Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Regulatory Compliance in Azure Policy biedt initiatiefdefinities (built-ins) die zijn gemaakt en beheerd door Microsoft, voor de nalevingsdomeinen en beveiligingscontroles met betrekking tot verschillende nalevingsstandaarden. Op deze pagina worden de Azure Kubernetes Service (AKS) nalevingsdomeinen en beveiligingscontroles vermeld.
U kunt de ingebouwde instellingen voor een beveiligingsbeheer afzonderlijk toewijzen om ervoor te zorgen dat uw Azure resources voldoen aan de specifieke standaard.
De titel van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Policy Version om de bron weer te geven in de Azure Policy GitHub opslagplaats.
Belangrijk
Elk controle is gekoppeld aan een of meer definities van Azure Policy. Deze beleidsregels kunnen u helpen bij het beoordelen van de naleving van het besturingselement. Er is echter vaak geen een-op-een- of volledige overeenkomst tussen een besturingselement en een of meer beleidsregels. Als zodanig verwijst Compliant in Azure Policy alleen naar het beleid zelf. Dit zorgt er niet voor dat u volledig voldoet aan alle vereisten van een besturingselement. Daarnaast bevat de nalevingsstandaard besturingselementen die momenteel niet worden aangepakt door Azure Policy definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algehele nalevingsstatus. De koppelingen tussen controles en Azure Policy definities voor naleving van regelgeving voor deze nalevingsstandaarden kunnen na verloop van tijd veranderen.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Zie Azure Policy Naleving van regelgeving - CIS Microsoft Azure Foundations Benchmark 1.1.0 om te bekijken hoe de beschikbare ingebouwde mechanismen van Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie CIS Microsoft Azure Foundations Benchmark voor meer informatie over deze nalevingsstandaard.
| Domein | besturingselement-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.5 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen binnen Azure Kubernetes Services | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Zie Azure Policy Naleving van regelgeving - CIS Microsoft Azure Foundations Benchmark 1.3.0 om te bekijken hoe de beschikbare ingebouwde Azure Policies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie CIS Microsoft Azure Foundations Benchmark voor meer informatie over deze nalevingsstandaard.
| Domein | ID van controle | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.5 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen binnen Azure Kubernetes Services | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Zie Azure Policy Details over naleving van regelgeving voor CIS v1.4.0 om te zien hoe de beschikbare Azure Policy built-ins voor alle Azure-services aan deze nalevingsstandaard zijn gekoppeld. Zie CIS Microsoft Azure Foundations Benchmark voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| 8 Andere beveiligingsoverwegingen | 8.7 | Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen binnen Azure Kubernetes Services | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
CMMC-niveau 3
Zie Azure Policy Naleving van regelgeving - CMMC-niveau 3 om te bekijken hoe de beschikbare ingebouwde functies van Azure Policy voor alle Azure-services overeenkomen met deze nalevingsstandaard. Zie CMMC (Cybersecurity Maturity Model Certification) voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | AC.1.001 | Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Toegangscontrole | AC.1.001 | Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die handelen namens geautoriseerde gebruikers en apparaten (inclusief andere informatiesystemen). | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | AC.1.002 | Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Toegangscontrole | AC.1.002 | Beperk de toegang tot het informatiesysteem tot de typen transacties en functies die geautoriseerde gebruikers mogen uitvoeren. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | AC.2.007 | Gebruik het principe van minimale bevoegdheden, inclusief voor specifieke beveiligingsfuncties en bevoegde accounts. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | AC.2.016 | De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Configuratiebeheer | CM.2.062 | Gebruik het principe van de minste functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Configuratiebeheer | CM.3.068 | Het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Risicobeoordeling | RM.2.143 | Kwetsbaarheden oplossen in overeenstemming met risicobeoordelingen. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en communicatiebeveiliging | SC.1.175 | Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Systeem- en communicatiebeveiliging | SC.3.177 | Gebruik FIPS-gevalideerde cryptografie wanneer deze wordt gebruikt om de vertrouwelijkheid van CUI te beschermen. | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC.3.183 | Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Systeem- en gegevensintegriteit | SI.1.210 | Identificeer, rapporteer en corrigeer informatie en informatiesysteemfouten tijdig. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
FedRAMP High
Zie Azure Policy Regulatory Compliance - FedRAMP High voor meer informatie over hoe de beschikbare Azure Policy-inbeddingselementen voor alle Azure-services overeenkomen met deze nalevingsstandaard. Zie FedRAMP High voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van gegevens in rust | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutoplossing | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
FedRAMP Moderate
Zie Azure Policy Regulatory Compliance - FedRAMP Moderate voor een overzicht van hoe de beschikbare Azure Policy ingebouwde functies voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie FedRAMP Moderate voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van gegevens in rust | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutoplossing | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
HIPAA HITRUST
Zie Azure Policy Naleving van regelgeving - HIPAA HITRUST om te controleren hoe de beschikbare ingebouwde Azure Policy-regels voor alle Azure-services aan deze nalevingsstandaard zijn toegewezen. Zie HIPAA HITRUST voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Machtigingsbeheer | 1149.01c2System.9 - 01.c | De organisatie faciliteert het delen van informatie door geautoriseerde gebruikers in staat te stellen de toegang van een zakenpartner te bepalen wanneer discretie is toegestaan, zoals gedefinieerd door de organisatie en door gebruik te maken van handmatige processen of geautomatiseerde mechanismen om gebruikers te helpen bij het nemen van beslissingen in verband met delen van of samenwerken aan gegevens. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| 11 Toegangsbeheersing | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Geautoriseerde toegang tot informatiesystemen | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| 12 Auditlogboekregistratie en -bewaking | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Gedocumenteerde operationele richtlijnen | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
Microsoft Cloud for Sovereignty Vertrouwelijk beleid basislijn
Als u wilt controleren hoe de beschikbare ingebouwde beleidsregels van Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Details van naleving van regelgeving voor Azure Policy met betrekking tot vertrouwelijke beleidsregels voor de MCfS-soevereiniteitsbasislijn. Zie Microsoft Cloud for Sovereignty Beleidsportfolio voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| SO.3 - Door de klant beheerde sleutels | SO.3 | Azure producten moeten zo zijn geconfigureerd dat Customer-Managed Sleutels worden gebruikt, indien mogelijk. | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
Microsoft cloudbeveiligingsbenchmark
De Microsoft cloudbeveiligingsbenchmark bevat aanbevelingen voor het beveiligen van uw cloudoplossingen op Azure. Zie de Azure Security Benchmark-toewijzingsbestanden om te zien hoe deze service volledig overeenkomt met de Microsoft cloudbeveiligingsbenchmark.
Zie Azure Policy Naleving van regelgeving - Microsoft cloudbeveiligingsbenchmark om te zien hoe de beschikbare Azure Policy ingebouwde elementen voor alle Azure-services aan deze nalevingsstandaard zijn toegewezen.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Netwerkbeveiliging | NS-2 | NS-2 Cloudservices beveiligen met netwerkbesturingselementen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Bevoegde toegang | PA-7 | PA-7 Volg voldoende beheerprincipe (minimale bevoegdheden) | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Gegevensbeveiliging | DP-3 | DP-3 Gevoelige gegevens versleutelen tijdens overdracht | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Logboekregistratie en bedreigingsdetectie | LT-1 | LT-1 Mogelijkheden voor detectie van bedreigingen inschakelen | Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | 2.0.1 |
| Logboekregistratie en bedreigingsdetectie | LT-2 | LT-2 Detectie van bedreigingen inschakelen voor identiteits- en toegangsbeheer | Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | 2.0.1 |
| Logboekregistratie en bedreigingsdetectie | LT-3 | LT-3 Logboekregistratie inschakelen voor beveiligingsonderzoek | Resourcelogboeken in de Azure Kubernetes Service moeten zijn ingeschakeld | 1.0.0 |
| Beheer van beveiligingspostuur en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Beheer van beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Beheer van veiligheidshouding en kwetsbaarheden | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Beheer van beveiligingspostuur en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Beheer van beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Beheer van veiligheidspositie en kwetsbaarheden | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Beheer van beveiligingspostuur en kwetsbaarheden | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Beheer van beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Beheer van beveiligingshouding en kwetsbaarheden | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Beheer van postuur en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Beheer van beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Beheer van veiligheidsstatus en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.2.0 |
| Beheer van beveiligingshouding en kwetsbaarhedenbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Beheer van beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Beveiligingshouding en kwetsbaarheidsbeheer | PV-2 | PV-2 Controleren en beveiligde configuraties afdwingen | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.2.0 |
| Beheer van houding en kwetsbaarheidsbeheer | PV-6 | PV-6 Snel en automatisch beveiligingsproblemen oplossen | Azure-systemen met draaiende containerimages moeten kwetsbaarheden opgelost hebben (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | 1.0.1 |
| DevOps-beveiliging | DS-6 | DS-6 Handhaaf de beveiliging van de workload gedurende de DevOps-levenscyclus | Azure-containerafbeeldingen moeten kwetsbaarheden opgelost hebben (aangedreven door Microsoft Defender Vulnerability Management) | 1.0.1 |
NIST SP 800-171 R2
Zie Azure Policy Regulatory Compliance - NIST SP 800-171 R2 voor meer informatie over hoe de beschikbare Azure Policy built-ins voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | 3.1.3 | De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.1 | Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.10 | Cryptografische sleutels instellen en beheren voor cryptografie die wordt gebruikt in organisatiesystemen. | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.16 | De vertrouwelijkheid van inactieve CUI beschermen. | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.2 | Gebruik architectuurontwerpen, technieken voor softwareontwikkeling en principes voor systeemtechniek die effectieve informatiebeveiliging binnen organisatiesystemen bevorderen. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.5 | Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.6 | Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer toestaan op uitzondering (dat wil bijvoorbeeld alles weigeren, toestaan op uitzondering). | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | 3.13.8 | Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en gegevensintegriteit | 3.14.1 | Systeemfouten tijdig identificeren, rapporteren en corrigeren. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | 3.4.1 | Stel basislijnconfiguraties en inventarissen van organisatiesystemen (inclusief hardware, software, firmware en documentatie) vast gedurende de respectieve levenscyclus van de ontwikkeling van het systeem. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | 3.4.2 | Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
NIST SP 800-53 Rev. 4
Zie Azure Policy Regulatory Compliance - NIST SP 800-53 Rev. 4 om te bekijken hoe de beschikbare ingebouwde Azure Policy functies voor alle Azure-services overeenkomen met deze nalevingsstandaard. Zie NIST SP 800-53 Rev. 4 voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | AC-3 (7) | Op rollen gebaseerde Access Control | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van verzending | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische of alternatieve fysieke beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Bescherming van stilstaande gegevens | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en informatieintegriteit | SI-2 | Foutenherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en informatieintegriteit | SI-2 (6) | Eerdere versies van software/firmware verwijderen | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
NIST SP 800-53 Rev. 5
Zie Azure Policy Regulatory Compliance - NIST SP 800-53 Rev. 5 om te bekijken hoe de beschikbare Azure Policy ingebouwde componenten voor alle Azure-services overeenkomen met deze nalevingsstandaard. Zie NIST SP 800-53 Rev. 5 voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Toegangscontrole | AC-3 (7) | Op rollen gebaseerde Access Control | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | AC-4 | Afdwinging van gegevensstromen | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Configuratiebeheer | CM-6 | Configuratie-instellingen | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Systeem- en communicatiebeveiliging | SC-7 | Grensbescherming | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-7 (3) | Toegangspunten | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Systeem- en communicatiebeveiliging | SC-8 | Vertrouwelijkheid en integriteit van overdracht | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-8 (1) | Cryptografische beveiliging | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Systeem- en communicatiebeveiliging | SC-12 | Instelling en beheer van cryptografische sleutels | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 | Beveiliging van gegevens in rust | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en communicatiebeveiliging | SC-28 (1) | Cryptografische beveiliging | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Systeem- en gegevensintegriteit | SI-2 | Foutenherstel | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Systeem- en gegevensintegriteit | SI-2 (6) | Eerdere versies van software en firmware verwijderen | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
NL BIO Cloud Thema
Als u wilt bekijken hoe de beschikbare Azure Policy built-ins voor alle Azure services zijn toegewezen aan deze nalevingsstandaard, raadpleegt u Azure Policy Details over de naleving van de regelgeving voor NL BIO-cloudthema. Zie Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl) voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| C.04.3 Technisch beheer van beveiligingsproblemen - Tijdlijnen | C.04.3 | Als de kans op misbruik, de verwachte schade beide hoog zijn, worden patches binnen uiterlijk een week geïnstalleerd. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| C.04.6 Technisch beheer van beveiligingsproblemen - Tijdlijnen | C.04.6 | Technische zwakke punten kunnen tijdig worden opgelost door patchbeheer uit te voeren. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.2.0 |
| C.04.7 Technisch beheer van beveiligingsproblemen - Geëvalueerd | C.04.7 | Evaluaties van technische beveiligingsproblemen worden vastgelegd en gerapporteerd. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| U.05.1-gegevensbescherming - Cryptografische metingen | U.05.1 | Gegevenstransport wordt beveiligd met cryptografie waar sleutelbeheer wordt uitgevoerd door de CSC zelf, indien mogelijk. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| U.05.2-gegevensbescherming - Cryptografische metingen | U.05.2 | Gegevens die zijn opgeslagen in de cloudservice worden beschermd volgens de nieuwste stand der techniek. | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| U.05.2-gegevensbescherming - Cryptografische metingen | U.05.2 | Gegevens die zijn opgeslagen in de cloudservice, worden beschermd volgens de nieuwste stand van de techniek. | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| U.07.1 Gegevensscheiding - Geïsoleerd | U.07.1 | Permanente isolatie van gegevens is een architectuur met meerdere tenants. Patches worden op een gecontroleerde manier uitgevoerd. | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| U.07.3 Gegevensscheiding - Beheerfuncties | U.07.3 | U.07.3 - De bevoegdheden voor het weergeven of wijzigen van CSC-gegevens en/of versleutelingssleutels worden op een gecontroleerde manier verleend en het gebruik wordt vastgelegd. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| U.09.3 Malware Protection - Detectie, preventie en herstel | U.09.3 | De malwarebeveiliging wordt uitgevoerd op verschillende omgevingen. | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| U.10.2 Toegang tot IT-services en -gegevens - Gebruikers | U.10.2 | Onder de verantwoordelijkheid van de CSP wordt toegang verleend aan beheerders. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| U.10.3 Toegang tot IT-services en -gegevens - Gebruikers | U.10.3 | Alleen gebruikers met geverifieerde apparatuur hebben toegang tot IT-services en -gegevens. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| U.10.5 Toegang tot IT-services en -gegevens - Competent | U.10.5 | De toegang tot IT-services en -gegevens wordt beperkt door technische maatregelen en is geïmplementeerd. | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| U.11.1 Cryptoservices - Beleid | U.11.1 | In het cryptografiebeleid zijn ten minste de onderwerpen in overeenstemming met BIO uitgewerkt. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Cryptoservices U.11.2 - Cryptografische metingen | U.11.2 | In het geval van PKIoverheid-certificaten worden PKIoverheid-vereisten voor sleutelbeheer gebruikt. In andere situaties wordt ISO11770 gebruikt. | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| U.11.3 Cryptoservices - Versleuteld | U.11.3 | Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| U.11.3 Cryptoservices - Versleuteld | U.11.3 | Gevoelige gegevens worden altijd versleuteld, met persoonlijke sleutels die worden beheerd door de CSC. | Temp-schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service clusters moeten worden versleuteld op host | 1.0.1 |
| Logboekregistratie en bewaking van U.15.1 - Vastgelegde gebeurtenissen | U.15.1 | De schending van de beleidsregels wordt vastgelegd door de CSP en de CSC. | Resource-logboeken in Azure Kubernetes Service moeten ingeschakeld zijn | 1.0.0 |
Reserve Bank of India - IT Framework voor NBFC
Zie Azure Policy Regulatory Compliance - Reserve Bank of India - IT Framework for NBFC voor een overzicht van hoe de beschikbare Azure Policy ingebouwde componenten voor alle Azure services zijn toegewezen aan deze nalevingsstandaard. Zie Reserve Bank of India - IT Framework voor NBFC voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| IT-governance | 1 | IT-governance-1 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Informatie en cyberbeveiliging | 3.1.a | Identificatie en classificatie van informatie-assets-3.1 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Informatie en cyberbeveiliging | 3.1.c | Op rollen gebaseerd Access Control-3.1 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Informatie en cyberbeveiliging | 3.1.g | Trails-3.1 | Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | 2.0.1 |
| Informatie en cyberbeveiliging | 3.3 | Beheer van beveiligingsproblemen-3.3 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
IT-raamwerk voor banken v2016 van de Reserve Bank of India
Zie Azure Policy Regulatory Compliance - RBI ITF Banks v2016 om te bekijken hoe de beschikbare ingebouwde beleidsregels van Azure Policy voor alle Azure-services zijn toegewezen aan deze nalevingsstandaard. Zie RBI ITF Banks v2016 (PDF) voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Patch-/beveiligingsproblemen en wijzigingsbeheer | Patch/kwetsbaarheid & Veranderingsbeheer-7.7 | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 | |
| Geavanceerde Real-Time bedreigingsverdediging en -beheer | Geavanceerde real-time bedreigingsverdediging en beheer-13.2 | Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | 2.0.1 | |
| Gebruikerstoegangscontrole/-beheer | Gebruikerstoegangsbeheer / Beheer-8.1 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
RMIT Maleisië
Zie Azure Policy Regulatory Compliance - RMIT Malaysia als u wilt bekijken hoe de beschikbare ingebouwde Azure Policy voor alle Azure-services aan deze nalevingsstandaard toewijzen. Zie RMIT Maleisië voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Cryptografie | 10.19 | Cryptografie - 10.19 | Besturingssysteem en gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | 1.0.1 |
| Toegangscontrole | 10.54 | Access Control - 10,54 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | 10.55 | Toegangscontrole - 10,55 | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Toegangscontrole | 10.55 | Access Control - 10,55 | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Toegangscontrole | 10.55 | Access Control - 10.55 | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Toegangscontrole | 10.55 | Access Control - 10.55 | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Toegangscontrole | 10.55 | Toegangscontrole - 10,55 | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Toegangscontrole | 10.60 | Toegangscontrole - 10,60 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | 10.61 | Access Control - 10,61 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Toegangscontrole | 10,62 | Toegangscontrole - 10,62 | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Patch- en eindelevensduursysteembeheer | 10.65 | Patch- en einde levenscyclus systeembeheer - 10.65 | Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | 1.0.2 |
| Security Operations Centre (SOC) | 11.17 | Beveiligingsoperatiecentrum (SOC) - 11.17 | Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | 2.0.1 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.5 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.5 | Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | 5.2.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Controlemaatregelen voor cyberbeveiliging | Bijlage 5.6 | Controlemaatregelen inzake cyberbeveiliging - bijlage 5.6 | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
Spanje ENS
Zie Azure Policy Details over de nalevingsnorm voor Spanje ENS om te bekijken hoe de beschikbare Azure Policy ingebouwde configuraties voor alle Azure-services in kaart zijn gebracht volgens deze norm. Zie CCN-STIC 884 voor meer informatie over deze nalevingsstandaard.
SWIFT CSP-CSCF v2021
Zie Azure Policy Details over naleving van regelgeving voor SWIFT CSP-CSCF v2021 om te bekijken hoe de beschikbare ingebouwde Azure Policy built-ins voor alle Azure-services zijn gekoppeld aan deze nalevingsstandaard. Zie SWIFT CSP CSCF v2021 voor meer informatie over deze nalevingsstandaard.
Systeem- en organisatiecontroles (SOC) 2
Zie Details van Azure Policy regelgevingsnaleving voor SOC 2 om te zien hoe de beschikbare ingebouwde functies van Azure Policy voor alle Azure-services passen bij deze nalevingsstandaard. Zie Systeem- en organisatiebeheer (SOC) 2 voor meer informatie over deze nalevingsstandaard.
| Domein | Controle-id | Titel van besturingselement | Beleid (Azure portal) |
Beleidsversie (GitHub) |
|---|---|---|---|---|
| Besturingselementen voor logische en fysieke toegang | CC6.1 | Beveiligingssoftware, infrastructuur en architecturen voor logische toegang | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.3 | Rolgebaseerde toegang en least privilege-principe | Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | 1.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.6 | Beveiligingsmaatregelen tegen bedreigingen buiten systeemgrenzen | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.7 | Het verplaatsen van gegevens beperken tot geautoriseerde gebruikers | Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | 9.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.2.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Besturingselementen voor logische en fysieke toegang | CC6.8 | Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.2.0 |
| Systeembewerkingen | CC7.2 | Systeemonderdelen controleren op afwijkend gedrag | Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | 2.0.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | 1.0.2 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | 9.3.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clustercontainers mogen geen hostnaamruimten delen | 6.0.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | 6.2.1 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | 6.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes clusters en containers mogen alleen toegestane images gebruiken | 9.3.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | 6.3.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | 6.3.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | 6.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | 7.0.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | 8.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-cluster mag geen bevoegde containers toestaan | 9.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | 4.2.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | 8.0.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | 5.1.0 |
| Wijzigingsbeheer | CC8.1 | Wijzigingen in infrastructuur, gegevens en software | Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | 4.2.0 |
Volgende stappen
- Meer informatie over Azure Policy Naleving van regelgeving.
- Zie de ingebouwde beleidsregels op de Azure Policy GitHub repository.