Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Regulatory Compliance in Azure Policy fornece definições de iniciativa (built-ins) criadas e gerenciadas por Microsoft, para os domínios de conformidade e controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade AKS (Serviço de Kubernetes do Azure) e os controles de segurança.
Você pode atribuir individualmente os recursos internos de um controle de segurança para ajudar a tornar seus recursos do Azure compatíveis com o padrão específico.
O título de cada definição de política interna vincula-se à definição de política no portal Azure. Use o link na coluna Policy Version para exibir a origem no repositório Azure Policy GitHub.
Importante
Cada controle é associado a uma ou mais definições Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Dessa forma, Compliant em Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Azure Policy no momento. Portanto, a conformidade em Azure Policy é apenas uma exibição parcial do seu status de conformidade geral. As associações entre os controles e as definições de conformidade regulatória do Azure Policy para esses padrões de conformidade podem mudar ao longo do tempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para examinar como os Azure Policy built-ins disponíveis para todos os serviços Azure se correlacionam com este padrão de conformidade, consulte Azure Policy Conformidade Regulatória – CIS Microsoft Azure Foundations Benchmark 1.1.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.5 | Habilitar o RBAC (controle de acesso baseado em função) no Azure Kubernetes Services | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
CIS Padrão de Referência para Fundações do Microsoft Azure 1.3.0
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.3.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.5 | Habilitar o RBAC (controle de acesso baseado em função) no Azure Kubernetes Services | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Para analisar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Detalhes de conformidade regulatória do azure Policy para CIS v1.4.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| 8 Outras considerações de segurança | 8.7 | Habilitar o RBAC (controle de acesso baseado em função) no Azure Kubernetes Services | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
CMMC nível 3
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira CMMC (Certificação de Modelo de Maturidade de Segurança Cibernética).
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de Acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Controle de Acesso | AC.1.001 | Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Controle de Acesso | AC.1.002 | Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | AC.2.007 | Empregar o princípio de privilégios mínimos, incluindo para funções de segurança específicas e contas privilegiadas. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | AC.2.016 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Gerenciamento de configuração | CM.2.062 | Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Gerenciamento de configuração | CM.3.068 | Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Avaliação de risco | RM.2.143 | Corrigir vulnerabilidades de acordo com as avaliações de risco. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Proteção do Sistema e das Comunicações | SC.1.175 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Proteção do Sistema e das Comunicações | SC.3.177 | Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Proteção do Sistema e das Comunicações | SC.3.183 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Integridade do Sistema e das Informações | SI.1.210 | Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
FedRAMP High
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – FedRAMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.
FedRAMP Moderate
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – FedRAMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.
HIPAA/HITRUST
Para examinar como os internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, consulte a Conformidade Regulatória do Azure Policy – HIPAA HITRUST. Para obter mais informações sobre esse padrão de conformidade, consulte HIPAA HITRUST.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Gerenciamento de privilégios | 1149.01c2System.9 – 01.c | A organização facilita o compartilhamento de informações, permitindo que os usuários autorizados determinem o acesso de um parceiro de negócios quando o critério é permitido, conforme definido pela organização, e empregando processos manuais ou mecanismos automatizados para ajudar os usuários a tomar decisões de compartilhamento/colaboração de informações. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| 11 Controle de Acesso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Acesso Autorizado a Sistemas de Informações | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| 12 Log de Auditoria e Monitoramento | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimentos Operacionais Documentados | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
Políticas Confidenciais de Base do Microsoft Cloud for Sovereignty
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty. Para obter mais informações sobre esse padrão de conformidade, consulte Microsoft Cloud for Sovereignty Policy portfolio.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| SO.3 - Chaves Gerenciadas pelo Cliente | SO.3 | Produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente quando possível. | Os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados com chaves gerenciadas pelo cliente | 1.0.1 |
Microsoft benchmark de segurança de nuvem
O Microsoft cloud security benchmark fornece recomendações sobre como proteger suas soluções de nuvem em Azure. Para ver como esse serviço corresponde completamente à referência de segurança da nuvem da Microsoft, consulte os arquivos de mapeamento Azure Security Benchmark.
Para analisar como os itens internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do Azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Segurança de rede | NS-2 | Serviços de nuvem segura NS-2 com controles de rede | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Acesso privilegiado | PA-7 | PA-7 Siga o princípio de administração suficiente (privilégio mínimo) | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Proteção de dados | DP-3 | DP-3 Criptografar dados confidenciais em trânsito | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Log e detecção de ameaças | LT-1 | LT-1 Habilitar recursos de detecção de ameaças | Clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Log e detecção de ameaças | LT-2 | LT-2 Habilitar a detecção de ameaças para gerenciamento de identidade e acesso | Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Log e detecção de ameaças | LT-3 | LT-3 Habilitar registro em log para investigação de segurança | Logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados | 1.0.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| Gerenciamento de postura e vulnerabilidades | PV-2 | Auditar e aplicar as configurações seguras PV-2 | Os clusters do Kubernetes não devem usar o namespace padrão | 4.2.0 |
| Gerenciamento de postura e vulnerabilidades | PV-6 | PV-6 Remediar vulnerabilidades de forma rápida e automática | Imagens de contêiner do Azure em execução devem ter vulnerabilidades resolvidas (baseadas em Gerenciamento de Vulnerabilidades do Microsoft Defender) | 1.0.1 |
| Segurança DevOps | DS-6 | DS-6 Impor a segurança da carga de trabalho em todo o ciclo de vida do DevOps | As imagens de contêiner em execução no Azure devem ter vulnerabilidades resolvidas (gerenciadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controle de Acesso | 3.1.3 | Controle o fluxo de CUI de acordo com autorizações aprovadas. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.1 | Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.10 | Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.16 | Proteja a confidencialidade do CUI em repouso. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.2 | Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.5 | Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.6 | Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção do Sistema e das Comunicações | 3.13.8 | Implemente mecanismos criptográficos para impedir a divulgação não autorizada da CUI durante a transmissão, a menos que ela conte com proteções físicas alternativas. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Integridade do Sistema e das Informações | 3.14.1 | Identifique, relate e corrija falhas do sistema oportunamente. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Gerenciamento de configuração | 3.4.1 | Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Gerenciamento de configuração | 3.4.2 | Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
NIST SP 800-53 Rev. 4
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.
Tema de nuvem do NL BIO
Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.3 | Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo | C.04.6 | As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os clusters do Kubernetes não devem usar o namespace padrão | 4.2.0 |
| C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado | C.04.7 | As avaliações de vulnerabilidades técnicas são registradas e relatadas. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| U.05.1 Proteção de dados – Medidas de criptografia | U.05.1 | O transporte de dados é protegido com criptografia em que o gerenciamento de chaves é realizado pelo próprio CSC, se possível. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos com recursos de última geração. | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| U.05.2 Proteção de dados – Medidas de criptografia | U.05.2 | Os dados armazenados no serviço de nuvem devem ser protegidos com recursos de última geração. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| U.07.1 Separação de dados – Isolado | U.07.1 | O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| U.07.3 Separação de dados – Recursos de gerenciamento | U.07.3 | U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado em log. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| U.09.3 Proteção contra malware – Detecção, prevenção e recuperação | U.09.3 | A proteção contra malware é executada em ambientes diferentes. | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| U.10.2 Acesso a serviços e dados de TI – Usuários | U.10.2 | Sob a responsabilidade do CSP, o acesso é permitido aos administradores. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| U.10.3 Acesso a serviços e dados de TI – Usuários | U.10.3 | Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| U.10.5 Acesso a serviços e dados de TI – Pessoa competente | U.10.5 | O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| U.11.1 Serviços de criptografia – Política | U.11.1 | Na política de criptografia, pelo menos os assuntos de acordo com a BIO foram desenvolvidos. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| U.11.2 Serviços de criptografia – Medidas de criptografia | U.11.2 | No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| U.11.3 Serviços de criptografia – Criptografados | U.11.3 | Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. | Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host | 1.0.1 |
| Registro em log e monitoramento do U.15.1 – Eventos registrados em log | U.15.1 | A violação das regras de política é registrada pelo CSP e pelo CSC. | Logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados | 1.0.0 |
Banco de Reserva da Índia – Framework de TI para NBFC
Para examinar como as iniciativas internas disponíveis no Azure Policy para todos os serviços do Azure são mapeadas para esse padrão de conformidade, veja Conformidade Regulatória do Azure Policy – Banco de Reserva da Índia – Framework de TI para NBFC. Para obter mais informações sobre esse padrão de conformidade, veja Banco de Reserva da Índia – Framework de TI para NBFC.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Governança de TI | 1 | Governança de TI–1 | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| Informações e Segurança Cibernética | 3.1.a | Identificação e Classificação de Ativos de Informação–3.1 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Informações e Segurança Cibernética | 3.1.c. | Controle de Acesso baseado em função–3.1 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Informações e Segurança Cibernética | 3.1.g | Trilhas-3.1 | Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Informações e Segurança Cibernética | 3.3 | Gerenciamento de Vulnerabilidades−3.3 | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
Estrutura de TI para Bancos do Banco da Reserva da Índia v2016
Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Patch/vulnerabilidade e Gerenciamento de alterações | Patch/vulnerabilidade e Gerenciamento de alterações-7.7 | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 | |
| Gerenciamento e defesa avançados contra ameaças em tempo real | Gerenciamento e defesa avançados contra ameaças em tempo real – 13.2 | Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 | |
| Controle de Acesso de Usuário e Gerenciamento | Controle de Acesso de Usuário / Gerenciamento-8.1 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
RMIT Malásia
Para analisar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, veja Conformidade regulatória do Azure Policy – RMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malaysia.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Criptografia | 10.19 | Criptografia – 10.19 | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Controle de Acesso | 10.54 | Controle de Acesso - 10.54 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | 10,55 | Controle de Acesso - 10.55 | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Controle de Acesso | 10,55 | Controle de Acesso - 10.55 | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Controle de Acesso | 10,55 | Controle de Acesso - 10.55 | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Controle de Acesso | 10,55 | Controle de Acesso - 10.55 | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Controle de Acesso | 10,55 | Controle de Acesso - 10.55 | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| Controle de Acesso | 10.60 | Controle de Acesso - 10.60 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | 10.61 | Controle de Acesso - 10.61 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controle de Acesso | 10.62 | Controle de Acesso - 10.62 | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Gerenciamento do sistema de patch e fim da vida útil | 10.65 | Gerenciamento de sistema de patch e de fim da vida útil – 10.65 | Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | 1.0.2 |
| SOC (Centro de Operações de Segurança) | 11.17 | SOC (Centro de Operações de Segurança) – 11.17 | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Medidas de controle sobre segurança cibernética | Apêndice 5.5 | Medidas de controle sobre segurança cibernética – Apêndice 5.5 | Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos | 5.2.0 |
| Medidas de controle sobre segurança cibernética | Apêndice 5.6 | Medidas de controle sobre segurança cibernética – Apêndice 5.6 | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Medidas de controle sobre segurança cibernética | Apêndice 5.6 | Medidas de controle sobre segurança cibernética – Apêndice 5.6 | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Medidas de controle sobre segurança cibernética | Apêndice 5.6 | Medidas de controle sobre segurança cibernética – Apêndice 5.6 | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
ENS da Espanha
Para analisar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, veja Detalhes de conformidade regulatória do Azure Policy para Espanha ENS. Para obter mais informações sobre esse padrão de conformidade, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para ler como os itens integrados do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para SWIFT CSP-CSCF v2021. Para obter mais informações sobre este padrão de conformidade, confira SWIFT CSP CSCF v2021.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Proteção de ambiente SWIFT | 1.1 | Proteção de ambiente SWIFT | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Proteção de ambiente SWIFT | 1.4 | Restrição do acesso à Internet | Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes | 2.0.1 |
| Reduzir a superfície de ataque e vulnerabilidades | 2.1 | Segurança Interna de Fluxo de Dados | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.2 | Integridade do software | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
| Detectar atividade anômala em sistemas ou registros de transações | 6.5A | Detecção de invasões | os sistemas operacionais e discos de dados em clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | 1.0.1 |
Controles de Sistema e Organização (SOC) 2
Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, confira Detalhes de conformidade regulatória do Azure Policy para o SOC (Controles de Sistema e Organização) 2. Para obter mais informações sobre esse padrão de conformidade, confira SOC (Controles de Sistema e Organização) 2.
| Domínio | ID de Controle | Título do controle | Policy (portal Azure) |
Versão da política (GitHub) |
|---|---|---|---|---|
| Controles de acesso lógico e físico | CC6.1 | Software, infraestrutura e arquiteturas de segurança de acesso lógico | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Controles de acesso lógico e físico | CC6.3 | Acesso baseado em função e privilégios mínimos | Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | 1.1.0 |
| Controles de acesso lógico e físico | CC6.6 | Medidas de segurança contra ameaças fora dos limites do sistema | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Controles de acesso lógico e físico | CC6.7 | Restringir a movimentação de informações a usuários autorizados | Os clusters do Kubernetes devem ser acessíveis somente via HTTPS | 9.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.2.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| Controles de acesso lógico e físico | CC6.8 | Prevenir ou detectar software não autorizado ou mal-intencionado | Os clusters do Kubernetes não devem usar o namespace padrão | 4.2.0 |
| Operações de sistema | CC7.2 | Monitorar componentes do sistema para verificar se há comportamento anômalo | Os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado | 2.0.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | O complemento do Azure Policy para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | 1.0.2 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados | 9.3.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | 6.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos | 6.2.1 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas | 6.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas | 9.3.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | 6.3.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos | 6.3.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas | 6.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os pods de cluster do Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | 7.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas | 8.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | O cluster do Kubernetes não deve permitir contêineres privilegiados | 9.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática | 4.2.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner | 8.0.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN | 5.1.0 |
| Gerenciamento de alterações | CC8.1 | Alterações na infraestrutura, nos dados e no software | Os clusters do Kubernetes não devem usar o namespace padrão | 4.2.0 |
Próximas etapas
- Saiba mais sobre Azure Policy Conformidade Regulatória.
- Confira os internos no repositório Azure Policy GitHub.