Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Статья Соответствие нормативным требованиям в Политике Azure содержит определения инициатив (встроенные определения), созданные и управляемые Майкрософт, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Службы Azure Kubernetes (AKS).
Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Внимание
Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Но зачастую между элементом управления и одной или несколькими политиками не бывает полного или буквального соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
Тесты производительности CIS для платформ Microsoft Azure 1.1.0
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8.5 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
Эталонные требования CIS для Microsoft Azure Foundations, версия 1.3.0
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8.5 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
Бенчмарк CIS Microsoft Azure Foundations версии 1.4.0
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для CIS версии 1.4.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| 8. Прочие вопросы по безопасности | 8,7 | Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
CMMC уровня 3
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Управление доступом | AC.2.007 | Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Управление доступом | AC.2.016 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Управление конфигурацией | CM.2.062 | Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| конфиденциальности | RM.2.143 | Устранение уязвимостей в соответствии с оценками рисков. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита системы и средств передачи данных | SC.3.183 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Целостность системы и данных | SI.1.210 | Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
FedRAMP — высокий уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте см. в статье FedRAMP High.
FedRAMP — средний уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь.
HIPAA (Закон о портативности и подотчетности медицинского страхования) HITRUST (Организация по обеспечению надежности и доверия в IT-надежности)
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Azure — HIPAA HITRUST. Дополнительные сведения об этом стандарте соответствия см. в разделе HIPAA HITRUST.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление правами | 1149.01c2System.9 — 01.c | Организация упрощает обмен информацией, позволяя полномочным пользователям определять права доступа бизнес-партнера, если такая свобода действия допускается организацией, и применять процессы, выполняемые вручную, или автоматические механизмы, помогающие пользователям в принятии решений по обмену информацией и совместной работе. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| 11 контроль доступа | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Авторизованный доступ к информационным системам | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| 12 Ведение журнала аудита и мониторинг | 1229.09c1Организационный.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Документированные операционные процедуры | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
Конфиденциальные политики microsoft Cloud для суверенитета
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в разделе Политика Azure сведения о соответствии нормативным требованиям для политик конфиденциальности базовых показателей суверенитета MCfS. Дополнительные сведения об этом стандарте соответствия см . в портфелях политик политики суверенитета Microsoft Cloud.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| SO.3 — ключи, управляемые клиентом | СО.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
Управление безопасностью в облаке Майкрософт
Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — microsoft cloud security benchmark.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Сетевая безопасность | NS-2 | NS-2 Безопасные облачные услуги с сетевыми контролями | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Привилегированный доступ | PA-7 | PA-7 Следуйте принципу минимального администрирования (принцип наименьшего уровня привилегий) | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Защита данных | DP-3 | DP-3 Шифрует конфиденциальные данные при передаче | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Ведение журналов и обнаружение угроз | LT-1 | LT-1 Включение возможностей обнаружения угроз | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-2 | LT-2 Включение обнаружения угроз для управления удостоверениями и доступом | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Ведение журналов и обнаружение угроз | LT-3 | LT-3 Включение логирования для расследования безопасности | Журналы ресурсов в Службе Azure Kubernetes должны быть включены | 1.0.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Управление состоянием защиты и уязвимостью | PV-2 | Аудит и применение безопасных конфигураций PV-2 | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| Управление состоянием защиты и уязвимостью | PV-6 | PV-6 Быстро и автоматически исправьте уязвимости | У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | 1.0.1 |
| Безопасность DevOps | DS-6 | DS-6 Обеспечение безопасности нагрузки на протяжении всего жизненного цикла DevOps | У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 3.1.3 | Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.16 | Защита конфиденциальности неактивной контролируемой несекретной информации | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.6 | Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита системы и средств передачи данных | 3.13.8 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Целостность системы и данных | 3.14.1 | Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление конфигурацией | 3.4.1 | Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление конфигурацией | 3.4.2 | Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
NIST SP 800-53, ред. 4
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. См. дополнительные сведения о стандарте NIST SP 800-53, ред. 4.
NIST SP 800-53, ред. 5
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.
Тема облака NL BIO
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| C.04.3 Technical управление уязвимостями — временная шкала | C.04.3 | Если вероятность злоупотреблений и ожидаемого ущерба высока, исправления устанавливаются не позднее чем через неделю. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| C.04.6 Technical управление уязвимостями — временная шкала | C.04.6 | Технические недостатки можно устранить, своевременно выполняя управление исправлениями. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| C.04.7 Technical управление уязвимостями — оценено | C.04.7 | Оценки технических уязвимостей записываются и сообщаются. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Защита данных U.05.1 — криптографические меры | U.05.1 | Транспорт данных защищается с помощью криптографии, где управление ключами выполняется самим CSC, если это возможно. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены до последнего состояния искусства. | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Разделение данных U.07.1 — изолированный | U.07.1 | Постоянная изоляция данных — это архитектура с несколькими клиентами. Исправления реализуются в управляемом режиме. | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Разделение данных U.07.3 — функции управления | U.07.3 | U.07.3 . Привилегии для просмотра или изменения данных CSC и /или ключей шифрования предоставляются в управляемом порядке и использовании регистрируются. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Защита от вредоносных программ U.09.3 — обнаружение, предотвращение и восстановление | U.09.3 | Защита от вредоносных программ выполняется в разных средах. | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Доступ u.10.2 к ИТ-службам и данным — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Доступ u.10.3 к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Доступ u.10.5 к ИТ-службам и данным — компетентный | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования, по крайней мере, субъекты в соответствии с BIO были разработаны. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | Если сертификаты PKIoverheid используют требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | 1.0.1 |
| Ведение журнала и мониторинг u.15.1 — события регистрируются | U.15.1 | Нарушение правил политики записывается поставщиком служб CSP и CSC. | Журналы ресурсов в Службе Azure Kubernetes должны быть включены | 1.0.0 |
Резервный банк Индии — ИТ-структура для NBFC
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Управление ИТ | 1 | Система управления ИТ-1 | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
| Информация и кибербезопасность | 3.1.a | Идентификация и классификация информационных ресурсов-3.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Информация и кибербезопасность | 3.1.c | Управление доступом на основе ролей-3.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Информация и кибербезопасность | 3.1.g | Отслеживание-3.1 | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Информация и кибербезопасность | 3,3 | Управление уязвимостями-3.3 | Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | 1.0.2 |
Резервная банк Индии ИТ-платформа для банков версии 2016
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure соответствие нормативным требованиям — RBI ITF Banks версии 2016. Дополнительные сведения об этом стандарте соответствия см. в статье RBI ITF Banks версии 2016 (PDF).
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 | |
| Расширенное управление обороной в режиме реального времени | Advanced Real-Timethreat Defenseand Management-13.2 | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 | |
| Пользователь контроль доступа / управление | Пользователь контроль доступа / Management-8.1 | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
RMIT Малайзия
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в документе RMIT Malaysia.
ENS (Испания)
Чтобы узнать, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. Политика Azure сведения о соответствии нормативным требованиям для Испании ENS. Дополнительные сведения об этом стандарте соответствия см. в статье CCN-STIC 884.
SWIFT CSP-CSCF версии 2021
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в статье SWIFT CSP CSCF версии 2021.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Защита среды SWIFT | 1,1 | Защита среды SWIFT | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Защита среды SWIFT | 1.4 | Ограничение доступа к Интернету | В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | 2.0.1 |
| Сокращение направлений атак и уязвимостей | 2.1 | Безопасность Потока внутренних данных | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Обнаружение аномальных действий в системах или записях транзакций | 6,2 | Целостность программного обеспечения | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
| Обнаружение аномальных действий в системах или записях транзакций | 6.5A | Обнаружение вторжений | Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | 1.0.1 |
Системные и организационные элементы управления (SOC) 2
Сведения о том, как доступные встроенные Политика Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в Политика Azure сведения о соответствии нормативным требованиям для системных и организационных элементов управления (SOC) 2. Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2.
| Домен | Идентификатор элемента управления | Заголовок элемента управления | Политика (портал Azure) |
Версия политики (GitHub) |
|---|---|---|---|---|
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.3 | Доступ на основе Rol и минимальные привилегии | В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | 1.1.0 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | 8.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
| Системные операции | CC7.2 | Мониторинг системных компонентов для аномального поведения | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | 2.0.1 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | 1.0.2 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | 9.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов | 6.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | 6.2.1 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | 9.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | 6.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | 6.3.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | 6.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. | 7.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Службы кластера Kubernetes должны прослушивать только разрешенные порты | 8.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластер Kubernetes не должен разрешать привилегированные контейнеры | 9.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes должны отключить учетные данные API автоподключения | 4.2.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | 8.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | 5.1.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Кластеры Kubernetes не должны использовать пространство имен по умолчанию | 4.2.0 |
Следующие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.