Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per servizio Azure Kubernetes. Per altre Criteri di Azure predefinite per altri servizi, vedere Criteri di Azure definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
Iniziative
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: usare l'integrità dell'immagine per assicurarsi che vengano distribuite solo immagini attendibili | Usare l'integrità delle immagini per garantire che i cluster del servizio Azure Kubernetes distribuiscano solo immagini attendibili abilitando l'integrità dell'immagine e Criteri di Azure Add-Ons nei cluster del servizio Azure Kubernetes. L'integrità dell'immagine Add-On e Criteri di Azure Add-On sono entrambi prerequisiti per l'uso dell'integrità dell'immagine per verificare se l'immagine è firmata al momento della distribuzione. Per altre info, visitare https://aka.ms/aks/image-integrity | 3 | 1.1.0-preview |
| [Anteprima]: il cluster Kubernetes deve seguire le raccomandazioni sul controllo di sicurezza del benchmark Kubernetes center for Internet Security (CIS | Questa iniziativa include le politiche per la raccomandazione sulla sicurezza del riferimento Kubernetes del Centro per la Sicurezza di Internet (CIS); è possibile usare questa iniziativa per mantenere la conformità con il riferimento Kubernetes CIS. Per altre informazioni sulla conformità CIS, visitare: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-preview |
| le misure di sicurezza di Deployment dovrebbero aiutare gli sviluppatori a seguire le procedure consigliate per il servizio Azure Kubernetes | Raccolta di procedure consigliate per Kubernetes consigliate da Servizio Azure Kubernetes (AKS). Per un'esperienza ottimale, usare le misure di sicurezza della distribuzione per assegnare questa iniziativa di politiche: https://aka.ms/aks/deployment-safeguards. Criteri di Azure Add-On per il servizio Azure Kubernetes è un prerequisito per l'applicazione di queste procedure consigliate ai cluster. Per istruzioni sull'abilitazione del componente aggiuntivo Criteri di Azure, passare a aka.ms/akspolicydoc | 27 | 3.0.0 |
| Kubernetes standard di base per la sicurezza dei pod del cluster per carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard baseline di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes cluster con restrizioni standard di sicurezza dei pod per carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard limitati di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definizioni dei criteri
Microsoft. ContainerService
| Nome (portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: [Integrità immagine] I cluster Kubernetes devono usare solo immagini firmate dalla notazione | Usare le immagini firmate dalla notazione per assicurarsi che le immagini provengano da origini attendibili e non vengano modificate in modo dannoso. Per altre info, visitare https://aka.ms/aks/image-integrity | Controllo, Disabilitato | 1.1.0-preview |
| [Anteprima]: Backup di Azure Estensione deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i cluster del servizio Azure Kubernetes | Garantire la protezione dei cluster del servizio Azure Kubernetes abilitando Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: i cluster gestiti di servizio Azure Kubernetes devono essere ridondanti della zona | servizio Azure Kubernetes i cluster gestiti possono essere configurati in modo che siano ridondanti o meno della zona. I criteri controllano i pool di nodi nel cluster e assicurano che le zone di disponibilità siano impostate per tutti i pool di nodi. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: Distribuire l'integrità delle immagini in servizio Azure Kubernetes | Distribuire sia l'integrità delle immagini che i criteri Add-Ons Azure cluster Kubernetes. Per altre info, visitare https://aka.ms/aks/image-integrity | DistribuisciSeNonEsiste, Disattivato | 1.2.0-preview |
| [Anteprima]: Installare l'estensione Backup di Azure nei cluster del servizio Azure Kubernetes con un tag specificato. | L'installazione dell'estensione Backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes contenenti un tag specificato. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: Installare l'estensione Backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) senza un tag specificato. | L'installazione dell'estensione Backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes senza un valore di tag specifico. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.0-preview |
| [Anteprima]: i contenitori del cluster Kubernetes devono usare solo interfacce sysctl consentite | I contenitori devono usare solo interfacce sysctl consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: il cluster Kubernetes deve implementare budget accurati di interruzione dei pod | Impedisce budget di interruzione dei pod difettosi, garantendo un numero minimo di pod operativi. Per informazioni dettagliate, vedere la documentazione ufficiale di Kubernetes. Si basa sulla replica dei dati gatekeeper e sincronizza tutte le risorse Deployment, StatefulSet e PodDisruptionBudget con ambito in OPA. Prima di applicare questo criterio, assicurarsi che le risorse sincronizzate non pressioniranno la capacità di memoria. Tutte le risorse di questi tipi in spazi dei nomi verranno sincronizzate. Nota: attualmente in anteprima per il servizio Kubernetes. | Verifica, Nega, Disabilitato | 1.3.1-preview |
| [Anteprima]: I cluster Kubernetes devono limitare la creazione del tipo di risorsa specificato | Il tipo di risorsa Kubernetes specificato non deve essere distribuito in uno spazio dei nomi specifico. | Verifica, Nega, Disabilitato | 2.3.0-preview |
| [Anteprima]: impedisce l'esecuzione dei contenitori come radice impostando runAsNotRoot su true. | L'impostazione di runAsNotRoot su true aumenta la sicurezza impedendo l'esecuzione dei contenitori come radice. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: impedisce l'esecuzione di contenitori init come radice impostando runAsNotRoot su true. | L'impostazione di runAsNotRoot su true aumenta la sicurezza impedendo l'esecuzione dei contenitori come radice. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del cluster Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster Kubernetes su RuntimeDefault, se non è presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta i contenitori del cluster init securityContext.runAsUser del cluster init Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster init Kubernetes su RuntimeDefault, se non presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori init per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del Pod Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod nei contenitori init su False. | L'impostazione dell'escalation dei privilegi su False nei contenitori init aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod su False. | L'impostazione dell'escalation dei privilegi su False aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.2.0-preview |
| [anteprima]: imposta unhealthyPodEvictionPolicy su 'AlwaysAllow' | Imposta l'opzione UnhealthyPodEvictionPolicy del budget di interruzione dei pod su 'AlwaysAllow' per consentire la rimozione di pod persino non integri durante l'esecuzione dell'amministrazione del cluster | Muto, disabilitato | 1.1.0-preview |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Controllo, Disabilitato | 2.0.1 |
| Azure i cluster Kubernetes devono disabilitare SSH | Disabilitando l'SSH è possibile proteggere il cluster e ridurre la superficie di attacco. Per ulteriori informazioni, visitare: aka.ms/aks/disablessh | Controllo, Disabilitato | 1.0.0 |
| Azure i cluster Kubernetes devono abilitare l'interfaccia di archiviazione contenitori (CSI) | L'interfaccia CSI (Container Storage Interface) è uno standard per esporre sistemi arbitrari di archiviazione di blocchi e file a carichi di lavoro in contenitori in servizio Azure Kubernetes. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Controllo, Disabilitato | 1.0.0 |
| Azure i cluster Kubernetes devono abilitare il servizio di gestione delle chiavi (KMS) | Usare il servizio di gestione delle chiavi (KMS) per crittografare i dati segreti inattivi in etcd per la sicurezza del cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/aks/kmsetcdencryption. | Controllo, Disabilitato | 1.1.0 |
| Azure i cluster Kubernetes devono usare Azure CNI | Azure CNI è un prerequisito per alcune funzionalità di servizio Azure Kubernetes, inclusi i criteri di rete Azure, i pool di nodi Windows e il componente aggiuntivo nodi virtuali. Per altre informazioni, vedere: https://aka.ms/aks-azure-cni | Controllo, Disabilitato | 1.0.1 |
| servizio Azure Kubernetes cluster devono essere membri di un Azure Kubernetes Fleet Manager. | Rilevare e segnalare i cluster del servizio Azure Kubernetes che non sono membri di un Azure Kubernetes Fleet Manager. Per altre informazioni, vedere https://aka.ms/kubernetes-fleet/policy | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| servizio Azure Kubernetes Clusters should disable Command Invoke | La disabilitazione di Command Invoke può migliorare la sicurezza evitando il bypass dell'accesso di rete con restrizioni o del controllo degli accessi in base al ruolo di Kubernetes | Controllo, Disabilitato | 1.0.1 |
| servizio Azure Kubernetes I cluster devono abilitare l'aggiornamento automatico del cluster | L'aggiornamento automatico del cluster AKS può assicurarsi che i cluster siano aggiornati e che non vengano perse le funzionalità o le patch più recenti dal servizio Azure Kubernetes e da Kubernetes upstream. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Controllo, Disabilitato | 1.0.0 |
| servizio Azure Kubernetes Cluster devono abilitare Image Cleaner | Image Cleaner esegue l'identificazione e la rimozione automatica delle immagini vulnerabili e inutilizzate, riducendo il rischio di immagini non aggiornate e il tempo necessario per pulirle. Per altre informazioni, vedere https://aka.ms/aks/image-cleaner. | Controllo, Disabilitato | 1.0.0 |
| I cluster servizio Azure Kubernetes devono abilitare l'integrazione Microsoft Entra ID | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere https://aka.ms/aks-managed-aad. | Controllo, Disabilitato | 1.0.2 |
| servizio Azure Kubernetes I cluster devono abilitare l'aggiornamento automatico del sistema operativo del nodo | L'aggiornamento automatico del sistema operativo del nodo del servizio Azure Kubernetes controlla gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Controllo, Disabilitato | 1.0.0 |
| servizio Azure Kubernetes I cluster devono abilitare l'identità del carico di lavoro | L'identità del carico di lavoro consente di assegnare un'identità univoca a ogni pod Kubernetes e associarla a risorse protette di Azure AD, ad esempio Azure Key Vault, consentendo l'accesso sicuro a queste risorse dall'interno del pod. Per altre informazioni, vedere https://aka.ms/aks/wi. | Controllo, Disabilitato | 1.0.0 |
| I cluster servizio Azure Kubernetes devono avere Defender profilo abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controllo, Disabilitato | 2.0.1 |
| servizio Azure Kubernetes I cluster devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che i cluster servizio Azure Kubernetes richiedano esclusivamente identità Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aks-disable-local-accounts. | Verifica, Nega, Disabilitato | 1.0.1 |
| servizio Azure Kubernetes I cluster devono usare identità gestite | Usare le identità gestite per eseguire il wrapping delle entità servizio, semplificare la gestione dei cluster ed evitare la complessità necessaria per le entità servizio gestite. Per altre informazioni, vedere: https://aka.ms/aks-update-managed-identities | Controllo, Disabilitato | 1.0.1 |
| servizio Azure Kubernetes i cluster privati devono essere abilitati | Abilitare la funzionalità cluster privato per il cluster servizio Azure Kubernetes per garantire che il traffico di rete tra il server API e i pool di nodi rimanga solo nella rete privata. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Verifica, Nega, Disabilitato | 1.0.1 |
| Criteri di Azure componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster | Criteri di Azure componente aggiuntivo per il servizio Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. | Controllo, Disabilitato | 1.0.2 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| I dischi dati e i sistemi operativiboth nei cluster servizio Azure Kubernetes devono essere crittografati tramite chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Verifica, Nega, Disabilitato | 1.0.1 |
| Impossibile modificare singoli nodi | Non è possibile modificare singoli nodi. Gli utenti non devono modificare singoli nodi. Modificare i pool di nodi. La modifica di singoli nodi può causare impostazioni incoerenti, sfide operative e potenziali rischi per la sicurezza. | Verifica, Nega, Disabilitato | 1.3.1 |
| Configurare i cluster del servizio Azure Kubernetes per aggiungere automaticamente il Azure Kubernetes Fleet Manager | Rilevare e assicurarsi che i cluster del servizio Azure Kubernetes vengano aggiunti a un determinato Azure Kubernetes Fleet Manager. Facoltativamente, selezionare un tag di ricerca per specificare il gruppo di aggiornamento della flotta da aggiungere. Per altre informazioni, vedere https://aka.ms/kubernetes-fleet/policy | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare i cluster di servizio Azure Kubernetes per abilitare il profilo di Defender | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile. Defender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per contenitori: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DistribuisciSeNonEsiste, Disattivato | 4.3.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando l'origine del contenitore e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e il certificato CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con l'origine del contenitore Flux v2 specificata usando segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti HTTPS | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede i segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti SSH | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 1.1.0 |
| Configurare Microsoft Entra ID cluster di servizio Azure Kubernetes integrati con l'accesso necessario al gruppo di amministrazione | Assicurarsi di migliorare la sicurezza del cluster regolando centralmente l'accesso amministratore ai cluster del servizio Azure Kubernetes integrati Microsoft Entra ID. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'aggiornamento automatico del sistema operativo del nodo in Azure cluster Kubernetes | Usare l'aggiornamento automatico del sistema operativo node per controllare gli aggiornamenti della sicurezza del sistema operativo a livello di nodo dei cluster Servizio Azure Kubernetes (AKS). Per altre info, visitare https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Deploy - Configurare le impostazioni di diagnostica per servizio Azure Kubernetes Log Analytics'area di lavoro | Distribuisce le impostazioni di diagnostica per servizio Azure Kubernetes per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 3.0.0 |
| Deploy Criteri di Azure componente aggiuntivo ai cluster servizio Azure Kubernetes | Usare Criteri di Azure componente aggiuntivo per gestire e segnalare lo stato di conformità dei cluster Servizio Azure Kubernetes (AKS). Per ulteriori informazioni, vedere https://aka.ms/akspolicydoc. | DistribuisciSeNonEsiste, Disattivato | 4.2.0 |
| Deploy Image Cleaner in servizio Azure Kubernetes | Distribuire Image Cleaner nei cluster Kubernetes Azure. Per altre info, visitare https://aka.ms/aks/image-cleaner | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Distribuire la manutenzione pianificata per pianificare e controllare gli aggiornamenti per il cluster Servizio Azure Kubernetes (AKS) | Manutenzione pianificata consente di pianificare le finestre di manutenzione settimanali per eseguire gli aggiornamenti e ridurre al minimo l'impatto del carico di lavoro. Una volta pianificato, gli aggiornamenti vengono eseguiti solo durante la finestra selezionata. Per altre informazioni, vedere: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Disable Command Invoke nei cluster servizio Azure Kubernetes | La disabilitazione di Command Invoke può migliorare la sicurezza rifiutando l'accesso Command Invoke al cluster | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Assicurare che per i contenitori del cluster siano configurati probe di conformità o di attività | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 3.3.0 |
| Le immagini del contenitore del cluster Kubernetes devono includere l'hook preStop | Richiede che le immagini del contenitore includano un hook preStop per terminare normalmente i processi durante gli arresti dei pod. | Verifica, Nega, Disabilitato | 1.1.1 |
| Le immagini del contenitore del cluster Kubernetes non devono includere il tag di immagine più recente | Richiede che le immagini del contenitore non usino il tag più recente in Kubernetes, è consigliabile garantire la riproducibilità, impedire gli aggiornamenti imprevisti e semplificare il debug e il rollback usando immagini del contenitore esplicite e con controllo delle versioni. | Verifica, Nega, Disabilitato | 2.0.1 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| Le richieste di CPU e risorse di memoria dei contenitori del cluster Kubernetes devono essere definite | Applicare le richieste di risorse di CPU e memoria del contenitore per assicurarsi che il nodo pianificato disponga delle risorse necessarie. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | Impedisce ai contenitori di pod di condividere lo spazio dei nomi ID processo host, lo spazio dei nomi IPC host e lo spazio dei nomi della rete host in un cluster Kubernetes. Questa raccomandazione è allineata agli standard di sicurezza dei pod Kubernetes per gli spazi dei nomi host e fa parte di CIS 5.2.1, 5.2.2 e 5.2.3 che sono destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 6.0.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono eseguire il pull delle immagini solo quando sono presenti segreti pull delle immagini | Limitare il pull dell'immagine dei contenitori per applicare la presenza di ImagePullSecrets, garantendo l'accesso sicuro e autorizzato alle immagini all'interno di un cluster Kubernetes | Verifica, Nega, Disabilitato | 1.3.1 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limita i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Verifica, Nega, Disabilitato | 3.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Azure Arc Kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I pod e i contenitori del cluster Kubernetes devono rispettare gli standard di sicurezza SELinux | Questo criterio applica gli standard di sicurezza dei pod Kubernetes per le opzioni SELinux. In modalità PSS i campi 'user' e 'role' devono essere vuoti e il campo 'type' deve essere uno dei valori consentiti. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 8.0.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono utilizzare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | Limitare l'accesso dei pod alla rete host e alle porte host consentite in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes e allineato agli standard di sicurezza dei pod (PSS) per hostPorts. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 7.0.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I servizi cluster Kubernetes devono usare selettori univoci | Verificare che i servizi in uno spazio dei nomi abbiano selettori univoci. Un selettore di servizio univoco garantisce che ogni servizio all'interno di uno spazio dei nomi sia identificabile in modo univoco in base a criteri specifici. Questo criterio sincronizza le risorse del servizio in OPA tramite Gatekeeper. Prima dell'applicazione, verificare che la capacità di memoria dei pod gatekeeper non venga superata. I parametri si applicano a spazi dei nomi specifici, ma sincronizza tutte le risorse di tale tipo in tutti gli spazi dei nomi. Attualmente in anteprima per il servizio Kubernetes. | Verifica, Nega, Disabilitato | 1.2.2 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Verifica, Nega, Disabilitato | 2.3.1 |
| Kubernetes cluster Windows contenitori non devono sovracommettere cpu e memoria | Windows le richieste di risorse del contenitore devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se Windows viene sottoposto a over provisioning, la memoria elabora le pagine nel disco, che può rallentare le prestazioni, invece di terminare il contenitore con memoria insufficiente | Verifica, Nega, Disabilitato | 2.2.0 |
| Kubernetes cluster Windows contenitori non devono essere eseguiti come ContainerAdministrator | Impedire l'utilizzo di ContainerAdministrator come utente per eseguire i processi del contenitore per Windows pod o contenitori. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Verifica, Nega, Disabilitato | 1.2.0 |
| Kubernetes cluster Windows contenitori devono essere eseguiti solo con utenti e gruppi di utenti di dominio approvati | Controllare l'utente che Windows pod e contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows destinati a migliorare la sicurezza degli ambienti Kubernetes. | Verifica, Nega, Disabilitato | 2.2.0 |
| Kubernetes cluster Windows pod non devono eseguire contenitori HostProcess | Impedire l'accesso privilegiato al nodo Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Verifica, Nega, Disabilitato | 1.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Azure Arc Kubernetes abilitato. Per altre info, visitare https://aka.ms/kubepolicydoc | Verifica, Nega, Disabilitato | 9.0.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono assicurarsi che il ruolo di amministratore del cluster venga usato solo se necessario | Il ruolo “cluster-admin” offre poteri di ampia portata nell'ambiente e deve essere usato solo dove e quando necessario. | Controllo, Disabilitato | 1.1.0 |
| I cluster Kubernetes devono ridurre al minimo l'uso dei caratteri jolly nel ruolo e nel ruolo del cluster | L'uso dei caratteri jolly “*” può essere un rischio per la sicurezza perché concede autorizzazioni generali che potrebbero non essere necessarie per un ruolo specifico. Se un ruolo ha troppe autorizzazioni, potrebbe essere usato in modo improprio da un utente malintenzionato o compromesso per ottenere l'accesso non autorizzato alle risorse nel cluster. | Controllo, Disabilitato | 1.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 8.0.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica dell'endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Controllo, Disabilitato | 3.2.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono specificare le regole delle risorse in ingresso dell'host | Assicurarsi di specificare le regole delle risorse in ingresso dell'host per impedire l'esposizione involontaria dei servizi back-end all'accesso non autorizzato. Questo criterio valuta le risorse di ingresso kubernetes per assicurarsi che ogni regola abbia un campo host specificato. | Verifica, Nega, Disabilitato | 1.1.0-preview |
| I cluster Kubernetes devono usare driver Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner ad albero StorageClass deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Verifica, Nega, Disabilitato | 2.3.0 |
| I cluster Kubernetes devono usare servizi di bilanciamento del carico interni | Usare i bilanciatori di carico interni per rendere un servizio Kubernetes accessibile solo alle applicazioni in esecuzione nella stessa rete virtuale del cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Le risorse Kubernetes devono avere annotazioni obbligatorie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 3.2.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Controllo, Disabilitato | 1.0.2 |
| Deve avere regole di anti affinità o set di vincoli di diffusione della topologia | Questo criterio garantisce che i pod siano pianificati in nodi diversi all'interno del cluster. Applicando le regole anti-affinità o i vincoli di distribuzione della topologia pod, la disponibilità viene mantenuta anche se uno dei nodi non è più disponibile. I pod continueranno a essere eseguiti in altri nodi, migliorando la resilienza. | Verifica, Nega, Disabilitato | 1.2.2 |
| Modifica del contenitore K8s per eliminare tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori Linux k8s | Muto, disabilitato | 1.2.1 |
| Modifica contenitore K8s Init per eliminare tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori init di Linux k8s | Muto, disabilitato | 1.2.1 |
| Nessuna etichetta specifica del servizio Azure Kubernetes | Impedisce ai clienti di applicare etichette specifiche del servizio Azure Kubernetes. Il servizio Azure Kubernetes usa etichette precedute da kubernetes.azure.com per indicare i componenti di proprietà del servizio Azure Kubernetes. Il cliente non deve usare queste etichette. |
Verifica, Nega, Disabilitato | 1.2.1 |
| Stampa un messaggio se viene applicata una mutazione | Cerca le annotazioni di mutazione applicate e stampa un messaggio se esiste un'annotazione. | Controllo, Disabilitato | 1.2.1 |
| Taints del pool di sistema riservato | Limita il taint CriticalAddonsOnly solo al pool di sistema. Il servizio Azure Kubernetes usa il taint CriticalAddonsOnly per evitare i pod dei clienti dal pool di sistema. Garantisce una netta separazione tra i componenti del servizio Azure Kubernetes e i pod dei clienti, oltre a impedire che i pod dei clienti vengano rimossi se non tollerano il taint CriticalAddonsOnly. | Verifica, Nega, Disabilitato | 1.2.1 |
| È necessario abilitare i log di Resource in servizio Azure Kubernetes | i log delle risorse di servizio Azure Kubernetes consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Limita il taint CriticalAddonsOnly solo al pool di sistema. | Per evitare la rimozione delle app utente dai pool di utenti e mantenere la separazione delle preoccupazioni tra l'utente e i pool di sistema, il taint 'CriticalAddonsOnly' non deve essere applicato ai pool di utenti. | Muto, disabilitato | 1.3.1 |
| Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare Role-Based Controllo di accesso (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Controllo, Disabilitato | 1.1.0 |
| Imposta automountServiceAccountToken nella specifica Pod nei contenitori su false. | L'impostazione automountServiceAccountToken su False aumenta la sicurezza evitando il montaggio automatico predefinito dei token dell'account del servizio | Muto, disabilitato | 1.2.1 |
| Imposta i limiti di CPU dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti della CPU del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.3.1 |
| Imposta i limiti di memoria dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti di memoria del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.3.1 |
| Imposta maxUnavailable pod su 1 per le risorse PodDisruptionBudget | L'impostazione del valore massimo del pod non disponibile su 1 garantisce che l'applicazione o il servizio sia disponibile durante un'interruzione | Muto, disabilitato | 1.3.1 |
| Imposta readOnlyRootFileSystem nella specifica Pod in contenitori init su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice. Questo funziona solo per i contenitori Linux. | Muto, disabilitato | 1.3.1 |
| Imposta readOnlyRootFileSystem nella specifica Pod su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice | Muto, disabilitato | 1.3.1 |
| i dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati in host | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Verifica, Nega, Disabilitato | 1.0.1 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Criteri di Azure GitHub.
- Esaminare la struttura di definizione Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.