Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Regulatory Compliance in Azure Policy stellt Initiativdefinitionen (built-ins) bereit, die von Microsoft erstellt und verwaltet werden, für die Compliancedomänen und Sicherheitskontrollen im Zusammenhang mit verschiedenen Compliancestandards. Auf dieser Seite sind die Azure Kubernetes Service (AKS) Compliancedomänen und Sicherheitskontrollen aufgeführt.
Sie können die integrierten Elemente für ein Security Control einzeln zuweisen, um Ihre Azure Ressourcen mit dem jeweiligen Standard kompatibel zu machen.
Der Titel jeder integrierten Richtliniendefinition ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Policy Version, um die Quelle im Repository Azure Policy GitHub anzuzeigen.
Wichtig
Jedes Steuerelement ist einer oder mehreren Azure Policy Definitionen zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich Compliant in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Darüber hinaus enthält der Compliancestandard Steuerelemente, die derzeit nicht von Azure Policy Definitionen adressiert werden. Daher ist die Compliance in Azure Policy nur eine Teilansicht Ihres allgemeinen Compliancestatus. Die Zuordnungen zwischen Kontrollen und Azure-Policy-Definitionen zur Einhaltung gesetzlicher Vorschriften für diese Compliance-Standards können sich im Laufe der Zeit ändern.
CIS Microsoft Azure Grundlagen-Benchmark 1.1.0
Informationen darüber, wie die verfügbaren Azure Policy-Built-Ins für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Compliancestandard finden Sie unter CIS Microsoft Azure Foundation Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8,5 | Aktivieren der rollenbasierten Zugriffssteuerung (RBAC) in Azure Kubernetes Services | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Informationen dazu, wie die verfügbaren Azure Policy Built-In-Richtlinien für alle Azure-Dienste diesem Compliancestandard zugeordnet werden, finden Sie unter Azure Policy Regulatory Compliance - CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Compliancestandard finden Sie unter CIS Microsoft Azure Foundation Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8,5 | Aktivieren der rollenbasierten Zugriffssteuerung (RBAC) in Azure Kubernetes Services | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Um zu sehen, wie die verfügbaren Azure Policy-Built-ins für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Details zur Einhaltung gesetzlicher Vorschriften für CIS v1.4.0. Weitere Informationen zu diesem Compliancestandard finden Sie unter CIS Microsoft Azure Foundation Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8.7 | Aktivieren der rollenbasierten Zugriffssteuerung (RBAC) in Azure Kubernetes Services | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
CMMC Ebene 3
Informationen dazu, wie die verfügbaren Azure Policy-Built-ins für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Zugangskontrolle | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Zugangskontrolle | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Zugangskontrolle | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Zugangskontrolle | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Zugangskontrolle | AC.2.007 | Verwenden Sie das Prinzip der geringsten Rechte, u. a. für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Zugangskontrolle | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Konfigurationsverwaltung | CM.2.062 | Verwenden Sie das Prinzip der geringsten Funktionen, indem Sie Organisationssysteme so konfigurieren, dass ausschließlich zentrale Funktionen bereitgestellt werden. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
FedRAMP High
Weitere Informationen darüber, wie die verfügbaren Azure Policy-Built-Ins allen Azure-Diensten diesem Compliance-Standard zugeordnet werden, finden Sie unter Azure Policy Regulatory Compliance - FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
HIPAA (Health Insurance Portability and Accountability Act) HITRUST (Health Information Trust Alliance)
Informationen dazu, wie die verfügbaren eingebauten Azure-Richtlinien aller Azure-Dienste diesem Compliancestandard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - HIPAA HITRUST. Weitere Informationen zu diesem Compliancestandard finden Sie unter HIPAA HITRUST.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Berechtigungsverwaltung | 1149.01c2System.9 - 01.c | Die Organisation ermöglicht die gemeinsame Nutzung von Informationen, indem sie autorisierten Benutzern ermöglicht, den Zugriff eines Geschäftspartners zu bestimmen, wenn die Ermessensfreiheit, wie von der Organisation definiert, zulässig ist, und indem sie manuelle Prozesse oder automatisierte Mechanismen einsetzt, um Benutzer bei Entscheidungen über die gemeinsame Nutzung von Informationen/Zusammenarbeit zu unterstützen. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| 11 Zugangskontrolle | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumentierte Betriebsverfahren | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
Microsoft Cloud für Souveränität Vertrauliche Grundrichtlinien
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie unter Microsoft Cloud for Sovereignty Policy Portfolio.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure Produkte müssen so konfiguriert werden, dass Customer-Managed Schlüssel verwendet werden, wenn möglich. | Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | 1.0.1 |
Microsoft Cloudsicherheits-Benchmark
Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen auf Azure sichern können. Informationen dazu, wie dieser Dienst vollständig dem Microsoft Cloudsicherheits-Benchmark zugeordnet ist, finden Sie in den Azure Security Benchmark-Zuordnungsdateien.
Informationen dazu, wie die verfügbaren Azure Policy-Built-Ins für alle Azure-Dienste diesem Compliancestandard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance – Microsoft Cloud Security Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | NS-2 Sichere Clouddienste mit Netzwerksteuerelementen | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| Privilegierter Zugriff | PA-7 | Befolgen Sie das Prinzip der minimalen Verwaltung und geringsten Privilegien | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Datenschutz | DP-3 | DP-3 Verschlüsseln vertraulicher Daten während der Übertragung | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| Protokollierung und Bedrohungserkennung | LT-1 | LT-1 Aktivieren von Bedrohungserkennungsfunktionen | Azure Kubernetes Service-Cluster sollten das Defender-Profil aktiviert haben | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-2 | LT-2 Aktivieren der Bedrohungserkennung für Identitäts- und Zugriffsverwaltung | Azure Kubernetes Service-Cluster sollten das Defender-Profil aktiviert haben | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-3 | LT-3 Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen | Die Ressourcenprotokolle in Azure Kubernetes Service sollten aktiviert sein | 1.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | PV-6 Schnelles und automatisches Beheben von Sicherheitsrisiken | Ausgeführte Azure-Container-Images sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
| DevOps-Sicherheit | DS-6 | DS-6 Sicherstellen der Sicherheit der Arbeitslast während des gesamten DevOps-Lebenszyklus | Ausgeführte Azure-Container-Images sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
NIST SP 800-171 R2
Informationen darüber, wie die verfügbaren Azure Policy-Standardrichtlinien für alle Azure-Dienste diesem Compliancestandard zugeordnet werden, finden Sie unter Azure Policy Regulatory Compliance - NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Zugangskontrolle | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.10 | Richten Sie Kryptografieschlüssel für die in Organisationssystemen verwendete Kryptografie ein, und verwalten Sie sie. | Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.16 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Temp-Datenträger und Cache für Agentknotenpools in Azure Kubernetes Service Clustern sollten auf host verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.8 | Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
NIST SP 800-53 Rev. 4
Informationen dazu, wie die verfügbaren integrierten Azure-Policy-Definitionen für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO-Clouddesign
Informationen dazu, wie die verfügbaren Azure Policy-Built-ins für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Details zur regulatorischen Compliance für NL BIO Cloud Theme. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity – Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.6 Technisches Sicherheitsrisikomanagement – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.05.1 Datenschutz – Kryptografische Maßnahmen | U.05.1 | Der Datentransport wird mit Kryptografie gesichert, bei der die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| U.05.2 Datenschutz – Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind nach allen Regeln zu schützen. | Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | 1.0.1 |
| U.05.2 Datenschutz – Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind nach allen Regeln zu schützen. | Temp-Datenträger und Cache für Agentknotenpools in Azure Kubernetes Service Clustern sollten auf host verschlüsselt werden | 1.0.1 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden auf kontrollierte Weise realisiert. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| U.07.3 Datentrennung – Verwaltungsfeatures | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| U.09.3 Schutz vor Schadsoftware – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzende | U.10.2 | Unter der Verantwortung des CSP wird Administrierenden der Zugriff gewährt. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzende | U.10.3 | Nur Benutzende mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten – Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| U.11.1 Cryptoservices – Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| U.11.2 Cryptoservices – Kryptografische Maßnahmen | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO 11770. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom COSEC verwaltet werden. | Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | 1.0.1 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom COSEC verwaltet werden. | Temp-Datenträger und Cache für Agentknotenpools in Azure Kubernetes Service Clustern sollten auf host verschlüsselt werden | 1.0.1 |
| U.15.1 Protokollierung und Überwachung – Protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom COSEC aufgezeichnet. | Die Ressourcenprotokolle in Azure Kubernetes Service sollten aktiviert sein | 1.0.0 |
Reserve Bank of India – IT-Framework für NBFC
Informationen darüber, wie die verfügbaren integrierten Azure-Richtlinien für alle Azure-Dienste diesem Compliance-Standard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - Reserve Bank of India - IT Framework für NBFC. Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| IT-Governance | 1 | IT-Governance-1 | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| Informations- und Cybersicherheit | 3.1.a | Identifizierung und Klassifizierung von Informationsressourcen-3.1 | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Informations- und Cybersicherheit | 3.1.c | Rollenbasierte Zugriffskontrolle-3.1 | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Informations- und Cybersicherheit | 3.1.g | Trails-3.1 | Azure Kubernetes Service-Cluster sollten das Defender-Profil aktiviert haben | 2.0.1 |
| Informations- und Cybersicherheit | 3.3 | Verwaltung von Sicherheitsrisiken-3.3 | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
Reserve Bank of India – IT-Framework für Banken v2016
Informationen dazu, wie die verfügbaren Azure Policy-Built-ins für alle Azure-Dienste mit diesem Compliancestandard abgeglichen werden, finden Sie unter Azure Policy Regulatory Compliance - RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Patches/Sicherheitsrisiken und Change Management | Patches/Sicherheitsrisiken und Change Management-7.7 | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 | |
| Advanced Threat Defence und Verwaltung in Echtzeit | Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit-13.2 | Azure Kubernetes Service-Cluster sollten das Defender-Profil aktiviert haben | 2.0.1 | |
| Benutzer-Zugriffskontrolle / Verwaltung | Benutzerzugriffskontrolle / Verwaltung-8.1 | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
RMIT Malaysia
Informationen dazu, wie die verfügbaren Azure Policy-Built-ins für alle Azure-Dienste diesem Compliancestandard zugeordnet sind, finden Sie unter Azure Policy Regulatory Compliance - RMIT Malaysia. Weitere Informationen zu diesem Compliance- bzw. Konformitätsstandard finden Sie unter RMIT Malaysia.
Spanien ENS
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Vorschriften für die spanische ENS von Azure Policy. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CCN-STIC 884.
SWIFT CSP-CSCF v2021
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Azure-Richtliniendetails zur Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021. Weitere Informationen zu diesem Compliancestandard finden Sie unter SWIFT CSP CSCF v2021.
System- und Organisationskontrollen (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“. Weitere Informationen zu diesem Compliancestandard finden Sie unter System- und Organisationskontrollen (SOC) 2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| Logische und physische Zugriffssteuerung | CC6.3 | Rollenbasierter Zugriff und geringste Rechte | Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | 1.1.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzerinnen und Benutzer | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 9.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| Systemvorgänge | CC7.2 | Überwachen von Systemkomponenten auf ungewöhnliches Verhalten | Azure Kubernetes Service-Cluster sollten das Defender-Profil aktiviert haben | 2.0.1 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | 1.0.2 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
Nächste Schritte
- Lesen Sie die weiteren Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy.
- Sehen Sie sich die integrierten Inhalte im Azure Policy GitHub Repo an.