Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Arc-fähige Kubernetes. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Azure Arc-fähige Kubernetes
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Arc aktivierten Kubernetes-Cluster sollten Microsoft Defender for Cloud Erweiterung installiert sein | Microsoft Defender for Cloud Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-aktivierten Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an den Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Deaktiviert | 6.0.0-preview |
| [Vorschau]: Azure Backup Erweiterung sollte in AKS-Clustern installiert werden | Stellen Sie sicher, dass die Installation der Sicherungserweiterung in Ihren AKS-Clustern geschützt ist, um Azure Backup zu nutzen. Azure Backup für AKS ist eine sichere und cloudeigene Datenschutzlösung für AKS-Cluster | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Konfigurieren von Azure Arc aktivierten Kubernetes-Clustern zum Installieren Microsoft Defender for Cloud Erweiterung | Microsoft Defender for Cloud Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-aktivierten Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an den Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, deaktiviert | 7.3.0-preview |
| [Vorschau]: Installieren Azure Backup Erweiterung in AKS-Clustern (verwalteter Cluster) mit einem bestimmten Tag. | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern, die ein bestimmtes Tag enthalten. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Installieren Azure Backup Erweiterung in AKS-Clustern (verwalteter Cluster) ohne ein bestimmtes Tag. | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern ohne einen bestimmten Tagwert. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Kubernetes-Clustercontainer sollten nur zulässige Sysctl-Schnittstellen verwenden | Container sollten nur zulässige Sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. | Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. | Überprüfen, Verweigern, Deaktiviert | 2.3.0-preview |
| Azure Arc aktivierte Kubernetes-Cluster sollten die Azure Policy Erweiterung installiert haben | Die Azure Policy Erweiterung für Azure Arc bietet umfangreiche Erzwingungen und Garantien für Ihre Arc-aktivierten Kubernetes-Cluster auf eine zentralisierte und konsistente Weise. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Azure Arc-fähige Kubernetes-Cluster sollten mit einem Azure Arc Private Link Scope konfiguriert werden | mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung Azure Arc-fähigen Servers zu einem Azure Arc Private Link Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Arc fähige Kubernetes-Cluster sollten die Open Service Mesh-Erweiterung installiert haben | Die Open Service Mesh-Erweiterung bietet alle standardmäßigen Service Mesh-Funktionen für Sicherheit, Datenverkehrsverwaltung und Einblick in Anwendungsdienste. Weitere Informationen finden Sie hier: https://aka.ms/arc-osm-doc | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Azure Arc-fähigen Kubernetes-Cluster sollten die Strimzi Kafka-Erweiterung installiert haben | Die Strimzi Kafka-Erweiterung bietet den Operatoren die Möglichkeit, Kafka zum Erstellen von Echtzeitdatenpipelines und Streaminganwendungen mit Sicherheits- und Einblickfunktionen zu installieren. Weitere Informationen finden Sie hier: https://aka.ms/arc-strimzikafka-doc. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Configure Azure Arc Kubernetes-Cluster aktiviert, um die Azure Policy Erweiterung zu installieren | Stellen Sie Azure Policy Erweiterung für Azure Arc bereit, um umfangreiche Erzwingungen bereitzustellen und Ihre Arc-aktivierten Kubernetes-Cluster auf eine zentralisierte und konsistente Weise zu schützen. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Azure Arc-fähigen Kubernetes-Cluster für die Verwendung eines Azure Arc Private Link Scope | mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung Azure Arc-fähigen Servers zu einem Azure Arc Private Link Bereich, der mit einem privaten Endpunkt konfiguriert ist, werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/arc/privatelink. | Bearbeiten, Deaktivieren | 1.0.0 |
| Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster | Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert einen in Key Vault gespeicherten HTTPS-Schlüsselschlüssel. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein geheimer SSH-Schlüssel erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert HTTPS-Benutzer und Schlüsselschlüssel, die in Key Vault gespeichert sind. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert einen geheimen SSH-Schlüssel in Key Vault. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind | Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 3.3.0 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Kubernetes-Clustercontainer CPU- und Speicherressourcenanforderungen müssen definiert werden | Erzwingen Sie CPU- und Speicherressourcenanforderungen des Containers, um sicherzustellen, dass der geplante Knoten über erforderliche Ressourcen verfügt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | Blockieren sie die Freigabe des Hostprozess-ID-Namespace, des Host-IPC-Namespace und des Hostnetzwerknamespaces in einem Kubernetes-Cluster. Diese Empfehlung entspricht den Kubernetes Pod Security Standards für Hostnamespaces und ist Teil von CIS 5.2.1, 5.2.2 und 5.2.3, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 6.0.0 |
| Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden | Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. | Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden | Überprüfen, Verweigern, Deaktiviert | 3.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden | Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist allgemein für Kubernetes Service (AKS) und Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Kubernetes-Cluster-Pods und -Container sollten seLinux-Sicherheitsstandards entsprechen | Diese Richtlinie erzwingt Kubernetes Pod-Sicherheitsstandards für SELinux-Optionen. Im PSS-Modus müssen die Felder "Benutzer" und "Rolle" leer sein, und das Feld "Typ" muss einer der zulässigen Werte sein. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 8.0.0 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden | Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | Einschränken des Podzugriffs auf das Hostnetzwerk und die zulässigen Hostports in einem Kubernetes-Cluster. Diese Empfehlung ist Teil von CIS 5.2.4, das die Sicherheit Ihrer Kubernetes-Umgebungen verbessern und mit Pod Security Standards (PSS) für hostPorts übereinstimmt. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 7.0.0 |
| Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden | Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. | Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Kubernetes-Cluster sollten keine Naked Pods verwenden | Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. | Überprüfen, Verweigern, Deaktiviert | 2.3.1 |
| Kubernetes-Cluster Windows Container sollten cpu und Arbeitsspeicher nicht außer Kraft setzen | Windows Containerressourcenanforderungen sollten kleiner oder gleich dem Ressourcenlimit oder nicht angegeben sein, um außer Kraft zu setzen. Wenn Windows Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger , was die Leistung verlangsamen kann, anstatt den Container mit außerhalb des Arbeitsspeichers zu beenden. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 |
| Kubernetes-Cluster Windows Container sollten nicht als ContainerAdministrator ausgeführt werden | Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer, um die Containerprozesse für Windows Pods oder Container auszuführen. Diese Empfehlung soll die Sicherheit von Windows Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Kubernetes-Cluster Windows Container sollten nur mit genehmigter Benutzer- und Domänenbenutzergruppe ausgeführt werden | Steuern Sie den Benutzer, den Windows Pods und Container zum Ausführen in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Pod-Sicherheitsrichtlinien auf Windows Knoten, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 |
| Kubernetes-Cluster Windows Pods sollten keine HostProcess-Container ausführen | Verhindern Sie den privilegierten Zugriff auf den Windows-Knoten. Diese Empfehlung soll die Sicherheit von Windows Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit allgemein für Kubernetes Service (AKS) und in der Vorschau für Azure Arc aktivierte Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 9.0.0 |
| Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 8.0.0 |
| Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit | ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überwachung, deaktiviert | 3.2.0 |
| Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden | Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Überprüfen, Verweigern, Deaktiviert | 2.3.0 |
| Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben | Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 3.2.0 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Grundlegendes zu Azure Policy Definitionseffekten.