Azure Policy規制コンプライアンス>は、さまざまなコンプライアンス標準に関連するコンプライアンス ドメインとセキュリティ制御に対して、Microsoftによって作成および管理されるイニシアチブ定義 (
Azure リソースを特定の標準に準拠させるために、セキュリティ コントロールの組み込み関数を個別に割り当てることができます。
各組み込みポリシー定義のタイトルは、Azure ポータルのポリシー定義にリンクされます。 Policy Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられます。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。 ただし、コントロールと 1 つ以上のポリシーの間には、一対一または完全な一致が存在しない場合がほとんどです。 そのため、Azure Policyの Compliant は、ポリシー自体のみを参照します。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 さらに、コンプライアンス標準には、現時点でAzure Policy定義で対処されていないコントロールが含まれています。 したがって、Azure Policyのコンプライアンスは、全体的なコンプライアンス状態の部分的なビューにすぎません。 これらのコンプライアンス標準のコントロールとAzure Policy規制コンプライアンス定義の間の関連付けは、時間の経過と同時に変化する可能性があります。
CIS マイクロソフト Azure 基盤ベンチマーク 1.1.0
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、Azure Policy規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 を参照してください。 このコンプライアンス標準の詳細については、「CIS Microsoft Azure Foundations Benchmark」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes Services 内でロールベースのアクセス制御 (RBAC) を有効にする | 1.1.0 |
CIS Microsoft Azure 基礎ベンチマーク 1.3.0
すべてのAzure サービスで使用可能なAzure Policy組み込みがこのコンプライアンス標準にどのように対応しているかを確認するには、Azure Policy規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 を参照してください。 このコンプライアンス標準の詳細については、「CIS Microsoft Azure Foundations Benchmark」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes Services 内でロールベースのアクセス制御 (RBAC) を有効にする | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
すべてのAzure サービスで使用可能なAzure Policy組み込みがこのコンプライアンス標準にどのように対応しているかを確認するには、CIS v1.4.0 の
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes Services 内でロールベースのアクセス制御 (RBAC) を有効にする | 1.1.0 |
CMMC レベル 3
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - CMMC レベル 3」を参照してください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するページをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | 1.1.0 | |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | 1.1.0 | |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 1.1.0 | |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | 1.1.0 | |
| 構成管理 | CM.2.062 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | 1.1.0 | |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
FedRAMP High
すべてのAzure サービスで使用可能な組み込みAzure Policyがこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - FedRAMP High」を参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - FedRAMP Moderateを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA(医療保険の相互運用性と説明責任に関する法律)HITRUST(健康情報技術に関する信頼フレームワーク)
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - HIPAA HITRUST」を参照してください。 このコンプライアンス標準の詳細については、「HIPAA HITRUST」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 特権管理 | 1149.01c2System.9 - 01.c | 組織は、承認されたユーザーが組織によって定義された裁量に従ってビジネス パートナーのアクセスを決定できるようにし、ユーザーによる情報共有やコラボレーションの決定を支援するための手動プロセスや自動メカニズムを導入することで、情報の共有を促進します。 | 1.1.0 | |
| 11 アクセス制御 | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 情報システムへの認可済みアクセス | 1.1.0 | |
| 12 監査ログと監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 文書化された業務手順 | 1.1.0 |
マイクロソフト クラウドの主権ベースライン機密ポリシー
すべてのAzure サービスで使用可能なAzure Policy組み込みが、このコンプライアンス標準にどのように対応しているかを確認するには、MCfS ソブリンティ ベースライン機密ポリシーのAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty Policy ポートフォリオ」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.3 - カスタマー マネージド キー | SO.3 | Azure製品は、可能な限り Customer-Managed キーを使用するように構成する必要があります。 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマーク では、Azureでクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が示されます。 このサービスをMicrosoftクラウド セキュリティ ベンチマークに完全にマップする方法については、Azure セキュリティ ベンチマーク マッピング ファイルを参照してください。
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - クラウド セキュリティ ベンチマークMicrosoftを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのセキュリティ | NS-2 | NS-2 ネットワーク制御によるクラウド サービスのセキュリティ保護 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| 特権アクセス | PA-7 | PA-7 十分な管理 (最小特権) の原則に従う | 1.1.0 | |
| データ保護 | DP-3 | DP-3 転送中の機密データを暗号化する | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| ログと脅威検出 | LT-1 | LT-1 脅威検出機能を有効にする | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 |
| ログと脅威検出 | LT-2 | LT-2 ID とアクセス管理の脅威検出を有効にする | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 |
| ログと脅威検出 | LT-3 | LT-3 セキュリティ調査のログ記録を有効にする | Azure Kubernetes Serviceのリソース ログを有効にする必要があります | 1.0.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.2.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 体制と脆弱性の管理 | PV-2 | PV-2 セキュリティで保護された構成を監査して適用する | Kubernetes クラスターでは既定の名前空間を使用しない | 4.2.0 |
| 体制と脆弱性の管理 | PV-6 | PV-6 脆弱性を迅速かつ自動的に修復する | 1.0.1 | |
| DevOps セキュリティ | DS-6 | DS-6 DevOps ライフサイクル全体にわたってワークロードのセキュリティを適用する | 1.0.1 |
NIST SP 800-171 R2
すべてのAzure サービスで使用可能なAzure Policy組み込みがこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-171 R2を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | Azure Kubernetes Service クラスター内のエージェント ノード プールのディスクとキャッシュをホストで暗号化する必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
NIST SP 800-53 Rev. 4
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-53 Rev. 4を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-53 Rev. 5を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO クラウド テーマ
Azure のすべてのサービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのようにマッピングされるかを確認するには、NL BIO Cloud Theme の「Azure Policy 規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes クラスターでは既定の名前空間を使用しない | 4.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最新の状態に保護されます。 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最新の状態に保護されます。 | Azure Kubernetes Service クラスター内のエージェント ノード プールのディスクとキャッシュをホストで暗号化する必要があります | 1.0.1 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャです。 パッチは制御された方法で実現されます。 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | 1.1.0 | |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | 1.1.0 | |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | 1.1.0 | |
| U.10.5 IT サービスとデータへのアクセス - 適格性 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | 1.1.0 | |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーには、少なくとも BIO に準拠した問題が詳述されています。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| U.11.2 暗号化サービス - 暗号化手段 | U.11.2 | PKIoverheid 証明書の場合は、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure Kubernetes Service クラスター内のエージェント ノード プールのディスクとキャッシュをホストで暗号化する必要があります | 1.0.1 |
| U.15.1 ログ記録と監視 - ログに記録されるイベント | U.15.1 | ポリシー規則の違反はCSP と CSC によって記録されます。 | Azure Kubernetes Serviceのリソース ログを有効にする必要があります | 1.0.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべてのAzure サービスで使用可能なAzure Policy組み込みが、このコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC の IT Frameworkを参照してください。 このコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| IT ガバナンス | 1 | IT ガバナンス-1 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| 情報とサイバーセキュリティ | 3.1.a | 情報資産の識別と分類-3.1 | 1.1.0 | |
| 情報とサイバーセキュリティ | 3.1.c | ロールベースのアクセス制御-3.1 | 1.1.0 | |
| 情報とサイバーセキュリティ | 3.1.g | 証跡-3.1 | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 |
| 情報とサイバーセキュリティ | 3.3 | 脆弱性の管理-3.3 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - RBI ITF Banks v2016を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| パッチまたは脆弱性と変更管理 | パッチまたは脆弱性と変更管理-7.7 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 | |
| 高度なリアルタイム脅威防御と管理 | 詳細なリアルタイム脅威保護と管理-13.2 | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 | |
| ユーザーアクセス制御/管理 | ユーザーアクセス制御/管理-8.1 | 1.1.0 |
RMIT マレーシア
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - RMIT マレーシアを参照してください。 このコンプライアンス標準の詳細については、RMIT マレーシアに関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| Cryptography | 10.19 | 暗号化 - 10.19 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| アクセス制御 | 10.54 | アクセス制御 - 10.54 | 1.1.0 | |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| アクセス制御 | 10.60 | アクセス制御 - 10.60 | 1.1.0 | |
| アクセス制御 | 10.61 | アクセス制御 - 10.61 | 1.1.0 | |
| アクセス制御 | 10.62 | アクセス制御 - 10.62 | 1.1.0 | |
| パッチとエンド オブ ライフ システム管理 | 10.65 | パッチとエンド オブ ライフ システム管理 - 10.65 | Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 1.0.2 |
| セキュリティ オペレーション センター (SOC) | 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| サイバーセキュリティのコントロール メジャー | 付録 5.5 | サイバーセキュリティのコントロール メジャー - 付録 5.5 | Kubernetes クラスター サービスでは、許可された外部 IP のみを使用する必要がある | 5.2.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
スペインの ENS
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、スペイン ENS のAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 保護対策 | mp.s.3 | サービスの保護 | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 運用フレームワーク | op.exp.2 | 操作 | 1.0.1 | |
| 運用フレームワーク | op.exp.3 | 操作 | 1.0.1 | |
| 運用フレームワーク | op.exp.4 | 操作 | 1.0.1 | |
| 運用フレームワーク | op.exp.5 | 操作 | 1.0.1 | |
| 運用フレームワーク | op.exp.6 (オペレーショナル エクスペリエンス 6) | 操作 | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 |
| 運用フレームワーク | op.exp.6 (オペレーショナル エクスペリエンス 6) | 操作 | 1.0.1 | |
| 運用フレームワーク | op.exp.6 (オペレーショナル エクスペリエンス 6) | 操作 | Defender プロファイルを有効にするために、Azure Kubernetes Service クラスターを構成する | 4.3.0 |
| 運用フレームワーク | op.exp.7 | 操作 | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 運用フレームワーク | op.exp.8 | 操作 | Azure Kubernetes Serviceのリソース ログを有効にする必要があります | 1.0.0 |
| 運用フレームワーク | op.mon.3 | システム監視 | 1.0.1 |
SWIFT CSP-CSCF v2021
すべてのAzure サービス向けに提供されているAzure Policy組み込みがこのコンプライアンス標準にどのように適合しているかを確認するには、SWIFT CSP-CSCF v2021 のAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| SWIFT 環境保護 | 1.4 | インターネット アクセスの制限 | Kubernetes Services では、許可する IP の範囲を定義する必要があります | 2.0.1 |
| 攻撃面および脆弱性を縮小および軽減する | 2.1 | 内部データフローセキュリティ | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | ソフトウェアの整合性 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | 侵入検出 | Azure Kubernetes Service クラスター内のオペレーティング システムとデータ ディスクをカスタマー マネージド キーで暗号化する必要があります | 1.0.1 |
システムおよび組織の管理基準 (System and Organization Controls, SOC) 2
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準にマップされるかを確認するには、「Azure Policy System and Organization Controls (SOC) 2 の規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 1.1.0 | |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | 9.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Kubernetes クラスターでは既定の名前空間を使用しない | 4.2.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | 2.0.1 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | 1.0.2 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | 9.3.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | 6.0.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | 6.2.1 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | 6.2.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある | 9.3.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | 6.3.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | 6.3.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | 6.2.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | 7.0.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | 8.2.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターで特権コンテナーを許可しない | 9.2.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 4.2.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | 8.0.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | 5.1.0 |
| 変更管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Kubernetes クラスターでは既定の名前空間を使用しない | 4.2.0 |
次のステップ
- 詳細については、Azure Policy 規制コンプライアンスに関するページを参照してください。
- Azure Policy GitHub リポジトリの組み込みを参照してください。