживание позволяет планировать еженедельные периоды обслуживания для выполнения обновлений и минимизации влияния на рабочую нагрузку. После планирования обновления выполняются только в выбранном окне. См. дополнительные сведения: https://aka.ms/aks/planned-maintenance. | Развернуть, если не существует, Проверить, если не существует, Отключено | 1.1.0 |
| Отключить вызов команды в кластерах службы Azure Kubernetes | Отключение вызова команды может повысить безопасность путем отклонения доступа invoke-command к кластеру | РазвернутьЕслиНеСуществует, Отключено | 1.2.0 |
| Убедитесь, что в контейнерах кластера настроены пробы проверки готовности или активности | Эта политика обеспечивает настройку всех проб готовности и (или) активности для всех модулей pod. Пробы могут иметь тип tcpSocket, httpGet или exec. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Инструкции по использованию этой политики см. на странице https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 3.3.0 |
| Образы контейнеров кластера Kubernetes должны включать престопный перехватчик | Требуется, чтобы образы контейнеров включали престоп-перехватчик для корректного завершения процессов во время завершения работы pod. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Образы контейнеров кластера Kubernetes не должны содержать последний тег образа | Требуется, чтобы образы контейнеров не использовали последний тег в Kubernetes, рекомендуется обеспечить воспроизводимость, предотвратить непредвиденные обновления и упростить отладку и откаты с помощью явных и версий образов контейнеров. | Аудит, отказ в доступе, отключено | 2.0.1 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.3.0 |
| Необходимо определить запросы ресурсов ЦП и ресурсов ресурсов кластера Kubernetes | Принудительное применение запросов ресурсов ЦП и памяти контейнера, чтобы убедиться, что запланированный узел имеет необходимые ресурсы. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | Блокировка доступа к пространству имен идентификатора процесса узла, пространству имен IPC узла и пространству имен сети узла в кластере Kubernetes. Эта рекомендация соответствует стандартам безопасности Pod Kubernetes для пространств имен узлов и входит в состав CIS 5.2.1, 5.2.2 и 5.2.3, предназначенных для повышения безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 6.0.0 |
| Контейнеры в кластере Kubernetes не должны использовать запрещенные интерфейсы sysctl | Контейнеры не должны использовать запрещенные интерфейсы sysctl в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Контейнеры кластера Kubernetes должны извлекать образы только при наличии секретов извлечения образа | Ограничение извлечения образов контейнеров для принудительного применения функции ImagePullSecrets, обеспечение безопасного и авторизованного доступа к образам в кластере Kubernetes | Аудит, отказ в доступе, отключено | 1.3.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.3.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенный тип ProcMountType | Контейнеры объектов pod могут использовать только разрешенные типы ProcMountType в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенную политику получения | Ограничить политику получения контейнеров, чтобы контейнеры использовали только разрешенные образы в развертываниях | Аудит, отказ в доступе, отключено | 3.2.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили seccomp | Контейнеры объектов pod могут использовать только разрешенные профили seccomp в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.3.0 |
| Тома FlexVolume объектов pod в кластере Kubernetes должны использовать только разрешенные драйверы | Тома FlexVolume объектов pod должны использовать только разрешенные драйверы в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.3.0 |
| Модули pod и контейнеры кластера Kubernetes должны соответствовать стандартам безопасности SELinux | Эта политика применяет стандарты безопасности Pod Kubernetes для параметров SELinux. В режиме PSS поля "пользователь" и "роль" должны быть пустыми, а поле "тип" должно быть одним из допустимых значений. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 8.0.0 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.2.0 |
| Объекты pod в кластере Kubernetes должны использовать только разрешенные типы томов | Объекты pod могут использовать только разрешенные типы томов в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Модули pod кластера Kubernetes должны использовать только утвержденный список узлов и списка портов. | Ограничение доступа pod к сети узла и допустимым портам узла в кластере Kubernetes. Эта рекомендация является частью CIS 5.2.4, которая предназначена для повышения безопасности сред Kubernetes и соответствует стандартам безопасности Pod (PSS) для hostPorts. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 7.0.0 |
| Объекты pod кластера Kubernetes должны использовать указанные метки | Использование заданных меток для идентификации объектов pod в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.2.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Службы кластеров Kubernetes должны использовать только разрешенные внешние IP-адреса | Использование разрешенных внешних IP-адресов для предотвращения потенциальной атаки (CVE-2020-8554) в кластере Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Службы кластеров Kubernetes должны использовать уникальные селекторы | Убедитесь, что службы в пространстве имен имеют уникальные селекторы. Уникальный селектор службы гарантирует, что каждая служба в пространстве имен однозначно идентифицируется на основе определенных критериев. Эта политика синхронизирует ресурсы службы с OPA через Gatekeeper. Перед применением убедитесь, что емкость памяти pod Gatekeeper не будет превышена. Параметры применяются к определенным пространствам имен, но синхронизирует все ресурсы этого типа во всех пространствах имен. В настоящее время в предварительной версии службы Kubernetes (AKS). | Аудит, отказ в доступе, отключено | 1.2.2 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.2.0 |
| Кластер Kubernetes не должен использовать незащищенные объекты Pod | Блокировка использования незащищенных объектов Pod. После отказа узла незащищенные объекты Pod не будут запланированы заново. Объектами Pod должны управлять Deployment, Replicset, Daemonset или Jobs | Аудит, отказ в доступе, отключено | 2.3.1 |
| Контейнеры Windows в кластере Kubernetes не должны допускать избыточного выделения ЦП и памяти | Запросы ресурсов контейнера Windows не должны превышать установленное ограничение ресурсов или не должны быть заданы вообще во избежание повышенных обязательств. Если память Windows избыточно подготовлена, она будет обрабатывать страницы на диске, что может замедлить производительность вместо завершения работы контейнера по причине недостаточного объема памяти | Аудит, отказ в доступе, отключено | 2.2.0 |
| Контейнеры Windows кластера Kubernetes не должны запускаться как ContainerAdministrator | Запретить использование ContainerAdministrator в качестве пользователя для выполнения процессов контейнера для модулей pod или контейнеров Windows. Эта рекомендация предназначена для повышения безопасности узлов Windows. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Аудит, отказ в доступе, отключено | 1.2.0 |
| Контейнеры Windows в кластере Kubernetes должны запускаться только с утвержденными пользователями и группами пользователей домена | Управляйте пользователями, которых объекты Pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта рекомендация является частью политик безопасности объекта Pod на узлах Windows, которые предназначены для повышения уровня безопасности сред Kubernetes. | Аудит, отказ в доступе, отключено | 2.2.0 |
| Модули pod Windows кластера Kubernetes не должны запускать контейнеры HostProcess | Запретить prviledged доступ к узлу Windows. Эта рекомендация предназначена для повышения безопасности узлов Windows. Дополнительные сведения см. в статье https://kubernetes.io/docs/concepts/windows/intro/. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 4.2.0 |
| Кластеры Kubernetes должны убедиться, что роль администратора кластера используется только при необходимости. | Роль "cluster-admin" предоставляет широкие возможности по сравнению с средой и должна использоваться только там, где и когда это необходимо. | Аудит, отключено | 1.1.0 |
| Кластеры Kubernetes должны свести к минимуму использование подстановочных знаков в роли и роли кластера | Использование подстановочных знаков "*" может быть угрозой безопасности, так как предоставляет широкие разрешения, которые могут не потребоваться для определенной роли. Если у роли слишком много разрешений, возможно, злоумышленник или скомпрометированный пользователь может получить несанкционированный доступ к ресурсам в кластере. | Аудит, отключено | 1.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 8.0.0 |
| Кластеры Kubernetes должны запрещать использование разрешений на изменение конечных точек в ClusterRole/system:aggregate-to-edit | В ClusterRole/system:aggregate-to-edit должно быть запрещено использование разрешений на изменение конечных точек из-за уязвимости CVE-2021-25740 (подробное описание: https://github.com/kubernetes/kubernetes/issues/103675). Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отключено | 3.2.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.1.0 |
| Кластеры Kubernetes не должны использовать определенные возможности защиты | Запретите определенные возможности защиты в кластерах Kubernetes, чтобы предотвратить использование непредоставленных прав доступа к ресурсу Pod. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 5.2.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 4.2.0 |
| Кластеры Kubernetes должны указывать узел в правилах ресурсов входящего трафика | Убедитесь, что узел указан в правилах ресурсов входящего трафика, чтобы предотвратить непреднамеренный доступ внутренних служб к несанкционированному доступу. Эта политика оценивает ресурсы входящего трафика Kubernetes, чтобы убедиться, что каждое правило имеет указанное поле узла. | Аудит, отказ в доступе, отключено | 1.1.0 (предварительная версия) |
| Кластеры Kubernetes должны использовать драйвер Container Storage Interface (CSI) StorageClass | Интерфейс хранилища контейнеров (CSI) — это стандарт для предоставления систем хранения произвольных блоков и файлов для контейнерных рабочих нагрузок в Kubernetes. Класс StorageClass средства подготовки в дереве должен стать нерекомендуемым с выпуска версии AKS 1.21. Дополнительные сведения см. на следующей странице: https://aka.ms/aks-csi-driver | Аудит, отказ в доступе, отключено | 2.3.0 |
| Кластеры Kubernetes должны использовать внутренние подсистемы балансировки нагрузки | Использование внутренних подсистем балансировки нагрузки для ограничения доступа к Службе Kubernetes только приложениями, запущенными в той же виртуальной сети, что и кластер Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.2.0 |
| Ресурсы Kubernetes должны иметь обязательные примечания | Убедитесь, что необходимые заметки подключены к определенному типу ресурсов Kubernetes для повышения эффективности управления ресурсами Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Аудит, отказ в доступе, отключено | 3.2.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Аудит, отключено | 1.0.2 |
| Должен иметь правила сходства или ограничения распространения топологии | Эта политика гарантирует, что модули pod запланированы на разных узлах кластера. При применении правил защиты от сходства или ограничений распространения топологии pod доступность сохраняется даже в том случае, если один из узлов становится недоступным. Модули Pod будут продолжать работать на других узлах, повышая устойчивость. | Аудит, отказ в доступе, отключено | 1.2.2 |
| Изменение контейнера K8s для удаления всех возможностей | Мутирует securityContext.capabilities.drop, чтобы добавить значение "ALL". Это удаляет все возможности для контейнеров Linux k8s | Модификация, Отключено | 1.2.1 |
| Изменение контейнера Init K8s для удаления всех возможностей | Мутирует securityContext.capabilities.drop, чтобы добавить значение "ALL". Это удаляет все возможности для контейнеров инициализации linux k8s | Модификация, Отключено | 1.2.1 |
| Нет конкретных меток AKS | Запрещает клиентам применять определенные метки AKS. AKS использует префиксы меток, заданные для kubernetes.azure.com обозначения принадлежащих AKS компонентов. Клиент не должен использовать эти метки. |
Аудит, отказ в доступе, отключено | 1.2.1 |
| Выводит сообщение, если применяется мутация | Ищет примененные заметки о мутациях и выводит сообщение, если заметка существует. | Аудит, отключено | 1.2.1 |
| Зарезервированный пул системных фрагментов | Ограничивает только системный пул критическихaddonsOnly. AKS использует интрант CriticalAddonsOnly, чтобы сохранить модули pod клиента от системного пула. Это обеспечивает четкое разделение между компонентами AKS и клиентскими модулями pod, а также предотвращает вытеснение модулей pod клиентов, если они не допускают то, что критически важные элементыOnly не допускаются. | Аудит, отказ в доступе, отключено | 1.2.1 |
| Журналы ресурсов в Службе Azure Kubernetes должны быть включены | Журналы ресурсов Службы Azure Kubernetes позволяют восстановить порядок действий при расследовании инцидентов с безопасностью. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. | AuditIfNotExists, отключено | 1.0.0 |
| Ограничивает только системный пул критическихaddonsOnly. | Чтобы избежать вытеснения пользовательских приложений из пулов пользователей и поддержания разделения проблем между пулами пользователей и системными пулами, не следует применять и к пулам пользователей. | Модификация, Отключено | 1.3.1 |
| В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Аудит, отключено | 1.1.0 |
| Задает значение automountServiceAccountToken в спецификации Pod в контейнерах значение false. | Установка параметра automountServiceAccountToken на значение false повышает безопасность, избегая автоматического подключения маркеров учетной записи службы по умолчанию. | Модификация, Отключено | 1.2.1 |
| Задает контейнеры кластера Kubernetes для ЦП по умолчанию, если они отсутствуют. | Установка ограничений ЦП контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Модификация, Отключено | 1.3.1 |
| Задает для контейнеров кластера Kubernetes ограничения памяти по умолчанию в случае, если они отсутствуют. | Установка ограничений памяти контейнера для предотвращения атак нехватки ресурсов в кластере Kubernetes. | Модификация, Отключено | 1.3.1 |
| Задает для ресурсов Pod MaxUnavailable значение 1 для ресурсов PodDisruptionBudget | Установка максимального значения недоступного модуля pod равным 1 гарантирует доступность приложения или службы во время сбоя. | Модификация, Отключено | 1.3.1 |
| Задает значение readOnlyRootFileSystem в спецификации Pod в контейнерах init, если оно не задано. | Если задать значение readOnlyRootFileSystem, это повышает безопасность, предотвращая запись контейнеров в корневая файловая система. Это работает только для контейнеров Linux. | Модификация, Отключено | 1.3.1 |
| Задает значение readOnlyRootFileSystem в спецификации Pod значение true, если оно не задано. | Установка параметра readOnlyRootFileSystem на значение true повышает безопасность путем предотвращения записи контейнеров в корневая файловая система | Модификация, Отключено | 1.3.1 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.