Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Regulatory Compliance in Criteri di Azure fornisce definizioni di iniziativa (built-ins) create e gestite da Microsoft, per i domini di conformità e i controlli di sicurezza correlati a diversi standard di conformità. Questa pagina elenca i domini di conformità Servizio Azure Kubernetes (AKS) e i controlli di sicurezza.
È possibile assegnare le funzionalità predefinite per un controllo security singolarmente per rendere le risorse Azure conformi allo standard specifico.
Il titolo di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Policy Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
Importante
Ogni controllo è associato a una o più definizioni di Criteri di Azure. Questi criteri possono essere utili per valutare la conformità con il controllo. Tuttavia, spesso non esiste una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di conseguenza, Compliant in Criteri di Azure fa riferimento solo ai criteri stessi. Questo non garantisce la conformità completa a tutti i requisiti di un controllo. Inoltre, lo standard di conformità include controlli non risolti da alcuna definizione di Criteri di Azure al momento. Pertanto, la conformità in Criteri di Azure è solo una visualizzazione parziale dello stato di conformità complessivo. Le associazioni tra controlli e definizioni di conformità alle normative Criteri di Azure per questi standard di conformità possono cambiare nel tempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa incorporata di conformità con le normative CIS Microsoft Azure Foundations Benchmark 1.1.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8,5 | Abilitare il controllo degli accessi in base al ruolo (RBAC) all'interno di Azure Servizi Kubernetes | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Per esaminare come i criteri di Azure predefiniti disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - CIS Microsoft Azure Foundations Benchmark 1.3.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8,5 | Abilitare il controllo degli accessi in base al ruolo (RBAC) all'interno di Azure Servizi Kubernetes | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Per esaminare come i criteri Azure integrati disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure dettagli sulla conformità normativa per CIS v1.4.0. Per altre informazioni su questo standard di conformità, vedere CIS Microsoft Azure Foundations Benchmark.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| 8 Altre considerazioni sulla sicurezza | 8.7 | Abilitare il controllo degli accessi in base al ruolo (RBAC) all'interno di Azure Servizi Kubernetes | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
CMMC Level 3
Per esaminare come i criteri predefiniti di Criteri di Azure disponibili per tutti i servizi Azure si allineano a questo standard di conformità, vedere Criteri di Azure Conformità normativa - CMMC Livello 3. Per altre informazioni su questo standard di conformità, vedere Cybersecurity Maturity Model Certification (CMMC).
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo di accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Controllo di Accesso | AC.1.001 | Limitare l'accesso al reparto IT agli utenti autorizzati, ai processi che agiscono per conto di utenti autorizzati e ai dispositivi (inclusi altri sistemi in informazioni). | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Controllo di accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Controllo di accesso | AC.1.002 | Limitare l'accesso del reparto IT ai tipi di transazioni e alle funzioni che gli utenti autorizzati sono autorizzati ad eseguire. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Controllo di Accesso | AC.2.007 | Avvalersi del principio dei privilegi minimi, anche per funzioni di sicurezza specifiche e account privilegiati. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Controllo di accesso | AC.2.016 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Gestione della configurazione | CM.2.062 | Avvalersi del principio di meno funzionalità configurando sistemi aziendali in modo da fornire solo funzionalità essenziali. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Gestione della configurazione | CM.3.068 | Limitare, disabilitare o impedire l'uso di programmi, funzioni, porte, protocolli e servizi non essenziali. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Valutazione dei rischi | RM.2.143 | Correggere le vulnerabilità in conformità alla valutazione del rischio. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Protezione del sistema e delle comunicazioni | SC.1.175 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Protezione del sistema e delle comunicazioni | SC.3.177 | Usare la crittografia convalidata FIPS quando viene usata per proteggere la riservatezza di CUI. | Sia i sistemi operativi che i dischi dei dati nei cluster servizio Azure Kubernetes devono essere crittografati tramite chiavi gestite dal cliente | 1.0.1 |
| Protezione del sistema e delle comunicazioni | SC.3.183 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Integrità del sistema e delle informazioni | SI.1.210 | Identificare, segnalare e correggere rapidamente i difetti del reparto IT e delle informazioni. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
FedRAMP High
Per esaminare come i criteri di Azure predefiniti disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - FedRAMP High. Per altre informazioni su questo standard di conformità, vedere FedRAMP High.
FedRAMP Moderate
Per informazioni sul mapping degli elementi predefiniti di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - FedRAMP Moderate. Per altre informazioni su questo standard di conformità, vedere FedRAMP Moderate.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo degli Accessi | AC-4 | Applicazione del controllo dei flussi di informazioni | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | Componente aggiuntivo di Criteri di Azure per il servizio Kubernetes (AKS) dovrebbe essere installato e abilitato nei cluster | 1.0.2 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione della configurazione | CM-6 | Impostazioni di configurazione | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| Protezione del sistema e delle comunicazioni | SC-7 | Protezione dei limiti | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | SC-7 (3) | Punti di accesso | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | SC-8 | Riservatezza e integrità delle trasmissioni | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Protezione del sistema e delle comunicazioni | SC-8 (1) | Protezione fisica crittografica o alternativa | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Protezione del sistema e delle comunicazioni | SC-12 | Definizione e gestione di chiavi crittografiche | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati da chiavi gestite dal cliente | 1.0.1 |
| Protezione del sistema e delle comunicazioni | SC-28 | Protezione delle informazioni inattive | I dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati sul host. | 1.0.1 |
| Protezione del sistema e delle comunicazioni | SC-28 (1) | Protezione crittografica | I dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati sul host. | 1.0.1 |
| Integrità del sistema e delle informazioni | SI-2 | Correzione degli errori | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
HIPAA HITRUST
Per informazioni sul mapping degli elementi predefiniti di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative - HIPAA HITRUST. Per altre informazioni su questo standard di conformità, vedere HIPAA HITRUST.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Gestione dei privilegi | 1149.01c2Sistema.9 - 01.c | L'organizzazione facilita la condivisione di informazioni consentendo agli utenti autorizzati di determinare l'accesso di un partner aziendale quando è consentita la discrezionalità, come definito dall'organizzazione, e adottando processi manuali o meccanismi automatizzati per assistere gli utenti nelle decisioni riguardanti la condivisione di informazioni e la collaborazione. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| 11 Controllo di accesso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Accesso autorizzato ai sistemi informativi | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| 12 Registrazione dei log di audit e monitoraggio | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedure operative documentate | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
Criteri riservati di riferimento di Documenti di Microsoft Cloud for Sovereignty
Per informazioni sul mapping degli elementi predefiniti di Criteri di Azure disponibili per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i criteri riservati di riferimenti di Microsoft Cloud for Sovereignty. Per altre informazioni su questo standard di conformità, vedere il portafoglio di criteri Documenti di Microsoft Cloud for Sovereignty.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| SO.3 - Chiavi gestite dal cliente | SO.3 | I prodotti Azure devono essere configurati per utilizzare chiavi gestite dal cliente, quando possibile. | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati da chiavi gestite dal cliente | 1.0.1 |
benchmark di sicurezza cloud di Microsoft
Il benchmark Microsoft cloud security benchmark fornisce raccomandazioni su come proteggere le soluzioni cloud in Azure. Per informazioni sul mapping completo di questo servizio al benchmark della sicurezza cloud Microsoft, vedere i file di mapping Azure Security Benchmark.
Per esaminare come i criteri Azure integrati disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - Microsoft benchmark sulla sicurezza del cloud.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Sicurezza di rete | NS-2 | NS-2 Proteggere i servizi cloud con controlli di rete | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Accesso con privilegi | PA-7 | PA-7 Seguire il principio di amministrazione sufficiente (privilegi minimi) | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Protezione dei dati | DP-3 | DP-3 Crittografare i dati sensibili in transito | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Registrazione e rilevamento delle minacce | LT-1 | LT-1 Abilitare le funzionalità di rilevamento delle minacce | I cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-2 | LT-2 Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi | I cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Registrazione e rilevamento delle minacce | LT-3 | LT-3 Abilitare la registrazione per l'analisi della sicurezza | I log di risorsa in servizio Azure Kubernetes devono essere abilitati | 1.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | Componente aggiuntivo di Criteri di Azure per il servizio Kubernetes (AKS) dovrebbe essere installato e abilitato nei cluster | 1.0.2 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Gestione del comportamento e delle vulnerabilità | PV-2 | Pv-2 Controlla e applica configurazioni sicure | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| Gestione del comportamento e delle vulnerabilità | PV-6 | PV-6 Rapidamente e corregge automaticamente le vulnerabilità | Le immagini dei container in esecuzione su Azure devono avere le vulnerabilità risolte (supportate da Gestione delle vulnerabilità di Microsoft Defender) | 1.0.1 |
| Sicurezza di DevOps | DS-6 | DS-6 Imporre la sicurezza del carico di lavoro nel ciclo di vita di DevOps | Le immagini del contenitore in esecuzione su Azure devono avere vulnerabilità risolte (supportate da Gestione delle vulnerabilità di Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli dell'iniziativa predefinita di conformità alle normative per NIST SP 800-171 R2. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-171 R2.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controllo degli Accessi | 3.1.3 | Controllare il flusso di CUI in conformità alle autorizzazioni approvate. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.1 | Monitorare, controllare e proteggere le comunicazioni, ovvero le informazioni trasmesse o ricevute da sistemi aziendali, ai limiti esterni e ai principali limiti interni dei sistemi aziendali. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.10 | Stabilire e gestire le chiavi di crittografia per la crittografia utilizzate nei sistemi aziendali. | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati da chiavi gestite dal cliente | 1.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.16 | Proteggere la riservatezza di CUI nello stato inattivo. | I dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati sul host. | 1.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.2 | Sfruttare progetti architetturali, tecniche di sviluppo software e principi di progettazione dei sistemi che promuovono un'efficace sicurezza delle informazioni all'interno dei sistemi aziendali. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.5 | Implementare subnet per i componenti di sistema accessibili pubblicamente che siano separate a livello fisico o logico dalle reti interne. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.6 | Negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ad esempio negare tutto, consentire per eccezione). | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione del sistema e delle comunicazioni | 3.13.8 | Implementare meccanismi di crittografia per impedire la divulgazione non autorizzata di CUI durante la trasmissione, a meno che non sia altrimenti protetta da misure fisiche alternative. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Integrità del sistema e delle informazioni | 3.14.1 | Identificare, segnalare e correggere gli errori di sistema in modo tempestivo. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | 1.0.2 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione della configurazione | 3.4.1 | Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi organizzativi (inclusi hardware, software, firmware e documentazione) nei rispettivi cicli di vita di sviluppo di sistema. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | L'Add-on Criteri di Azure per il servizio Kubernetes (AKS) deve essere installato e abilitato nei tuoi cluster | 1.0.2 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione della configurazione | 3.4.2 | Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti con tecnologia informatica utilizzati nei sistemi aziendali. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
NIST SP 800-53 Rev. 4
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 4. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5.
NL BIO Cloud Theme
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per NL BIO Cloud Theme. Per altre informazioni su questo standard di conformità, vedere Sicurezza delle informazioni di base Cybersecurity del governo - Governo digitale (digitaleoverheid.nl).
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| C.04.3 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.3 | Se la probabilità di abuso e il danno previsto sono entrambi elevati, le patch vengono installate non più tardi di una settimana. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| C.04.6 Gestione delle vulnerabilità tecniche - Sequenze temporali | C.04.6 | I punti deboli tecnici possono essere risolti eseguendo la gestione delle patch in modo tempestivo. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Il componente aggiuntivo di Criteri di Azure per il servizio Kubernetes (AKS) deve essere installato e abilitato nei cluster | 1.0.2 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| C.04.7 Gestione delle vulnerabilità tecniche - Valutato | C.04.7 | Le valutazioni delle vulnerabilità tecniche vengono registrate e segnalate. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| U.05.1 Protezione dei dati - Misure crittografiche | U.05.1 | Il trasporto dei dati viene protetto con la crittografia in cui la gestione delle chiavi viene eseguita dal CSC stesso, se possibile. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati con chiavi gestite dal cliente | 1.0.1 |
| U.05.2 Protezione dei dati - Misure crittografiche | U.05.2 | I dati archiviati nel servizio cloud devono essere protetti allo stato più recente dell'arte. | I dischi Temp e la cache per i pool di nodi dell'agente nei cluster di servizio Azure Kubernetes devono essere crittografati a livello dell'host | 1.0.1 |
| U.07.1 Separazione dei dati - Isolato | U.07.1 | L'isolamento permanente dei dati è un'architettura multi-tenant. Le patch vengono realizzate in modo controllato. | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| U.07.3 Separazione dei dati - Funzionalità di gestione | U.07.3 | U.07.3: i privilegi per visualizzare o modificare i dati CSC e/o le chiavi di crittografia vengono concessi in modo controllato e ne viene registrato l'uso. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| U.09.3 Protezione antimalware - Rilevamento, prevenzione e ripristino | U.09.3 | La protezione antimalware viene eseguita in ambienti diversi. | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| U.10.2 Accesso ai servizi e ai dati IT - Utenti | U.10.2 | Secondo quanto previsto dalla responsabilità del CSP, l'accesso è concesso agli amministratori. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| U.10.3 Accesso ai servizi e ai dati IT - Utenti | U.10.3 | Solo gli utenti con apparecchiature autenticate possono accedere ai servizi e ai dati IT. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| U.10.5 Accesso ai servizi e ai dati IT - Competenza | U.10.5 | L'accesso ai servizi IT e ai dati è limitato da misure tecniche ed è stato implementato. | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| U.11.1 Criptoservizi - Politica | U.11.1 | Nella politica crittografica, sono stati trattati almeno i temi in conformità con BIO. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| U.11.2 Criptoservizi - Misure crittografiche | U.11.2 | In caso di certificati PKIoverheid, usare i requisiti PKIoverheid per la gestione delle chiavi. In altre situazioni usare ISO11770. | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati con chiavi gestite dai clienti | 1.0.1 |
| U.11.3 Criptoservizi - Crittografia | U.11.3 | I dati sensibili vengono sempre crittografati, con chiavi private gestite dal CSC. | I dischi Temp e la cache per i pool di nodi dell'agente nei cluster servizio Azure Kubernetes devono essere crittografati sul host. | 1.0.1 |
| U.15.1 Registrazione e monitoraggio - Eventi registrati | U.15.1 | La violazione delle regole dei criteri viene registrata dal CSP e dal CSC. | I log di risorsa in servizio Azure Kubernetes devono essere abilitati | 1.0.0 |
Banca di Riserva dell'India - Framework IT per NBFC
Per informazioni sul mapping delle definizioni predefinite di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Conformità alle normative di Criteri di Azure - Reserve Bank of India - IT Framework for NBFC. Per altre informazioni su questo standard di conformità, vedere Reserve Bank of India - IT Framework for NBFC.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Governance IT | 1 | Governance IT-1 | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
| Informazioni e sicurezza informatica | 3.1.a | Identificazione e classificazione delle risorse informative-3.1 | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Informazioni e sicurezza informatica | 3.1.c | Controllo degli accessi basato sui ruoli-3.1 | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Informazioni e sicurezza informatica | 3.1.g | "Tracciati-3.1" | I cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Informazioni e sicurezza informatica | 3.3 | Gestione delle vulnerabilità-3.3 | I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | 1.0.2 |
Reserve Bank of India IT - Framework for Banks v2016
Per esaminare come i criteri Azure predefiniti disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - RBI ITF Banks v2016. Per altre informazioni su questo standard di conformità, vedere RBI ITF Banks v2016 (PDF).
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Patch/Vulnerabilità e gestione del cambiamento | Patch/Vulnerabilità e gestione del cambiamento-7.7 | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 | |
| Gestione e difesa avanzata dalle minacce in tempo reale | Difesa e gestione avanzata delle minacce in tempo reale-13.2 | I cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 | |
| Controllo/gestione dell'accesso utente | User Controllo di accesso/Management-8.1 | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
RMIT Malaysia
Per esaminare il modo in cui i Criteri di Azure predefiniti disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Criteri di Azure Conformità alle normative - RMIT Malaysia. Per altre informazioni su questo standard di conformità, vedere RMIT Malaysia.
Spagna ENS
Per esaminare il modo in cui i Criteri di Azure predefiniti disponibili per tutti i servizi Azure si mappano a questo standard di conformità, vedere Dettagli di Criteri di Azure sulla conformità alle normative per la Spagna ENS. Per altre informazioni su questo standard di conformità, vedere CCN-STIC 884.
SWIFT CSP-CSCF v2021
Per esaminare come i criteri di Azure integrati disponibili per tutti i servizi Azure si collegano a questo standard di conformità, vedere Criteri di Azure Dettagli sulla conformità alle normative per SWIFT CSP-CSCF v2021. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP CSCF v2021.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Protezione dell'ambiente SWIFT | 1.1 | Protezione dell'ambiente SWIFT | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Protezione dell'ambiente SWIFT | 1.4 | Restrizione dell'accesso a Internet | Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | 2.0.1 |
| Ridurre la superficie di attacco e le vulnerabilità | 2.1 | Sicurezza del Flusso di Dati Interno | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Rilevare attività anomale nei sistemi o nei record delle transazioni | 6.2 | Integrità software | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati da chiavi gestite dal cliente | 1.0.1 |
| Rilevare attività anomale nei sistemi o nei record delle transazioni | 6.5A | Il rilevamento delle intrusioni | Sia i sistemi operativi che i dischi dati nei cluster di servizio Azure Kubernetes devono essere crittografati da chiavi gestite dal cliente | 1.0.1 |
Controlli di sistema e organizzazione (SOC) 2
Per informazioni sul mapping degli elementi predefiniti di Criteri di Azure per tutti i servizi di Azure a questo standard di conformità, vedere Dettagli sulla conformità alle normative di Criteri di Azure per i Controlli del sistema e dell'organizzazione (SOC) 2. Per altre informazioni su questo standard di conformità, vedere Controlli del sistema e dell’organizzazione (SOC) 2.
| Dominio | ID controllo | Titolo controllo | Policy (portale di Azure) |
Versione del criterio (GitHub) |
|---|---|---|---|---|
| Controlli di accesso logici e fisici | CC6.1 | Software di sicurezza, infrastruttura e architetture per l'accesso logico | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Controlli di accesso logici e fisici | CC6.3 | Controllo degli accessi in base al ruolo e privilegi minimi | Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | 1.1.0 |
| Controlli di accesso logici e fisici | CC6.6 | Misure di sicurezza contro minacce esterne ai limiti del sistema | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Controlli di accesso logici e fisici | CC6.7 | Limitazione dello spostamento delle informazioni agli utenti autorizzati | I cluster Kubernetes devono essere accessibili solo tramite HTTPS | 9.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Componente aggiuntivo di Criteri di Azure per il servizio Kubernetes (AKS) dovrebbe essere installato e abilitato nei cluster | 1.0.2 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Controlli di accesso logici e fisici | CC6.8 | Prevenzione o rilevamento di software non autorizzato o dannoso | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
| Operazioni di sistema | CC7.2 | Monitoraggio dei componenti di sistema per l'individuazione di comportamenti anomali | I cluster servizio Azure Kubernetes devono avere il profilo Defender abilitato | 2.0.1 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Componente aggiuntivo di Criteri di Azure per il servizio Kubernetes (AKS) dovrebbe essere installato e abilitato nei cluster | 1.0.2 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | 9.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | 6.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | 6.2.1 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono usare solo le immagini consentite | 9.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I contenitori del cluster Kubernetes devono essere eseguiti con un file system di root di sola lettura | 6.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | 6.3.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | 6.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | 7.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I servizi del cluster Kubernetes devono rimanere in ascolto solo sulle porte consentite | 8.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Il cluster Kubernetes non deve consentire contenitori con privilegi | 9.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | 4.2.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | 8.0.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | 5.1.0 |
| Gestione delle modifiche | CC8.1 | Modifiche all'infrastruttura, ai dati e al software | I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | 4.2.0 |
Passaggi successivi
- Altre informazioni su Criteri di Azure Conformità alle normative.
- Vedere le impostazioni predefinite nel repository Criteri di Azure GitHub.