Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen für Azure Kubernetes Service. Weitere Azure Policy integrierten Komponenten für andere Dienste finden Sie unter Azure Policy integrierten Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Initiativen
| Name | BESCHREIBUNG | Richtlinien | Version |
|---|---|---|---|
| [Vorschau]: Verwenden Sie die Imageintegrität, um sicherzustellen, dass nur vertrauenswürdige Images bereitgestellt werden | Verwenden Sie Die Imageintegrität, um sicherzustellen, dass AKS-Cluster nur vertrauenswürdige Images bereitstellen, indem Sie die Imageintegrität und Azure Policy Add-Ons auf AKS-Clustern aktivieren. Image Integrity Add-On und Azure Policy Add-On sind beide Voraussetzungen für die Verwendung der Imageintegrität, um zu überprüfen, ob das Image bei der Bereitstellung signiert ist. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | 3 | 1.1.0-Vorschau |
| Diese Initiative umfasst die Richtlinien für die Sicherheitsempfehlung für Center for Internet Security (CIS) Kubernetes Benchmark, sie können diese Initiative verwenden, um mit CIS Kubernetes-Benchmark konform zu bleiben. Weitere Informationen zur CIS-Compliance finden Sie unter: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-Vorschau | |
| Deployment-Sicherheitsvorkehrungen sollten Entwicklern helfen, die empfohlenen bewährten Methoden von AKS zu unterstützen | Eine Sammlung bewährter Methoden von Kubernetes, die von Azure Kubernetes Service (AKS) empfohlen werden. Am besten verwenden Sie Schutzmaßnahmen für die Bereitstellung, um diese Richtlinieninitiative zuzuweisen: https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On für AKS ist eine Voraussetzung für die Anwendung dieser bewährten Methoden auf Ihre Cluster. Anweisungen zum Aktivieren des Azure Policy-Add-Ons finden Sie unter aka.ms/akspolicydoc | 27 | 3.0.0 |
| Kubernetes cluster pod security baseline standards for Linux-based workloads | Diese Initiative enthält die Richtlinien für die grundlegenden Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes Cluster pod security restricted standards for Linux-based workloads | Diese Initiative enthält die Richtlinien für die eingeschränkten Sicherheitsstandards für Kubernetes-Clusterpods. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Richtliniendefinitionen
Microsoft. ContainerService
| Name (Azure Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: [Bildintegrität] Kubernetes-Cluster dürfen nur Bilder verwenden, die mit Notation signiert sind | Verwenden Sie mit Notation signierte Bilder, um sicherzustellen, dass Bilder aus vertrauenswürdigen Quellen stammen und nicht böswillig geändert werden. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | Überwachung, deaktiviert | 1.1.0-preview |
| [Vorschau]: Azure Backup Erweiterung sollte in AKS-Clustern installiert werden | Stellen Sie sicher, dass die Installation der Sicherungserweiterung in Ihren AKS-Clustern geschützt ist, um Azure Backup zu nutzen. Azure Backup für AKS ist eine sichere und cloudeigene Datenschutzlösung für AKS-Cluster | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Azure Backup sollte für AKS-Cluster aktiviert sein | Stellen Sie den Schutz Ihrer AKS-Cluster sicher, indem Sie Azure Backup aktivieren. Azure Backup für AKS ist eine sichere und cloudeigene Datenschutzlösung für AKS-Cluster. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Azure Kubernetes Service verwaltete Cluster sollten zonenredundant sein | Azure Kubernetes Service verwaltete Cluster können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Die Richtlinie überprüft die Knotenpools im Cluster und stellt sicher, dass Verfügbarkeitszonen für alle Knotenpools festgelegt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Bereitstellen der Imageintegrität auf Azure Kubernetes Service | Stellen Sie sowohl Imageintegrität als auch Richtlinien Add-Ons Azure Kubernetes-Cluster bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-integrity. | DeployIfNotExists, deaktiviert | 1.2.0-preview |
| [Vorschau]: Installieren Azure Backup Erweiterung in AKS-Clustern (verwalteter Cluster) mit einem bestimmten Tag. | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern, die ein bestimmtes Tag enthalten. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Installieren Azure Backup Erweiterung in AKS-Clustern (verwalteter Cluster) ohne ein bestimmtes Tag. | Die Installation der Azure Backup-Erweiterung ist eine Voraussetzung für den Schutz Ihrer AKS-Cluster. Erzwingen der Installation der Sicherungserweiterung auf allen AKS-Clustern ohne einen bestimmten Tagwert. Auf diese Weise können Sie die Sicherung von AKS-Clustern im großen Stil verwalten. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Kubernetes-Clustercontainer sollten nur zulässige Sysctl-Schnittstellen verwenden | Container sollten nur zulässige Sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Kubernetes-Cluster sollte präzise Budgets für die Unterbrechung von Pods implementieren | Verhindert fehlerhafte Pod-Unterbrechungsbudgets und stellt so eine minimale Anzahl betriebsbereiter Pods sicher. Details dazu finden Sie in der offiziellen Kubernetes-Dokumentation. Basiert auf der Gatekeeper-Datenreplikation und synchronisiert alle Ressourcen "Deployment", "StatefulSet" und "PodDisruptionBudget", die in OPA unterteilt sind. Stellen Sie vor der Anwendung dieser Richtlinie sicher, dass die synchronisierten Ressourcen Ihre Arbeitsspeicherkapazität nicht belasten. Alle Ressourcen dieser Art werden in allen Namespaces synchronisiert. Hinweis: Derzeit in der Vorschau für Kubernetes Service (AKS). | Überprüfen, Verweigern, Deaktiviert | 1.3.1-preview |
| [Vorschau]: Kubernetes-Cluster sollen das Erstellen des angegebenen Ressourcentyps einschränken. | Der angegebene Kubernetes-Ressourcentyp sollte in bestimmten Namespaces nicht bereitgestellt werden. | Überprüfen, Verweigern, Deaktiviert | 2.3.0-preview |
| [Vorschau]: Verhindert, dass Container als Stamm ausgeführt werden, indem „runAsNotRoot“ auf „true“ festgelegt wird. | Das Festlegen von runAsNotRoot auf „true“ erhöht die Sicherheit, indem Container daran gehindert werden, als Stamm ausgeführt zu werden. | Mutieren, deaktiviert | 1.1.0-preview |
| [Vorschau]: Verhindert, dass init-Container als Stamm ausgeführt werden, indem „runAsNotRoot“ auf „true“ festgelegt wird. | Das Festlegen von runAsNotRoot auf „true“ erhöht die Sicherheit, indem Container daran gehindert werden, als Stamm ausgeführt zu werden. | Mutieren, deaktiviert | 1.1.0-preview |
| [Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clustercontainern auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.1.0-preview |
| [Vorschau:] Legt den Profiltyp für den sicheren Berechnungsmodus von Kubernetes-Clustercontainern auf RuntimeDefault fest, falls nicht vorhanden. | Festlegen des Profiltyps für den sicheren Berechnungsmodus für Container, um nicht autorisierte und potenziell schädliche Systemaufrufe an den Kernel aus dem Benutzerbereich zu verhindern. | Mutieren, deaktiviert | 1.2.0-preview |
| [Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clusterstartcontainern auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.1.0-preview |
| [Vorschau:] Legt den Profiltyp für den sicheren Berechnungsmodus von Kubernetes-Clusterstartcontainern auf RuntimeDefault fest, falls nicht vorhanden. | Festlegen des Profiltyps für den sicheren Computermodus für Startcontainer, um nicht autorisierte und potenziell schädliche Systemaufrufe an den Kernel aus dem Benutzerbereich zu verhindern. | Mutieren, deaktiviert | 1.2.0-preview |
| [Vorschau:] Legt securityContext.runAsUser-Felder in Kubernetes-Clusterpods auf „1000“ fest, eine Benutzer-ID, die nicht Root ist | Verringert die Angriffsfläche, die durch Eskalieren von Berechtigungen als Rootbenutzer in Anwesenheit von Sicherheitsrisiken eingeführt wird. | Mutieren, deaktiviert | 1.1.0-preview |
| [Vorschau:] Legt die Berechtigungseskalation in der Podspezifikation in Startcontainern auf „false“ fest. | Das Festlegen der Berechtigungseskalation auf „false“ in Startcontainern erhöht die Sicherheit, indem Container die Berechtigungseskalation verhindern, z. B. über set-user-ID oder set-group-ID im Dateimodus. | Mutieren, deaktiviert | 1.2.0-preview |
| [Vorschau:] Legt die Berechtigungseskalation in der Podspezifikation auf „false“ fest. | Das Festlegen der Berechtigungseskalation auf „false“ erhöht die Sicherheit, indem Container die Berechtigungseskalation verhindern, z. B. über set-user-ID oder set-group-ID im Dateimodus. | Mutieren, deaktiviert | 1.2.0-preview |
| [Vorschau]: Legt "UnhealthyPodEvictionPolicy" auf "AlwaysAllow" | Legt pod Disruption Budget's UnhealthyPodEvictionPolicy auf 'AlwaysAllow' fest, um sogar ungesunde Pods beim Ausführen der Clusterverwaltung zuzulassen | Mutieren, deaktiviert | 1.1.0-preview |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Überwachung, deaktiviert | 2.0.1 |
| Azure Kubernetes-Cluster sollten SSH deaktivieren | Durch die Deaktivieren von SSH können Sie Ihren Cluster sichern und die Angriffsfläche reduzieren. Weitere Informationen finden Sie unter: aka.ms/aks/disablessh | Überwachung, deaktiviert | 1.0.0 |
| Die Container Storage Interface (CSI) ist ein Standard zum Verfügbarmachen beliebiger Block- und Dateispeichersysteme für containerisierte Workloads auf Azure Kubernetes Service. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Überwachung, deaktiviert | 1.0.0 | |
| Verwenden Sie den Schlüsselverwaltungsdienst (Key Management Service, KMS), um ruhende Geheimnisdaten in etcd für die Kubernetes-Clustersicherheit zu verschlüsseln. Weitere Informationen finden Sie unter https://aka.ms/aks/kmsetcdencryption. | Überwachung, deaktiviert | 1.1.0 | |
| Azure CNI ist eine Voraussetzung für einige Azure Kubernetes Service Features, einschließlich Azure Netzwerkrichtlinien, Windows Knotenpools und virtuellen Knoten-Add-Ons. Weitere Informationen finden Sie unter: https://aka.ms/aks-azure-cni | Überwachung, deaktiviert | 1.0.1 | |
| Erkennen und melden Sie alle AKS-Cluster, die keine Mitglieder eines Azure Kubernetes Fleet Manager sind. Weitere Informationen finden Sie hier: https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, Deaktiviert | 1.0.0 | |
| Azure Kubernetes Service Cluster sollten Befehlsaufrufe deaktivieren | Das Deaktivieren von Befehlsaufrufen kann die Sicherheit erhöhen, da die Umgehung des eingeschränkten Netzwerkzugriffs oder der rollenbasierten Zugriffssteuerung von Kubernetes vermieden wird. | Überwachung, deaktiviert | 1.0.1 |
| Azure Kubernetes Service Cluster sollten das automatische Upgrade des Clusters aktivieren | Das automatische Upgrade von AKS-Clustern kann sicherstellen, dass Ihre Cluster auf dem neuesten Stand sind und Sie die neuesten AKS-Features oder Patches von AKS und der Upstreamversion von Kubernetes nicht verpassen. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Überwachung, deaktiviert | 1.0.0 |
| Azure Kubernetes Service Cluster sollten Image Cleaner aktivieren | Image Cleaner führt die automatische Erkennung und Entfernung von anfälligen und unbenutzten Images durch, sodass das Risiko veralteter Images verringert und die Zeit für das Bereinigen reduziert wird. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | Überwachung, deaktiviert | 1.0.0 |
| Azure Kubernetes Service Cluster sollten Microsoft Entra ID Integration aktivieren | Die AKS-verwaltete Microsoft Entra ID-Integration kann den Zugriff auf die Cluster verwalten, indem kubernetes rollenbasierte Zugriffssteuerung (Kubernetes RBAC) basierend auf der Identitäts- oder Verzeichnisgruppenmitgliedschaft eines Benutzers konfiguriert wird. Weitere Informationen finden Sie unter https://aka.ms/aks-managed-aad. | Überwachung, deaktiviert | 1.0.2 |
| Azure Kubernetes Service Cluster sollten das automatische Upgrade des Knotenbetriebssystems aktivieren | Das automatische Upgrade des AKS-Knotens steuert Betriebssystem-Sicherheitsupdates auf Knotenebene. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Überwachung, deaktiviert | 1.0.0 |
| Azure Kubernetes Service Cluster sollten die Workloadidentität aktivieren | Die Workload-Identität ermöglicht es, jedem Kubernetes-Pod eine eindeutige Identität zuzuweisen und sie Azure AD-geschützten Ressourcen wie Azure Key Vault zuzuordnen, wodurch der sichere Zugriff auf diese Ressourcen innerhalb des Pods ermöglicht wird. Weitere Informationen finden Sie unter https://aka.ms/aks/wi. | Überwachung, deaktiviert | 1.0.0 |
| Azure Kubernetes Service-Cluster sollten Defender Profil aktiviert sein | Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie securityProfile.AzureDefender auf Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent für Ihren Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Überwachung, deaktiviert | 2.0.1 |
| Azure Kubernetes Service Cluster sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Azure Kubernetes Service Cluster ausschließlich Azure Active Directory Identitäten für die Authentifizierung erfordern sollten. Weitere Informationen finden Sie unter https://aka.ms/aks-disable-local-accounts. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Kubernetes Service Cluster sollten verwaltete Identitäten verwenden | Verwenden Sie verwaltete Identitäten, um Dienstprinzipale zu umschließen, die Clusterverwaltung zu vereinfachen und die Komplexität zu vermeiden, die für verwaltete Dienstprinzipale erforderlich ist. Weitere Informationen finden Sie unter: https://aka.ms/aks-update-managed-identities | Überwachung, deaktiviert | 1.0.1 |
| Azure Kubernetes Service Private Cluster sollten aktiviert sein | Aktivieren Sie das Private Cluster-Feature für Ihren Azure Kubernetes Service Cluster, um sicherzustellen, dass der Netzwerkverkehr zwischen Ihrem API-Server und Ihren Knotenpools nur im privaten Netzwerk verbleibt. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | Azure Policy Add-On für Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen Dienstanbieter-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster zentral und einheitlich anzuwenden. | Überwachung, deaktiviert | 1.0.2 |
| Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Both-Betriebssysteme und Datenträger in Azure Kubernetes Service Clustern sollten durch vom Kunden verwaltete Schlüssel verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Einzelne Knoten können nicht bearbeitet werden. | Einzelne Knoten können nicht bearbeitet werden. Benutzer*innen sollten einzelne Knoten nicht bearbeiten. Bearbeiten Sie Knotenpools. Das Ändern einzelner Knoten kann zu inkonsistenten Einstellungen, betrieblichen Herausforderungen und potenziellen Sicherheitsrisiken führen. | Überprüfen, Verweigern, Deaktiviert | 1.3.1 |
| Configure AKS-Cluster, um den angegebenen Azure Kubernetes Fleet Manager automatisch zu verbinden | Erkennen und sicherstellen, dass AKS-Cluster einem bestimmten Azure Kubernetes Fleet Manager beitreten. Wählen Sie optional ein Nachschlagetag aus, um anzugeben, welcher Flottenaktualisierungsgruppe beitreten soll. Weitere Informationen finden Sie hier: https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Azure Kubernetes Service Cluster, um Defender Profil zu aktivieren | Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie securityProfile aktivieren. Defender auf Ihrem Azure Kubernetes Service Cluster wird ein Agent für Ihren Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, deaktiviert | 4.3.0 |
| Konfigurieren der Installation der Flux-Erweiterung im Kubernetes-Cluster | Installieren Sie die Flux-Erweiterung im Kubernetes-Cluster, um die Bereitstellung von „fluxconfigurations“ im Cluster zu aktivieren. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Bucketquelle und Geheimnissen in Key Vault | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition ist ein Bucket SecretKey erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Zertifikat der Zertifizierungsstelle | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein HTTPS-Zertifikat der Zertifizierungsstelle erforderlich. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und HTTPS-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert einen in Key Vault gespeicherten HTTPS-Schlüsselschlüssel. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels Git-Repository und SSH-Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition ist ein geheimer SSH-Schlüssel erforderlich, der in Key Vault gespeichert ist. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit Flux v2-Konfiguration mittels einem öffentlichen Git-Repository | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Konfigurieren von Kubernetes-Clustern mit der angegebenen Flux v2-Bucketquelle mittels lokalen Geheimnissen | Hiermit wird durch eine Bereitstellung von „fluxConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Bucket abrufen. Für diese Definition sind lokale Authentifizierungsgeheimnisse erforderlich, die im Kubernetes-Cluster gespeichert sind. Anweisungen finden Sie unter https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von HTTPS-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert HTTPS-Benutzer und Schlüsselschlüssel, die in Key Vault gespeichert sind. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Clustern mit der angegebenen GitOps-Konfiguration ohne Verwendung von Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Für diese Definition werden keine Geheimnisse benötigt. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Kubernetes-Cluster mit der angegebenen GitOps-Konfiguration unter Verwendung von SSH-Geheimnissen konfigurieren | Hiermit wird durch eine Bereitstellung von „sourceControlConfiguration“ für Kubernetes-Cluster sichergestellt, dass die Cluster ihre SSOT (Single Source of Truth) für Workloads und Konfigurationen aus dem definierten Git-Repository abrufen. Diese Definition erfordert einen geheimen SSH-Schlüssel in Key Vault. Anweisungen finden Sie unter https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, deaktiviert, Deaktiviert | 1.1.0 |
| Configure Microsoft Entra ID integrierten Azure Kubernetes Service Cluster mit erforderlichem Administratorgruppenzugriff | Stellen Sie sicher, dass sie die Clustersicherheit verbessern, indem Sie den Administratorzugriff auf Microsoft Entra ID integrierten AKS-Cluster zentral steuern. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Configure Node OS Auto Upgrade auf Azure Kubernetes Cluster | Verwenden Sie das automatische Upgrade des Knotenbetriebssystems, um Betriebssystem-Sicherheitsupdates auf Knotenebene von Azure Kubernetes Service (AKS) Clustern zu steuern. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Deploy – Konfigurieren von Diagnoseeinstellungen für Azure Kubernetes Service zum Log Analytics Arbeitsbereich | Stellt die Diagnoseeinstellungen für Azure Kubernetes Service bereit, um Ressourcenprotokolle in einen Log Analytics Arbeitsbereich zu streamen. | DeployIfNotExists, deaktiviert | 3.0.0 |
| Deploy Azure Policy Add-On für Azure Kubernetes Service Cluster | Verwenden Sie Azure Policy-Add-On, um den Compliancestatus Ihrer Azure Kubernetes Service (AKS)-Cluster zu verwalten und zu melden. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | DeployIfNotExists, deaktiviert | 4.2.0 |
| Deploy Image Cleaner auf Azure Kubernetes Service | Stellen Sie Image Cleaner auf Azure Kubernetes-Clustern bereit. Weitere Informationen finden Sie unter https://aka.ms/aks/image-cleaner. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Deploy Planned Maintenance to schedule and control upgrades for your Azure Kubernetes Service (AKS) cluster | Mit der geplanten Wartung können Sie wöchentliche Wartungsfenster planen, um Updates durchzuführen und die Auswirkungen auf Workloads zu minimieren. Nach der Planung werden Upgrades nur noch während des festgelegten Zeitfensters durchgeführt. Weitere Informationen finden Sie unter: https://aka.ms/aks/planned-maintenance | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Disable Command Invoke on Azure Kubernetes Service clusters | Das Deaktivieren des Befehlsaufrufs kann die Sicherheit erhöhen, da der Befehlsaufrufzugriff auf den Cluster abgelehnt wird. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Stellen Sie sicher, dass für Clustercontainer Bereitschafts- oder Livetests konfiguriert sind | Diese Richtlinie erzwingt, dass für alle Pods Bereitschafts- und/oder Livetests konfiguriert sind. Testtypen können tcpSocket, httpGet und exec sein. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Anweisungen zur Verwendung dieser Richtlinie finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 3.3.0 |
| Kubernetes-Clustercontainerimages müssen den PreStop-Hook enthalten | Erfordert, dass Containerimages einen PreStop-Hook enthalten, um Prozesse während des Herunterfahrens von Pods ordnungsgemäß zu beenden. | Überprüfen, Verweigern, Deaktiviert | 1.1.1 |
| Kubernetes-Clustercontainerimages sollten nicht das neueste Imagetag enthalten | Erfordert, dass Containerimages nicht das neueste Tag in Kubernetes verwenden. Es empfiehlt sich, die Reproduzierbarkeit sicherzustellen, unbeabsichtigte Updates zu verhindern und das Debuggen und Rollbacks mithilfe expliziter Containerimages und Containerimages mit Versionsangabe zu vereinfachen. | Überprüfen, Verweigern, Deaktiviert | 2.0.1 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Kubernetes-Clustercontainer CPU- und Speicherressourcenanforderungen müssen definiert werden | Erzwingen Sie CPU- und Speicherressourcenanforderungen des Containers, um sicherzustellen, dass der geplante Knoten über erforderliche Ressourcen verfügt. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-preview |
| Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | Blockieren sie die Freigabe des Hostprozess-ID-Namespace, des Host-IPC-Namespace und des Hostnetzwerknamespaces in einem Kubernetes-Cluster. Diese Empfehlung entspricht den Kubernetes Pod Security Standards für Hostnamespaces und ist Teil von CIS 5.2.1, 5.2.2 und 5.2.3, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 6.0.0 |
| Container in einem Kubernetes-Cluster dürfen keine unzulässigen sysctl-Schnittstellen verwenden | Hiermit wird verhindert, dass Container unzulässige sysctl-Schnittstellen in einem Kubernetes-Cluster verwenden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Kubernetes-Clustercontainer sollten nur Bilder abrufen, wenn geheime Image-Pullschlüssel vorhanden sind | Schränkt das Pullen von Images durch den Container ein, um das Vorhandensein von ImagePullSecrets zu erzwingen und damit einen sicheren und autorisierten Zugriff auf Images in einem Kubernetes-Cluster sicherzustellen | Überprüfen, Verweigern, Deaktiviert | 1.3.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Container in einem Kubernetes-Cluster dürfen nur einen zulässigen ProcMountType verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene ProcMountTypes in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Kubernetes-Clustercontainer dürfen nur zulässige Pullrichtlinien verwenden. | Einschränken der Pullrichtlinie von Containern, um zu erzwingen, dass Container nur zulässige Images für Bereitstellungen verwenden | Überprüfen, Verweigern, Deaktiviert | 3.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige seccomp-Profile verwenden | Hiermit wird sichergestellt, dass Podcontainer nur zugelassene seccomp-Profile in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Pods in einem Kubernetes-Cluster dürfen nur zulässige FlexVolume-Volumes verwenden | Hiermit wird sichergestellt, dass FlexVolume-Podvolumes in einem Kubernetes-Cluster nur zugelassene Treiber verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist allgemein für Kubernetes Service (AKS) und Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Kubernetes-Cluster-Pods und -Container sollten seLinux-Sicherheitsstandards entsprechen | Diese Richtlinie erzwingt Kubernetes Pod-Sicherheitsstandards für SELinux-Optionen. Im PSS-Modus müssen die Felder "Benutzer" und "Rolle" leer sein, und das Feld "Typ" muss einer der zulässigen Werte sein. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 8.0.0 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Pods in Kubernetes-Clustern dürfen nur zulässige Volumetypen verwenden | Hiermit wird sichergestellt, dass Pods nur zugelassene Volumetypen in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | Einschränken des Podzugriffs auf das Hostnetzwerk und die zulässigen Hostports in einem Kubernetes-Cluster. Diese Empfehlung ist Teil von CIS 5.2.4, das die Sicherheit Ihrer Kubernetes-Umgebungen verbessern und mit Pod Security Standards (PSS) für hostPorts übereinstimmt. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 7.0.0 |
| Pods in einem Kubernetes-Cluster müssen die angegebenen Bezeichnungen verwenden | Hiermit werden die angegebenen Bezeichnungen verwendet, um die Pods in einem Kubernetes-Cluster zu identifizieren. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Von Kubernetes-Clusterdiensten dürfen nur zulässige externe IP-Adressen verwendet werden. | Verwenden Sie zulässige externe IP-Adressen, um den potenziellen Angriff (CVE-2020-8554) in einem Kubernetes-Cluster zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Clusterdienste sollten eindeutige Selektoren verwenden | Stellen Sie sicher, dass Dienste in einem Namespace eindeutige Selektoren haben. Eine eindeutige Dienstauswahl stellt sicher, dass jeder Dienst innerhalb eines Namespace basierend auf bestimmten Kriterien eindeutig identifizierbar ist. Diese Richtlinie synchronisiert Dienstressourcen über Gatekeeper in OPA. Prüfen Sie vor der Anwendung, ob die Speicherkapazität von Gatekeeper-Pods nicht überschritten wird. Parameter gelten für bestimmte Namespaces, synchronisiert aber alle Ressourcen dieses Typs in allen Namespaces. Derzeit in der Vorschau für Kubernetes Service (AKS). | Überprüfen, Verweigern, Deaktiviert | 1.2.2 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Kubernetes-Cluster sollten keine Naked Pods verwenden | Blockieren Sie die Verwendung von Naked Pods. Naked Pods werden im Falle eines Knotenausfalls nicht neu geplant. Pods sollten durch Deployment, Replicset, Daemonset oder Jobs verwaltet werden. | Überprüfen, Verweigern, Deaktiviert | 2.3.1 |
| Kubernetes-Cluster Windows Container sollten cpu und Arbeitsspeicher nicht außer Kraft setzen | Windows Containerressourcenanforderungen sollten kleiner oder gleich dem Ressourcenlimit oder nicht angegeben sein, um außer Kraft zu setzen. Wenn Windows Arbeitsspeicher überlastet ist, verarbeitet er Seiten auf dem Datenträger , was die Leistung verlangsamen kann, anstatt den Container mit außerhalb des Arbeitsspeichers zu beenden. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 |
| Kubernetes-Cluster Windows Container sollten nicht als ContainerAdministrator ausgeführt werden | Verhindern Sie die Verwendung von ContainerAdministrator als Benutzer, um die Containerprozesse für Windows Pods oder Container auszuführen. Diese Empfehlung soll die Sicherheit von Windows Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Kubernetes-Cluster Windows Container sollten nur mit genehmigter Benutzer- und Domänenbenutzergruppe ausgeführt werden | Steuern Sie den Benutzer, den Windows Pods und Container zum Ausführen in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Pod-Sicherheitsrichtlinien auf Windows Knoten, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 |
| Kubernetes-Cluster Windows Pods sollten keine HostProcess-Container ausführen | Verhindern Sie den privilegierten Zugriff auf den Windows-Knoten. Diese Empfehlung soll die Sicherheit von Windows Knoten verbessern. Weitere Informationen finden Sie unter https://kubernetes.io/docs/concepts/windows/intro/. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit allgemein für Kubernetes Service (AKS) und in der Vorschau für Azure Arc aktivierte Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 9.0.0 |
| Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Kubernetes-Cluster sollten sicherstellen, dass die Rolle „Clusteradministrator*in“ nur bei Bedarf verwendet wird | Die Rolle „Clusteradministrator*in“ bietet umfassende Befugnisse über die Umgebung und sollte nur bei Bedarf verwendet werden. | Überwachung, deaktiviert | 1.1.0 |
| Kubernetes-Cluster sollten die Verwendung von Platzhaltern in Rollen und Clusterrollen minimieren | Die Verwendung des Platzhalterzeichens „*“ kann ein Sicherheitsrisiko darstellen, da es umfassende Berechtigungen gewährt, die für eine bestimmte Rolle möglicherweise nicht erforderlich sind. Wenn eine Rolle über zu viele Berechtigungen verfügt, kann sie von Angreifer*innen oder kompromittierten Benutzer*innen missbraucht werden, um nicht autorisierten Zugriff auf Ressourcen im Cluster zu erhalten. | Überwachung, deaktiviert | 1.1.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 8.0.0 |
| Kubernetes-Cluster dürfen keine Berechtigungen zum Bearbeiten von Endpunkten von ClusterRole/System zulassen: Aggregate-to-Edit | ClusterRole/System: „Aggregate-to-Edit“ darf keine Berechtigungen zum Bearbeiten von Endpunkten zulassen, da aufgrund von CVE-2021-25740 EndPoint- und EndpointSlice-Berechtigungen die namespaceübergreifende Weiterleitung zulassen (https://github.com/kubernetes/kubernetes/issues/103675). Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überwachung, deaktiviert | 3.2.0 |
| Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen keine spezifischen Sicherheitsfunktionen verwenden | Unterbinden Sie bestimmte Sicherheitsfunktionen in Kubernetes-Clustern, um nicht erteilte Berechtigungen für die Podressource zu vermeiden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
| Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Kubernetes-Cluster sollten Host ingress-Ressourcenregeln angeben | Stellen Sie sicher, dass Sie hostingresse Ressourcenregeln angeben, um unbeabsichtigte Gefährdung von Back-End-Diensten für nicht autorisierten Zugriff zu verhindern. Diese Richtlinie wertet Kubernetes Ingress-Ressourcen aus, um sicherzustellen, dass jede Regel über ein angegebenes Hostfeld verfügt. | Überprüfen, Verweigern, Deaktiviert | 1.1.0-preview |
| Kubernetes-Cluster sollten Container Storage Interface(CSI)-Treiber StorageClass verwenden | Container Storage Interface (CSI) ist ein Standard für die Bereitstellung beliebiger Block- und Dateispeichersysteme für containerisierte Workloads in Kubernetes. Die In-Tree-Provisioner-StorageClass sollte seit AKS-Version 1.21 veraltet sein. Weitere Informationen finden Sie unter https://aka.ms/aks-csi-driver | Überprüfen, Verweigern, Deaktiviert | 2.3.0 |
| Kubernetes-Cluster müssen interne Lastenausgleichsmodule verwenden | Hiermit wird über interne Lastenausgleichsmodule sichergestellt, dass eine Kubernetes Service-Instanz nur für Anwendungen zugänglich sind, die im selben virtuellen Netzwerk wie der Kubernetes-Cluster ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Kubernetes-Ressourcen sollten die erforderlichen Anmerkungen haben | Stellen Sie sicher, dass erforderliche Anmerkungen an eine bestimmte Kubernetes-Ressourcenart angefügt werden, um die Ressourcenverwaltung Ihrer Kubernetes-Ressourcen zu verbessern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 3.2.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Überwachung, deaktiviert | 1.0.2 |
| Müssen Antiaffinitätsregeln oder Topologie-Spreadeinschränkungen festgelegt sein | Diese Richtlinie stellt sicher, dass Pods auf verschiedenen Knoten innerhalb des Clusters geplant werden. Durch das Erzwingen von Antiaffinitätsregeln oder Podtopologie-Spreadeinschränkungen wird die Verfügbarkeit auch dann beibehalten, wenn einer der Knoten nicht mehr verfügbar ist. Pods werden weiterhin auf anderen Knoten ausgeführt, wodurch die Resilienz verbessert wird. | Überprüfen, Verweigern, Deaktiviert | 1.2.2 |
| K8s-Container stummschalten, um alle Funktionen abzulegen | Ändert „securityContext.capabilities.drop“ zum Hinzufügen unter „ALL“. Dadurch werden alle Funktionen für k8s-Linux-Container gelöscht. | Mutieren, deaktiviert | 1.2.1 |
| K8s Init-Container stummschalten, um alle Funktionen abzulegen | Ändert „securityContext.capabilities.drop“ zum Hinzufügen unter „ALL“. Dadurch werden alle Funktionen für k8s-Linux-Init-Container gelöscht. | Mutieren, deaktiviert | 1.2.1 |
| Keine AKS-spezifischen Bezeichnungen | Verhindert, dass Kunden AKS-spezifische Bezeichnungen anwenden. AKS verwendet Bezeichnungen mit dem Präfix kubernetes.azure.com, um AKS-eigene Komponenten zu kennzeichnen. Der Kunde sollte diese Bezeichnungen nicht verwenden. |
Überprüfen, Verweigern, Deaktiviert | 1.2.1 |
| Druckt eine Nachricht, wenn eine Mutation angewendet wird | Sucht nach den angewandten Mutationsanmerkungen und gibt eine Nachricht aus, wenn eine Anmerkung vorhanden ist. | Überwachung, deaktiviert | 1.2.1 |
| Reservierte Systempool-Taints | Beschränkt den CriticalAddonsOnly-Taint auf nur den Systempool. AKS verwendet den CriticalAddonsOnly-Taint, um Kunden-Pods vom Systempool fernzuhalten. Sie sorgt für eine klare Trennung zwischen AKS-Komponenten und Kunden-Pods, und verhindert, dass Kunden-Pods entfernt werden, wenn sie den CriticalAddonsOnly-Taint nicht tolerieren. | Überprüfen, Verweigern, Deaktiviert | 1.2.1 |
| Protokolle in Azure Kubernetes Service sollten aktiviert sein | Die Ressourcenprotokolle von Azure Kubernetes Service können beim Untersuchen von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Beschränkt den CriticalAddonsOnly-Taint auf den Systempool. | Um die Entfernung von Benutzer-Apps aus Benutzerpools zu vermeiden und die Trennung von Bedenken zwischen den Benutzer- und Systempools aufrechtzuerhalten, sollte der Taint „CriticalAddonsOnly“ nicht auf Benutzerpools angewendet werden. | Mutieren, deaktiviert | 1.3.1 |
| Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | Verwenden Sie Role-Based Access Control (RBAC) zum Verwalten von Berechtigungen in Kubernetes-Dienstclustern und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. | Überwachung, deaktiviert | 1.1.0 |
| Legt automountServiceAccountToken in der Pod-Spezifikation in Containern auf "false" fest. | Das Festlegen von automountServiceAccountToken auf „false“ erhöht die Sicherheit, indem die standardmäßige automatische Bereitstellung von Dienstkontotoken vermieden wird. | Mutieren, deaktiviert | 1.2.1 |
| Legt CPU-Grenzwerte für Kubernetes-Clustercontainer auf Standardwerte fest, falls nicht vorhanden. | Um Ressourcenauslastungsgsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für die Container-CPU festgelegt. | Mutieren, deaktiviert | 1.3.1 |
| Legt Speicherbeschränkungen für Kubernetes-Clustercontainer auf Standardwerte fest, falls nicht vorhanden. | Um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern, werden Grenzwerte für den Containerarbeitsspeicher festgelegt. | Mutieren, deaktiviert | 1.3.1 |
| Legt "maxUnavailable pods" auf 1 für PodDisruptionBudget-Ressourcen fest. | Durch das Festlegen des maximal nicht verfügbaren Pod-Werts auf 1 wird sichergestellt, dass Ihre Anwendung oder Ihr Dienst während einer Unterbrechung verfügbar ist | Mutieren, deaktiviert | 1.3.1 |
| Legt "readOnlyRootFileSystem" in der Pod-Spezifikation in init-Containern auf "true" fest, wenn sie nicht festgelegt ist. | Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben. Dies funktioniert nur mit Linux-Containern. | Mutieren, deaktiviert | 1.3.1 |
| Legt "readOnlyRootFileSystem" in der Pod-Spezifikation auf "true" fest, wenn sie nicht festgelegt ist. | Das Festlegen von readOnlyRootFileSystem auf „true" erhöht die Sicherheit, indem Container daran gehindert werden, in das Stammdateisystem zu schreiben | Mutieren, deaktiviert | 1.3.1 |
| Temp-Datenträger und Cache für Agentknotenpools in Azure Kubernetes Service Clustern sollten auf host verschlüsselt werden | Um die Datensicherheit zu verbessern, sollten die daten, die auf dem VM-Host (Virtual Machine) Ihrer Azure Kubernetes Service Knoten-VMs gespeichert sind, im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
Nächste Schritte
- Weitere Informationen finden Sie in den integrierten Azure Policy GitHub-Repository.
- Überprüfen Sie die Azure Policy-Definitionsstruktur.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.