Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página é um índice de definições de política internas Azure Policy para Serviço de Kubernetes do Azure. Para obter Azure Policy internos adicionais para outros serviços, consulte Azure Policy definições internas.
O nome de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Version para exibir a origem no repositório Azure Policy GitHub.
Iniciativas
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Versão prévia]: use a integridade da imagem para garantir que apenas imagens confiáveis sejam implantadas | Use a Integridade da Imagem para garantir que os clusters do AKS implantem apenas imagens confiáveis habilitando a Integridade da Imagem e Azure Policy Add-Ons em clusters do AKS. Add-On de Integridade da Imagem e Azure Policy Add-On são pré-requisitos para usar a Integridade da Imagem para verificar se a imagem está assinada na implantação. Para obter mais informações, acesse https://aka.ms/aks/image-integrity. | 3 | 1.1.0 – versão prévia |
| [Versão prévia]: o cluster kubernetes deve seguir as recomendações de controle de segurança do parâmetro de comparação do Kubernetes do Center for Internet Security (CIS) | Essa iniciativa inclui as diretrizes de segurança para o referencial do Kubernetes do Center for Internet Security (CIS). Você pode usar essa iniciativa para se manter em conformidade com o referencial de Kubernetes do CIS. Para obter mais informações sobre a conformidade com CIS, visite: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0 – versão prévia |
| as proteções Deployment devem ajudar a orientar os desenvolvedores para as melhores práticas recomendadas do AKS | Uma coleção de práticas recomendadas do Kubernetes recomendadas pelo AKS (Serviço de Kubernetes do Azure). Para obter a melhor experiência, use a implantação de medidas de segurança para atribuir essa iniciativa de política: https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On para AKS é um pré-requisito para aplicar essas práticas recomendadas aos clusters. Para obter instruções sobre como habilitar o complemento Azure Policy, acesse aka.ms/akspolicydoc | 27 | 3.0.0 |
| padrões de linha de base de segurança de pod de cluster Kubernetes para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod do cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Padrões restritos de segurança de pod de clusterkubernetes para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod do cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | oito | 2.5.0 |
Definições de política
Microsoft. ContainerService
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: [Integridade da Imagem] os clusters do Kubernetes só devem usar imagens assinadas por notação | Use imagens assinadas por notação para garantir que as imagens venham de fontes confiáveis e não sejam modificadas maliciosamente. Para obter mais informações, visite https://aka.ms/aks/image-integrity | Audit, desabilitado | 1.1.0-preview |
| [Versão prévia]: a extensão Backup do Azure deve ser instalada em clusters do AKS | Verifique a instalação da proteção da extensão de backup nos clusters do AKS para aproveitar Backup do Azure. Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: Backup do Azure deve ser habilitado para clusters do AKS | Verifique a proteção dos clusters do AKS habilitando Backup do Azure. Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS. | AuditIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: Serviço de Kubernetes do Azure Clusters Gerenciados devem ser Redundantes de Zona | Serviço de Kubernetes do Azure clusters gerenciados podem ser configurados para serem com redundância de zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade estejam definidas para todos os pools de nós. | Audit, Deny, desabilitado | 1.0.0-preview |
| [Versão prévia]: implantar a integridade da imagem no Serviço de Kubernetes do Azure | Implante a integridade da imagem e a política Add-Ons Azure clusters do Kubernetes. Para obter mais informações, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, desabilitado | 1.2.0-preview |
| [Versão prévia]: instalar a extensão Backup do Azure em clusters do AKS (Cluster Gerenciado) com uma determinada tag. | Instalar a Extensão Backup do Azure é um pré-requisito para proteger os clusters do AKS. Impor a instalação da extensão de backup em todos os clusters AKS que contenham uma determinada marca. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters do AKS em escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: instalar a Extensão Backup do Azure em clusters do AKS (Cluster Gerenciado) sem uma determinada tag. | Instalar a Extensão Backup do Azure é um pré-requisito para proteger os clusters do AKS. Impor a instalação da extensão de backup em todos os clusters do AKS sem um valor de marca específico. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters do AKS em escala. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.0-preview |
| [Versão prévia]: os contêineres de cluster do Kubernetes devem usar somente interfaces sysctl permitidas | Os contêineres devem usar somente interfaces sysctl permitidas em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 1.0.0-preview |
| [Versão prévia]: o cluster do Kubernetes deve implementar Orçamentos precisos de Interrupção do Pod | Impede montantes de interrupção de pods defeituosos, garantindo um número mínimo de pods operacionais. Consulte a documentação oficial do Kubernetes para obter detalhes. Depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de Implantação, StatefulSet e PodDisruptionBudget com escopo para ele no OPA. Antes de aplicar essa política, verifique se os recursos sincronizados não sobrecarregarão sua capacidade de memória. Todos os recursos desses tipos entre namespaces serão sincronizados. Observação: atualmente em versão prévia do AKS (Serviço de Kubernetes). | Audit, Deny, desabilitado | 1.3.1-preview |
| [Versão prévia]: os clusters do Kubernetes devem restringir a criação de um determinado tipo de recurso | O tipo de recurso do Kubernetes fornecido não deve ser implantado em determinados namespaces. | Audit, Deny, desabilitado | 2.3.0-preview |
| [Versão prévia]: impede que os contêineres sejam executados como raiz definindo runAsNotRoot como true. | Definir runAsNotRoot como true aumenta a segurança ao impedir que os contêineres sejam executados como raiz. | Mutar, Desabilitado | 1.1.0-preview |
| [Versão prévia]: impede que contêineres de inicialização sejam executados como raiz definindo runAsNotRoot como true. | Definir runAsNotRoot como true aumenta a segurança ao impedir que os contêineres sejam executados como raiz. | Mutar, Desabilitado | 1.1.0-preview |
| [Versão prévia]: Define os campos securityContext.runAsUser do contêiner do cluster do Kubernetes como 1000, uma ID de usuário que não é raiz | Reduz a superfície de ataque introduzida pelo aumento de privilégios como usuário raiz na presença de vulnerabilidades de segurança. | Mutar, Desabilitado | 1.1.0-preview |
| [Versão prévia]: Define o tipo de perfil do modo de computação segura dos contêineres do cluster do Kubernetes como RuntimeDefault, se não estiver presente. | Definir o tipo de perfil de modo de computação segura para contêineres de modo a evitar chamadas não autorizadas e possivelmente prejudiciais do sistema ao kernel a partir do espaço do usuário. | Mutar, Desabilitado | 1.2.0-preview |
| [Versão prévia]: Define os campos securityContext.runAsUser de contêineres de inicialização do cluster do Kubernetes como 1000, uma ID de usuário que não é raiz | Reduz a superfície de ataque introduzida pelo aumento de privilégios como usuário raiz na presença de vulnerabilidades de segurança. | Mutar, Desabilitado | 1.1.0-preview |
| [Versão prévia]: Define o tipo de perfil de modo de computação segura dos contêineres de inicialização do cluster do Kubernetes como RuntimeDefault, se não estiver presente. | Definir o tipo de perfil de modo de computação segura para contêineres de inicialização de modo a evitar chamadas não autorizadas e possivelmente prejudiciais do sistema ao kernel a partir do espaço do usuário. | Mutar, Desabilitado | 1.2.0-preview |
| [Versão prévia]: Define os campos securityContext.runAsUser dos Pods do cluster do Kubernetes como 1000, uma ID de usuário que não é raiz | Reduz a superfície de ataque introduzida pelo aumento de privilégios como usuário raiz na presença de vulnerabilidades de segurança. | Mutar, Desabilitado | 1.1.0-preview |
| [Versão prévia]: Define o aumento de privilégios na especificação dos Pods nos contêineres de inicialização como false. | Definir o aumento de privilégios como false nos contêineres de inicialização aumenta a segurança, ao impedir que os contêineres permitam o aumento de privilégios, como, por exemplo, por meio dos modos de arquivo set-user-ID ou set-group-ID. | Mutar, Desabilitado | 1.2.0-preview |
| [Versão prévia]: Define o aumento de privilégios na especificação de Pods como false. | Definir o aumento de privilégios como false aumenta a segurança ao impedir que os contêineres permitam o aumento de privilégios, como, por exemplo, por meio dos modos de arquivo set-user-ID ou set-group-ID. | Mutar, Desabilitado | 1.2.0-preview |
| [Versão prévia]: define UnhealthyPodEvictionPolicy como 'AlwaysAllow' | Define o UnhealthyPodEvictionPolicy do Orçamento de Interrupção do Pod como 'AlwaysAllow' para permitir o despejo de pods ainda não íntegros ao executar a administração do cluster | Mutar, Desabilitado | 1.1.0-preview |
| Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. | Audit, desabilitado | 2.0.1 |
| Azure clusters kubernetes devem desabilitar o SSH | Desabilitar o SSH dá a você a capacidade de proteger seu cluster e reduzir a superfície de ataque. Para saber mais, acesse: aka.ms/aks/disablessh | Audit, desabilitado | 1.0.0 |
| Azure Clusters kubernetes devem habilitar o CSI (Interface de Armazenamento de Contêiner) | A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas arbitrários de armazenamento de arquivos e blocos a cargas de trabalho em contêineres em Serviço de Kubernetes do Azure. Para saber mais, https://aka.ms/aks-csi-driver | Audit, desabilitado | 1.0.0 |
| Azure Clusters kubernetes devem habilitar o KMS (Serviço de Gerenciamento de Chaves) | Use o KMS (Serviço de Gerenciamento de Chaves) para criptografar dados secretos inativos no etcd para a segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. | Audit, desabilitado | 1.1.0 |
| Azure Clusters kubernetes devem usar Azure CNI | Azure CNI é um pré-requisito para alguns recursos Serviço de Kubernetes do Azure, incluindo políticas de rede Azure, pools de nós Windows e complemento de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni | Audit, desabilitado | 1.0.1 |
| Serviço de Kubernetes do Azure clusters devem ser membros de um Azure Kubernetes Fleet Manager. | Detecte e relate todos os clusters do AKS que não são membros de uma Azure o Kubernetes Fleet Manager. Para saber mais, visite https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, desabilitado | 1.0.0 |
| Serviço de Kubernetes do Azure Clusters devem desabilitar a Invocação de Comando | Desabilitar a invocação de comando pode aprimorar a segurança, evitando o bypass do acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes | Audit, desabilitado | 1.0.1 |
| Serviço de Kubernetes do Azure Clusters devem habilitar a atualização automática do cluster | A atualização automática do cluster do AKS pode garantir que seus clusters estejam atualizados e não percam os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, desabilitado | 1.0.0 |
| Serviço de Kubernetes do Azure Clusters devem habilitar o Image Cleaner | O Image Cleaner executa a identificação e remoção automáticas de imagens, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. | Audit, desabilitado | 1.0.0 |
| Serviço de Kubernetes do Azure Clusters devem habilitar Microsoft Entra ID integração | A integração de Microsoft Entra ID gerenciada pelo AKS pode gerenciar o acesso aos clusters configurando o RBAC do Kubernetes (controle de acesso baseado em função) do Kubernetes com base na identidade do usuário ou na associação do grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. | Audit, desabilitado | 1.0.2 |
| Serviço de Kubernetes do Azure Clusters devem habilitar a atualização automática do sistema operacional do nó | Atualizações de segurança do sistema operacional no nível do nó do AKS. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, desabilitado | 1.0.0 |
| Serviço de Kubernetes do Azure Clusters devem habilitar a identidade da carga de trabalho | A identidade da carga de trabalho permite atribuir uma identidade exclusiva a cada Pod do Kubernetes e associá-la a recursos protegidos Azure AD, como Azure Key Vault, permitindo acesso seguro a esses recursos de dentro do Pod. Saiba mais em: https://aka.ms/aks/wi. | Audit, desabilitado | 1.0.0 |
| Serviço de Kubernetes do Azure clusters devem ter Defender perfil habilitado | Microsoft Defender para contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster de Serviço de Kubernetes do Azure, um agente é implantado em seu cluster para coletar dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contêineres no https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, desabilitado | 2.0.1 |
| Serviço de Kubernetes do Azure Clusters devem ter métodos de autenticação locais desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que Serviço de Kubernetes do Azure Clusters exijam exclusivamente Azure Active Directory identidades para autenticação. Saiba mais em: https://aka.ms/aks-disable-local-accounts. | Audit, Deny, desabilitado | 1.0.1 |
| Serviço de Kubernetes do Azure Clusters devem usar identidades gerenciadas | Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities | Audit, desabilitado | 1.0.1 |
| Serviço de Kubernetes do Azure Clusters Privados devem ser habilitados | Habilite o recurso de cluster privado para o cluster Serviço de Kubernetes do Azure para garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça apenas na rede privada. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| Azure Policy complemento do AKS (serviço kubernetes) deve ser instalado e habilitado em seus clusters | Azure Policy complemento para AKS (serviço kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para OPA (Open Policy Agent), para aplicar imposição e proteções em escala em seus clusters de maneira centralizada e consistente. | Audit, desabilitado | 1.0.2 |
| Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desabilitado | 1.0.1 |
| os sistemas operacionais Both e discos de dados em clusters Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| Não é possível editar nós individuais | Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite pools de nós. Modificar nós individuais pode levar a configurações inconsistentes, desafios operacionais e possíveis riscos de segurança. | Audit, Deny, desabilitado | 1.3.1 |
| Configurar clusters AKS para ingressar automaticamente no gerenciador de frotas do Kubernetes Azure especificado | Detecte e verifique se os clusters do AKS ingressam em um determinado Azure o Kubernetes Fleet Manager. Opcionalmente, selecione uma marca de pesquisa para especificar qual grupo de atualização de frota ingressar. Para saber mais, visite https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, desabilitado | 1.0.0 |
| Configuração Serviço de Kubernetes do Azure clusters para habilitar Defender perfil | Microsoft Defender para contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile. Defender no cluster Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contêineres: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, desabilitado | 4.3.0 |
| Configurar a instalação da extensão Flux no cluster do Kubernetes | Instalar a extensão flux no cluster do Kubernetes para habilitar a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando a origem e os segredos do bucket no Key Vault | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer um Bucket SecretKey armazenado em Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e o Certificado de Autoridade de Certificação HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um Certificado de Autoridade de Certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave HTTPS armazenado em Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave privada SSH armazenado em Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos HTTPS | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição requer segredos de chave e de usuário HTTPS armazenados em Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada não usando nenhum segredo | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos SSH | Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição requer um segredo de chave privada SSH em Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Configure Microsoft Entra ID clusters de Serviço de Kubernetes do Azure integrados com o Acesso ao Grupo de Administradores necessário | Certifique-se de melhorar a segurança do cluster ao controlar centralmente o acesso do Administrador a Microsoft Entra ID clusters integrados do AKS. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configure Node OS Auto upgrade on Azure Kubernetes Cluster | Use a atualização automática do sistema operacional do Nó para controlar as atualizações de segurança do sistema operacional no nível do nó de clusters de AKS (Serviço de Kubernetes do Azure). Para obter mais informações, acesse https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, desabilitado | 1.2.0 |
| Deploy – Definir configurações de diagnóstico para Serviço de Kubernetes do Azure Log Analytics workspace | Implanta as configurações de diagnóstico para Serviço de Kubernetes do Azure transmitir logs de recursos para um workspace Log Analytics. | DeployIfNotExists, desabilitado | 3.0.0 |
| Deploy Azure Policy Complemento para clusters Serviço de Kubernetes do Azure | Use Azure Policy Complemento para gerenciar e relatar o estado de conformidade de seus clusters de AKS (Serviço de Kubernetes do Azure). Para obter mais informações, consulte https://aka.ms/akspolicydoc. | DeployIfNotExists, desabilitado | 4.2.0 |
| Deploy Image Cleaner no Serviço de Kubernetes do Azure | Implantar o Limpador de Imagens em clusters do Kubernetes Azure. Para obter mais informações, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, desabilitado | 1.2.0 |
| Deploy Planned Maintenance to schedule and control upgrades for your AKS (Serviço de Kubernetes do Azure) cluster | A Manutenção Planejada permite agendar janelas de manutenção semanais para executar atualizações e minimizar o impacto na carga de trabalho. Depois de agendada, a atualização ocorre somente durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| invocação de comando Disable em clusters Serviço de Kubernetes do Azure | Desabilitar a invocação de comando pode aprimorar a segurança ao rejeitar acessos ao cluster para invocação de comando | DeployIfNotExists, desabilitado | 1.2.0 |
| Verificar se os contêineres de cluster têm investigações de preparação ou atividade configuradas | Essa política impõe que todos os pods tenham investigações de preparação e/ou atividade configuradas. Os tipos de investigação podem ser os seguintes: tcpSocket, httpGet e exec. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.3.0 |
| As imagens de contêiner de cluster do Kubernetes devem incluir o gancho de preStop | Requer que as imagens de contêiner incluam um gancho de preStop para encerrar normalmente os processos durante os desligamentos do pod. | Audit, Deny, desabilitado | 1.1.1 |
| As imagens de contêiner de cluster do Kubernetes não devem incluir a marca de imagem mais recente | Exige que as imagens de contêiner não usem a marca mais recente no Kubernetes; é uma prática recomendada garantir a reprodutibilidade, impedir atualizações não intencionais e facilitar a depuração e as reversões usando imagens de contêiner explícitas e com controle de versão. | Audit, Deny, desabilitado | 2.0.1 |
| Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Solicitações de recursos de memória e CPU de contêineres de cluster do Kubernetes devem ser definidas | Imponha solicitações de recursos de CPU e memória do contêiner para garantir que o nó agendado tenha recursos necessários. | Audit, Deny, desabilitado | 1.0.0-preview |
| Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | Bloqueie os contêineres de pod de compartilhar o namespace da ID do processo de host, o namespace de IPC do host e o namespace de rede do host em um cluster do Kubernetes. Essa recomendação se alinha aos Padrões de Segurança de Pod do Kubernetes para namespaces de host e faz parte do CIS 5.2.1, 5.2.2 e 5.2.3, que se destinam a melhorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 6.0.0 |
| Os contêineres de cluster do Kubernetes não devem usar as interfaces de sysctl proibidas | Os contêineres não devem usar as interfaces de sysctl proibidas em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
| Os contêineres de cluster do Kubernetes só devem efetuar pull de imagens quando os segredos de pull de imagem estiverem presentes | Restringir pulls de imagem de contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado a imagens em um cluster do Kubernetes | Audit, Deny, desabilitado | 1.3.1 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.1 |
| Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.3.0 |
| Os contêineres de cluster do Kubernetes devem usar somente o ProcMountType permitido | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| Os contêineres do cluster do Kubernetes devem usar apeanas a política de pull permitida | Restringir a política de pull de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Audit, Deny, desabilitado | 3.2.0 |
| Os contêineres de cluster do Kubernetes devem usar somente os perfis do seccomp permitidos | Os contêineres de pod podem usar somente perfis do seccomp permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
| Os volumes FlexVolume do pod do cluster do Kubernetes devem usar somente os drivers permitidos | Os volumes FlexVolume do pod devem usar somente os drivers permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
| Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.3.0 |
| Os pods e contêineres de cluster do Kubernetes devem seguir os padrões de segurança SELinux | Essa política impõe padrões de segurança de pod do Kubernetes para opções SELinux. No modo PSS, os campos "usuário" e "função" devem estar vazios e o campo "tipo" deve ser um dos valores permitidos. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 8.0.0 |
| Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 6.2.0 |
| Os pods do cluster do Kubernetes devem usar somente os tipos de volumes permitidos | Os pods podem usar somente tipos de volume permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
| Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | Restrinja o acesso de pod à rede de host e às portas de host permitidas em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a melhorar a segurança de seus ambientes do Kubernetes e se alinha ao PSS (Padrões de Segurança de Pod) para hostPorts. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 7.0.0 |
| Os pods no cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 7.2.0 |
| Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | Use IPs externos permitidos para evitar um potencial ataque (CVE-2020-8554) em um cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
| Os serviços de cluster do Kubernetes devem usar seletores exclusivos | Certifique-se de que os serviços em um namespace têm seletores exclusivos. Um seletor de serviço exclusivo garante que cada serviço dentro de um namespace seja identificado exclusivamente com base em critérios específicos. Essa política sincroniza os recursos de serviço no OPA por meio do Gatekeeper. Antes de aplicar, verifique se a capacidade de memória dos pods do Gatekeeper não será excedida. Os parâmetros se aplicam a namespaces específicos, mas isso sincroniza todos os recursos desse tipo em todos os namespaces. Está atualmente em versão prévia do AKS (Serviço de Kubernetes). | Audit, Deny, desabilitado | 1.2.2 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 9.2.0 |
| O cluster do Kubernetes não deve usar pods naked | Bloquear o uso de pods naked. Pods naked não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Implantação, Replicset, Daemonset ou Trabalhos | Audit, Deny, desabilitado | 2.3.1 |
| Contêineres de Windows de clusterkubernetes não devem comprometer demais a CPU e a memória | Windows solicitações de recurso de contêiner devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar o excesso de comprometimento. Se Windows memória for superprovisionada, processará páginas em disco - o que pode diminuir o desempenho - em vez de encerrar o contêiner com memória insuficiente | Audit, Deny, desabilitado | 2.2.0 |
| Contêineres de Windows do clusterKubernetes não devem ser executados como ContainerAdministrator | Impedir o uso de ContainerAdministrator como o usuário para executar os processos de contêiner para Windows pods ou contêineres. Essa recomendação destina-se a melhorar a segurança de nós Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, desabilitado | 1.2.0 |
| Contêineres de Windows de clusterkubernetes só devem ser executados com o grupo de usuários e usuários de domínio aprovados | Controle o usuário que Windows pods e contêineres podem usar para serem executados em um Cluster do Kubernetes. Essa recomendação faz parte das Políticas de Segurança do Pod em nós Windows que se destinam a melhorar a segurança de seus ambientes do Kubernetes. | Audit, Deny, desabilitado | 2.2.0 |
| Pods de Windows de cluster doKubernetes não devem executar contêineres do HostProcess | Impedir acesso privilegiado ao nó do Windows. Essa recomendação destina-se a melhorar a segurança de nós Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, desabilitado | 1.0.0 |
| Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está disponível para o AKS (Serviço de Kubernetes) e em versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, visite https://aka.ms/kubepolicydoc | Audit, Deny, desabilitado | 9.0.0 |
| Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
| Os clusters de Kubernetes devem garantir que a função de administrador do cluster seja usada somente quando necessário | A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada somente onde e quando necessário. | Audit, desabilitado | 1.1.0 |
| Os clusters do Kubernetes devem minimizar o uso curinga na função e na função de cluster | Usar curingas ‘*’ pode ser um risco à segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser usada indevidamente por um invasor ou um usuário comprometido para obter acesso não autorizado aos recursos do cluster. | Audit, desabilitado | 1.1.0 |
| Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 8.0.0 |
| Os clusters do Kubernetes não devem permitir permissões de edição do ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint e EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, desabilitado | 3.2.0 |
| Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.1.0 |
| Os clusters do Kubernetes não devem usar funcionalidades de segurança específicas | Evite funcionalidades de segurança específicas em clusters do Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 5.2.0 |
| Os clusters do Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 4.2.0 |
| Os clusters do Kubernetes devem especificar regras de recurso de entrada de host | Certifique-se de especificar as regras de recurso de entrada do host para evitar a exposição não intencional de serviços de back-end ao acesso não autorizado. Essa política avalia os recursos de entrada do Kubernetes para garantir que cada regra tenha um campo de host especificado. | Audit, Deny, desabilitado | 1.1.0-preview |
| Os clusters do Kubernetes devem usar o StorageClass do driver da Interface de Armazenamento de Contêiner (CSI) | A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Kubernetes. O StorageClass do provisionador na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Audit, Deny, desabilitado | 2.3.0 |
| Os clusters do Kubernetes devem usar balanceadores de carga internos | Use balanceadores de carga internos para tornar um serviço do Kubernetes acessível somente a aplicativos em execução na mesma rede virtual que o cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | auditar, Auditar, negar, Negar, desabilitado, Desabilitado | 8.2.0 |
| Os recursos do Kubernetes devem ter anotações obrigatórias | Verifique se as anotações obrigatórias estão anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos dos recursos do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. | Audit, Deny, desabilitado | 3.2.0 |
| Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior | Audit, desabilitado | 1.0.2 |
| Deve ter regras antia afinidade ou restrições de propagação de topologia definidas | Essa política garante que os pods sejam agendados em nós diferentes dentro do cluster. Ao impor regras anti-afinidade ou restrições de propagação de topologia de pod, a disponibilidade será mantida mesmo se um dos nós ficar indisponível. Os pods continuarão a ser executados em outros nós, aumentando a resiliência. | Audit, Deny, desabilitado | 1.2.2 |
| Mutar contêiner K8s para remover todos os recursos | Altera securityContext.capabilities.drop para adicionar "ALL". Isso remove todos os recursos dos contêineres k8s do linux | Mutar, Desabilitado | 1.2.1 |
| Mutar contêiner de inicialização K8s para remover todos os recursos | Altera securityContext.capabilities.drop para adicionar "ALL". Isso remove todas as funcionalidades dos contêineres de inicialização k8s do linux | Mutar, Desabilitado | 1.2.1 |
| Nenhum rótulo específico do AKS | Impede que os clientes apliquem rótulos específicos do AKS. O AKS usa rótulos prefixados com kubernetes.azure.com para denotar componentes de propriedade do AKS. O cliente não deve usar esses rótulos. |
Audit, Deny, desabilitado | 1.2.1 |
| Imprime uma mensagem se uma mutação é aplicada | Pesquisa as anotações de mutação aplicadas e imprime uma mensagem se houver uma anotação. | Audit, desabilitado | 1.2.1 |
| Taints do pool de sistema reservado | Restringe a contaminação de CriticalAddonsOnly apenas ao pool do sistema. O AKS usa a contaminação de CriticalAddonsOnly para manter os pods do cliente longe do pool do sistema. Ele garante uma separação clara entre componentes do AKS e pods de cliente, bem como impede que os pods de clientes sejam removidos se eles não tolerarem a contaminação de CriticalAddonsOnly. | Audit, Deny, desabilitado | 1.2.1 |
| os logs Resource no Serviço de Kubernetes do Azure devem ser habilitados | Os logs de recursos do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário | AuditIfNotExists, desabilitado | 1.0.0 |
| Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. | Para evitar a remoção de aplicativos de usuário de pools de usuários e manter a separação de preocupações entre os pools de usuário e os pools do sistema, o taint "CriticalAddonsOnly" não deve ser aplicado aos pools de usuários. | Mutar, Desabilitado | 1.3.1 |
| Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | Para fornecer filtragem granular nas ações que os usuários podem executar, use Role-Based Controle de Acesso (RBAC) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Audit, desabilitado | 1.1.0 |
| Define automountServiceAccountToken na especificação pod em contêineres como false. | Definir automountServiceAccountToken como false aumenta a segurança ao evitar a montagem automática padrão dos tokens da conta de serviço | Mutar, Desabilitado | 1.2.1 |
| Define os limites de CPU dos contêineres de cluster do Kubernetes como valores padrão caso não estejam presentes. | Definindo limites de CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. | Mutar, Desabilitado | 1.3.1 |
| Define os limites de memória dos contêineres de cluster do Kubernetes como valores padrão caso não estejam presentes. | Definindo limites de memória de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. | Mutar, Desabilitado | 1.3.1 |
| Define os pods maxUnavailable como 1 para recursos podDisruptionBudget | Definir o valor máximo do pod indisponível como 1 garante que o seu aplicativo ou serviço esteja disponível durante uma interrupção | Mutar, Desabilitado | 1.3.1 |
| Define readOnlyRootFileSystem na especificação pod em contêineres de inicialização como true se ele não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança impedindo que os contêineres gravem no sistema de arquivos raiz. Isso funciona apenas para contêineres do Linux. | Mutar, Desabilitado | 1.3.1 |
| Define readOnlyRootFileSystem na especificação pod como true se ela não estiver definida. | Definir readOnlyRootFileSystem como true aumenta a segurança impedindo que os contêineres gravem no sistema de arquivos raiz | Mutar, Desabilitado | 1.3.1 |
| Temp discos e cache para pools de nós de agente em clusters Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança de dados, os dados armazenados no host da VM (máquina virtual) de suas VMs de nós Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
Próximas etapas
- Consulte os internos no repositório Azure Policy GitHub.
- Examine a estrutura de definição Azure Policy.
- Revisar Compreendendo os efeitos da política.