Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas Azure Policy incorporadas para Azure Kubernetes Service. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Iniciativas
| Nome | Descrição | Políticas | Versão |
|---|---|---|---|
| [Pré-visualização]: Use a Integridade da Imagem para garantir que apenas imagens confiáveis são implementadas | Use a Integridade da Imagem para garantir que os clusters AKS implementam apenas imagens confiáveis, ativando a Integridade e Azure Policy Add-Ons da Imagem nos clusters AKS. O Add-On e o Azure Policy Add-On de Integridade da Imagem são ambos pré-requisitos para usar a Integridade da Imagem para verificar se a imagem está assinada no momento da implementação. Para mais informações, visite https://aka.ms/aks/image-integrity. | 3 | 1.1.0-Pré-visualização |
| [Pré-visualização]: O cluster Kubernetes deve seguir as recomendações de controlo de segurança do benchmark Kubernetes do Center for Internet Security (CIS) | Esta iniciativa inclui as políticas para a recomendação de segurança para o benchmark Kubernetes do Center for Internet Security (CIS), você pode usar essa iniciativa para permanecer em conformidade com o benchmark do Kubernetes do CIS. Para obter mais informações sobre a conformidade com o CIS, visite: https://aka.ms/aks/cis-kubernetes | 7 | 1.0.0-pré-visualização |
| As salvaguardas de implantação devem ajudar a orientar os programadores para as melhores práticas recomendadas pelo AKS | Uma coleção de melhores práticas do Kubernetes recomendadas pelo Azure Kubernetes Service (AKS). Para obter a melhor experiência, use as salvaguardas de implantação para atribuir esta iniciativa de política: https://aka.ms/aks/deployment-safeguards. Azure Policy Add-On para AKS é um pré-requisito para aplicar estas melhores práticas aos teus clusters. Para instruções sobre como ativar o Azure Policy Add-On, consulte aka.ms/akspolicydoc | 27 | 3.0.0 |
| Kubernetes padrões de base de segurança de clusters pod para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Kubernetes padrões de segurança restrita para cargas de trabalho baseadas em Linux | Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definições de política
Microsoft. ContainerService
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preview]: [Image Integrity] Os clusters Kubernetes só devem usar imagens assinadas por notação | Use imagens assinadas por notação para garantir que as imagens provenham de fontes confiáveis e não sejam modificadas maliciosamente. Para mais informações, visite https://aka.ms/aks/image-integrity | Auditoria, Desativado | 1.1.0-preview |
| [Pré-visualização]: Azure Backup Extensão deve ser instalada em clusters AKS | Assegure a instalação de proteção da extensão de backup nos seus Clusters AKS para tirar partido do Azure Backup. Azure Backup para AKS é uma solução segura e nativa da cloud para proteção de dados para clusters AKS | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Azure Backup deve estar ativado para clusters AKS | Assegure a proteção dos seus Clusters AKS ativando o Azure Backup. Azure Backup para AKS é uma solução segura e nativa da cloud para proteção de dados para clusters AKS. | AuditIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Azure Kubernetes Service Clusters Geridos devem ser redundantes de zona | Azure Kubernetes Service Managed Clusters podem ser configurados para serem Redundantes de Zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade sejam definidas para todos os pools de nós. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Pré-visualização]: Implementar integridade de imagem em Azure Kubernetes Service | Implemente tanto clusters de Integridade da Imagem como de Políticas Add-Ons Azure Kubernetes. Para mais informações, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, desativado | 1.2.0-prévia |
| [Pré-visualização]: Instalar Azure Backup Extensão em clusters AKS (Managed Cluster) com uma determinada etiqueta. | Instalar a Azure Backup Extension é um pré-requisito para proteger os seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS que contenham uma determinada tag. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.0-preview |
| [Pré-visualização]: Instalar Azure Backup Extensão em clusters AKS (Cluster Gerido) sem uma determinada etiqueta. | Instalar a Azure Backup Extension é um pré-requisito para proteger os seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS sem um valor de tag específico. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.0-preview |
| [Preview]: Os contêineres de cluster do Kubernetes devem usar apenas interfaces sysctl permitidas | Os contêineres devem usar apenas interfaces sysctl permitidas em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 1.0.0-preview |
| [Preview]: O cluster Kubernetes deve implementar orçamentos precisos de interrupção de pod | Evita orçamentos defeituosos de interrupção de pods, garantindo um número mínimo de pods operacionais. Consulte a documentação oficial do Kubernetes para obter detalhes. Depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de Deployment, StatefulSet e PodDisruptionBudget com escopo no OPA. Antes de aplicar essa política, verifique se os recursos sincronizados não sobrecarregarão sua capacidade de memória. Todos os recursos desses tipos entre namespaces serão sincronizados. Nota: atualmente em pré-visualização para o Serviço Kubernetes (AKS). | Auditoria, Negar, Desativado | 1.3.1-pré-visualização |
| [Preview]: clusters Kubernetes devem restringir a criação de determinado tipo de recurso | Dado Kubernetes tipo de recurso não deve ser implantado em determinado namespace. | Auditoria, Negar, Desativado | 2.3.0-pré-visualização |
| [Preview]: Impede que contêineres sejam executados como root definindo runAsNotRoot como true. | Definir runAsNotRoot como true aumenta a segurança, impedindo que os contêineres sejam executados como root. | Mutar, Desativado | 1.1.0-preview |
| [Preview]: Impede que os contêineres init sejam executados como root definindo runAsNotRoot como true. | Definir runAsNotRoot como true aumenta a segurança, impedindo que os contêineres sejam executados como root. | Mutar, Desativado | 1.1.0-preview |
| [Preview]: Define os campos securityContext.runAsUser do contêiner de cluster do Kubernetes como 1000, um ID de usuário não raiz | Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. | Mutar, Desativado | 1.1.0-preview |
| [Preview]: Define o tipo de perfil de modo de computação seguro dos contêineres de cluster do Kubernetes como RuntimeDefault se não estiver presente. | Definição do tipo de perfil de modo de computação seguro para contêineres para evitar chamadas de sistema não autorizadas e potencialmente prejudiciais para o kernel a partir do espaço do usuário. | Mutar, Desativado | 1.2.0-prévia |
| [Preview]: Define os campos securityContext.runAsUser dos contêineres de inicialização do cluster Kubernetes como 1000, um ID de usuário não raiz | Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. | Mutar, Desativado | 1.1.0-preview |
| [Preview]: Define o tipo de perfil de modo de computação seguro dos contêineres de inicialização do cluster do Kubernetes como RuntimeDefault se não estiver presente. | Definição do tipo de perfil de modo de computação seguro para contêineres init para evitar chamadas de sistema não autorizadas e potencialmente prejudiciais para o kernel a partir do espaço do usuário. | Mutar, Desativado | 1.2.0-prévia |
| [Preview]: Define os campos securityContext.runAsUser do cluster Kubernetes como 1000, um ID de usuário não raiz | Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. | Mutar, Desativado | 1.1.0-preview |
| [Preview]: Define o escalonamento de privilégios na especificação do Pod em contêineres de inicialização como false. | Definir o escalonamento de privilégios como false em contêineres init aumenta a segurança, impedindo que os contêineres permitam o escalonamento de privilégios, como por meio do modo de arquivo set-user-ID ou set-group-ID. | Mutar, Desativado | 1.2.0-prévia |
| [Pré-visualização]: Define o escalonamento de privilégios na especificação do Pod como false. | Definir o escalonamento de privilégios como false aumenta a segurança, impedindo que os contêineres permitam o escalonamento de privilégios, como por meio do modo de arquivo set-user-ID ou set-group-ID. | Mutar, Desativado | 1.2.0-prévia |
| [Preview]: define UnhealthyPodEvictionPolicy como 'AlwaysAllow' | Define a UnhealthyPodEvictionPolicy do Pod Disruption Budget como 'AlwaysAllow' para permitir a remoção até mesmo de pods não íntegros ao executar a administração de cluster | Mutar, Desativado | 1.1.0-preview |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
| Azure Os clusters Kubernetes devem desativar o SSH | Desativar SSH dá-lhe a capacidade de proteger o seu cluster e reduzir a superfície de ataque. Para saber mais, visite: aka.ms/aks/disablessh | Auditoria, Desativado | 1.0.0 |
| Azure Clusters Kubernetes devem ativar a Interface de Armazenamento de Contentores (CSI) | A Interface de Armazenamento de Contentores (CSI) é um padrão para expor sistemas arbitrários de armazenamento em blocos e ficheiros a cargas de trabalho containerizadas no Azure Kubernetes Service. Para saber mais, https://aka.ms/aks-csi-driver | Auditoria, Desativado | 1.0.0 |
| Azure Os Clusters Kubernetes devem permitir o Serviço de Gestão de Chaves (KMS) | Use o Serviço de Gerenciamento de Chaves (KMS) para criptografar dados secretos em repouso no etcd para segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. | Auditoria, Desativado | 1.1.0 |
| Azure Clusters Kubernetes devem usar Azure CNI | O Azure CNI é um pré-requisito para algumas funcionalidades do Azure Kubernetes Service, incluindo políticas de rede do Azure, pools de nós do Windows e add-on de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni | Auditoria, Desativado | 1.0.1 |
| Azure Kubernetes Service clusters devem ser membros de um Azure Kubernetes Fleet Manager. | Detete e reporte quaisquer clusters AKS que não sejam membros de um Gestor de Frotas do Azure Kubernetes. Para saber mais, visite https://aka.ms/kubernetes-fleet/policy | AuditIfNotExists, desativado | 1.0.0 |
| Azure Kubernetes Service Os clusters devem desativar o Command Invoke | Desabilitar a invocação de comando pode melhorar a segurança, evitando ignorar o acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes | Auditoria, Desativado | 1.0.1 |
| Azure Kubernetes Service Os clusters devem permitir a atualização automática do cluster | A atualização automática do cluster AKS pode garantir que seus clusters estejam atualizados e não perca os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Auditoria, Desativado | 1.0.0 |
| Azure Kubernetes Service Clusters devem ativar o Limpador de Imagens | O Image Cleaner realiza a identificação e remoção automática de imagens vulneráveis e não utilizadas, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. | Auditoria, Desativado | 1.0.0 |
| Azure Kubernetes Service Os clusters devem permitir a integração Microsoft Entra ID | A integração Microsoft Entra ID gerida pelo AKS pode gerir o acesso aos clusters configurando o controlo de acesso baseado em papéis Kubernetes (Kubernetes RBAC) com base na identidade do utilizador ou na pertença a um grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. | Auditoria, Desativado | 1.0.2 |
| Azure Kubernetes Service Os clusters devem ativar a atualização automática do sistema operativo de nó | A atualização automática do SO do nó AKS controla as atualizações de segurança do SO ao nível do nó. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Auditoria, Desativado | 1.0.0 |
| Azure Kubernetes Service Os clusters devem ativar a identidade da carga de trabalho | A identidade da carga de trabalho permite atribuir uma identidade única a cada Kubernetes Pod e associá-la a recursos protegidos pelo Azure AD, como o Azure Key Vault, permitindo o acesso seguro a esses recursos a partir do próprio Pod. Saiba mais em: https://aka.ms/aks/wi. | Auditoria, Desativado | 1.0.0 |
| Os clusters Azure Kubernetes Service devem ter Defender perfil ativado | O Microsoft Defender for Containers oferece capacidades de segurança Kubernetes nativas na cloud, incluindo reforço do ambiente, proteção contra cargas de trabalho e proteção em tempo de execução. Quando ativa o SecurityProfile.AzureDefender no seu cluster Azure Kubernetes Service, um agente é implementado no seu cluster para recolher dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contentores em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditoria, Desativado | 2.0.1 |
| Azure Kubernetes Service Os clusters devem ter os métodos de autenticação locais desativados | Desativar métodos locais de autenticação melhora a segurança ao garantir que os clusters Azure Kubernetes Service devem exigir exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/aks-disable-local-accounts. | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Kubernetes Service Clusters devem usar identidades geridas | Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities | Auditoria, Desativado | 1.0.1 |
| Azure Kubernetes Service Clusters privados devem estar ativados | Ative a funcionalidade de cluster privado para o seu cluster Azure Kubernetes Service para garantir que o tráfego de rede entre o seu servidor API e os pools de nós permanece apenas na rede privada. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Azure Policy O complemento para serviço Kubernetes (AKS) deve estar instalado e ativado nos seus clusters | O Azure Policy Add-on for Kubernetes Service (AKS) estende o Gatekeeper v3, um webhook controlador de admissão para o Open Policy Agent (OPA), para aplicar aplicações e salvaguardas em escala nos seus clusters de forma centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
| Azure a execução de imagens de contentores deve ter vulnerabilidades resolvidas (alimentado por Gestão de vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
| Tanto os sistemas operativos como os discos de dados em clusters Azure Kubernetes Service devem ser encriptados por chaves geridas pelo cliente | A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Não é possível editar nós individuais | Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite os pools de nós. A modificação de nós individuais pode levar a configurações inconsistentes, desafios operacionais e riscos potenciais de segurança. | Auditoria, Negar, Desativado | 1.3.1 |
| Configure clusters AKS para se juntarem automaticamente ao Azure especificado Kubernetes Fleet Manager | Detetar e garantir que os clusters AKS se juntam a um dado Gestor de Frotas Azure Kubernetes. Opcionalmente, selecione uma tag de pesquisa para especificar qual grupo de atualização de frota deve participar. Para saber mais, visite https://aka.ms/kubernetes-fleet/policy | DeployIfNotExists, desativado | 1.0.0 |
| Configure Azure Kubernetes Service clusters para ativar Defender perfil | O Microsoft Defender for Containers oferece capacidades de segurança Kubernetes nativas na cloud, incluindo reforço do ambiente, proteção contra cargas de trabalho e proteção em tempo de execução. Quando ativas o SecurityProfile. Defender no seu cluster Azure Kubernetes Service, um agente é implementado no seu cluster para recolher dados de eventos de segurança. Saiba mais sobre Microsoft Defender para Contentores: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, desativado | 4.3.0 |
| Configurar a instalação da extensão Flux no cluster do Kubernetes | Instale a extensão Flux no cluster Kubernetes para permitir a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desativado | 1.0.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando a origem do bucket e segredos no KeyVault | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Esta definição requer um Bucket SecretKey armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando repositório Git e certificado de CA HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um certificado de autoridade de certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave HTTPS armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave privada SSH armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos HTTPS | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer segredos de utilizador e chave HTTPS armazenados no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando nenhum segredo | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos SSH | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer um segredo de chave privada SSH no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
| Configure Microsoft Entra ID Clusters Azure Kubernetes Service integrados com o Acesso ao Grupo de Administrador obrigatório | Garantir a melhoria da segurança dos clusters ao governar centralmente o acesso dos Administradores aos clusters AKS integrados com Microsoft Entra ID. | DeployIfNotExists, desativado | 2.1.0 |
| Configure Node OS Atualização Automática no Azure Kubernetes Cluster | Use a atualização automática do sistema operativo Node para controlar as atualizações de segurança do sistema operativo ao nível dos nós Azure Kubernetes Service (AKS) clusters. Para mais informações, visite https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, desativado | 1.2.0 |
| Deploy - Configurar as definições de diagnóstico para Azure Kubernetes Service para Log Analytics workspace | Implementa as definições de diagnóstico do Azure Kubernetes Service para transmitir os registos de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 3.0.0 |
| Deploye Azure Policy Add-on para Azure Kubernetes Service clusters | Use o Azure Policy Add-on para gerir e reportar o estado de conformidade dos seus clusters Azure Kubernetes Service (AKS). Para obter mais informações, veja https://aka.ms/akspolicydoc. | DeployIfNotExists, desativado | 4.2.0 |
| Deploy Image Cleaner em Azure Kubernetes Service | Deploy o Image Cleaner em clusters Azure Kubernetes. Para mais informações, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, desativado | 1.2.0 |
| Implementar a Manutenção Planeada para agendar e controlar as atualizações do seu cluster de Azure Kubernetes Service (AKS) | A Manutenção Planejada permite agendar janelas de manutenção semanais para realizar atualizações e minimizar o impacto da carga de trabalho. Uma vez agendadas, as atualizações ocorrem apenas durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
| Desabilitar o Command Invoke em clusters Azure Kubernetes Service | A desativação da invocação de comando pode melhorar a segurança rejeitando o acesso do comando invoke ao cluster | DeployIfNotExists, desativado | 1.2.0 |
| Garantir que os contêineres de cluster tenham testes de prontidão ou vivacidade configurados | Esta política impõe que todos os pods tenham um teste de prontidão e/ou vivacidade configurado. Os tipos de sonda podem ser qualquer um dos tcpSocket, httpGet e exec. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.3.0 |
| As imagens de contêiner de cluster do Kubernetes devem incluir o gancho preStop | Requer que as imagens de contêiner incluam um gancho preStop para encerrar normalmente os processos durante os desligamentos do pod. | Auditoria, Negar, Desativado | 1.1.1 |
| As imagens de contêiner de cluster do Kubernetes não devem incluir a tag de imagem mais recente | Requer que as imagens de contêiner não usem a tag mais recente no Kubernetes, é uma prática recomendada para garantir a reprodutibilidade, evitar atualizações não intencionais e facilitar a depuração e as reversões usando imagens de contêiner explícitas e versionadas. | Auditoria, Negar, Desativado | 2.0.1 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
| Contêineres de cluster do Kubernetes As solicitações de recursos de CPU e memória devem ser definidas | Imponha solicitações de recursos de CPU e memória de contêiner para garantir que o nó agendado tenha os recursos necessários. | Auditoria, Negar, Desativado | 1.0.0-preview |
| Os contêineres de cluster do Kubernetes não devem compartilhar namespaces de host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host, o namespace IPC do host e o namespace de rede do host em um cluster Kubernetes. Esta recomendação está alinhada com os Padrões de Segurança do Kubernetes Pod para namespaces de host e faz parte do CIS 5.2.1, 5.2.2 e 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 6.0.0 |
| Os contêineres de cluster do Kubernetes não devem usar interfaces sysctl proibidas | Os contêineres não devem usar interfaces sysctl proibidas em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
| Os contêineres de cluster do Kubernetes só devem extrair imagens quando segredos de pull de imagem estiverem presentes | Restringir as capturas de imagem dos contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado às imagens dentro de um cluster Kubernetes | Auditoria, Negar, Desativado | 1.3.1 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
| Os contêineres de cluster do Kubernetes só devem usar ProcMountType permitidos | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
| Os contêineres de cluster do Kubernetes só devem usar a política de pull permitida | Restringir a política de recebimento de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Auditoria, Negar, Desativado | 3.2.0 |
| Os contêineres de cluster do Kubernetes devem usar apenas perfis seccomp permitidos | Os contêineres de pod só podem usar perfis seccomp permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
| Os volumes FlexVolume do pod de cluster do Kubernetes só devem usar drivers permitidos | Os volumes do Pod FlexVolume só devem usar drivers permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para Kubernetes Service (AKS) e Kubernetes habilitado pelo Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
| Os pods e contêineres de cluster do Kubernetes devem seguir os padrões de segurança do SELinux | Esta política impõe os Padrões de Segurança do Kubernetes Pod para as opções do SELinux. No modo PSS, os campos 'usuário' e 'função' devem estar vazios e o campo 'tipo' deve ser um dos valores permitidos. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 8.0.0 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
| Os pods de cluster do Kubernetes só devem usar tipos de volume permitidos | Os pods só podem usar tipos de volume permitidos em um cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e a lista de portas | Restrinja o acesso do pod à rede host e às portas de host permitidas em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4, que se destina a melhorar a segurança de seus ambientes Kubernetes e se alinha com os Pod Security Standards (PSS) para hostPorts. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 7.0.0 |
| Os pods de cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
| Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Use IPs externos permitidos para evitar o ataque potencial (CVE-2020-8554) em um cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
| Os serviços de cluster do Kubernetes devem usar seletores exclusivos | Verifique se os serviços em um namespace têm seletores exclusivos. Um seletor de serviço exclusivo garante que cada serviço dentro de um namespace seja identificável exclusivamente com base em critérios específicos. Esta política sincroniza recursos de serviço com OPA via Gatekeeper. Antes de aplicar, verifique se a capacidade de memória dos pods do Gatekeeper não será excedida. Os parâmetros se aplicam a namespaces específicos, mas ele sincroniza todos os recursos desse tipo em todos os namespaces. Atualmente em pré-visualização para o Serviço Kubernetes (AKS). | Auditoria, Negar, Desativado | 1.2.2 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
| O cluster Kubernetes não deve usar pods nus | Bloqueie o uso de Pods nus. Os Naked Pods não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Deployment, Replicset, Daemonset ou Jobs | Auditoria, Negar, Desativado | 2.3.1 |
| Kubernetes cluster Windows contentores não devem sobrecarregar CPU e memória | Os pedidos de recursos de contentores do Windows devem ser menores ou iguais ao limite de recursos ou não especificados para evitar excesso de compromisso. Se a memória do Windows estiver sobre-provisionada, irá processar páginas no disco – o que pode abrandar o desempenho – em vez de terminar o contentor com falta de memória | Auditoria, Negar, Desativado | 2.2.0 |
| Kubernetes cluster Windows contentores não devem correr como ContainerAdministrator | Impeça o uso do ContainerAdministrator como utilizador para executar processos de contentores para pods ou containers do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . | Auditoria, Negar, Desativado | 1.2.0 |
| Os contentores do cluster Windows Kubernetes só devem funcionar com utilizadores aprovados e grupos de utilizadores de domínio | Controla o utilizador que pods e containers do Windows podem usar para correr num Cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança Pod nos nós Windows, que têm como objetivo melhorar a segurança dos seus ambientes Kubernetes. | Auditoria, Negar, Desativado | 2.2.0 |
| Kubernetes clusters Windows pods não devem executar containers HostProcess | Impedir o acesso prviledged ao nó do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esta funcionalidade está atualmente geralmente disponível para Kubernetes Service (AKS) e em pré-visualização para Kubernetes com Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | Auditoria, Negar, Desativado | 9.0.0 |
| Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
| Os clusters do Kubernetes devem garantir que a função de administrador de cluster seja usada apenas quando necessário | A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada apenas onde e quando necessário. | Auditoria, Desativado | 1.1.0 |
| Os clusters do Kubernetes devem minimizar o uso de curingas na função e na função de cluster | O uso de curingas '*' pode ser um risco de segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser abusada por um invasor ou usuário comprometido para obter acesso não autorizado a recursos no cluster. | Auditoria, Desativado | 1.1.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 8.0.0 |
| Os clusters Kubernetes não devem permitir permissões de edição de ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint & EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Desativado | 3.2.0 |
| Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
| Os clusters Kubernetes não devem usar recursos de segurança específicos | Impeça recursos de segurança específicos em clusters Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
| Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
| Os clusters Kubernetes devem especificar o host nas regras de recursos de entrada | Certifique-se de especificar o host nas regras de recursos de entrada para evitar a exposição não intencional dos serviços de back-end a acesso não autorizado. Esta política avalia os recursos de Ingresso do Kubernetes para garantir que cada regra tenha um campo de host especificado. | Auditoria, Negar, Desativado | 1.1.0-preview |
| Os clusters Kubernetes devem usar o driver StorageClass da Interface de Armazenamento de Contêiner (CSI) | A Interface de Armazenamento de Contentores (CSI) é uma norma para expor sistemas de blocos e armazenamento de ficheiros arbitrários a cargas de trabalho em contentores no Kubernetes. O provisionador StorageClass na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Auditoria, Negar, Desativado | 2.3.0 |
| Os clusters Kubernetes devem usar balanceadores de carga internos | Use balanceadores de carga internos para tornar um serviço Kubernetes acessível apenas a aplicativos executados na mesma rede virtual que o cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
| Os recursos do Kubernetes devem ter anotações necessárias | Certifique-se de que as anotações necessárias sejam anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos do Kubernetes. Esta política está geralmente disponível para o Kubernetes Service (AKS) e para o Kubernetes com Azure Arc ativado. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.2.0 |
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
| Deve ter regras de antiafinidade ou restrições de propagação de topologia definidas | Essa política garante que os pods sejam agendados em nós diferentes dentro do cluster. Ao impor regras de antiafinidade ou restrições de propagação de topologia de pod, a disponibilidade é mantida mesmo se um dos nós ficar indisponível. Os pods continuarão a funcionar em outros nós, aumentando a resiliência. | Auditoria, Negar, Desativado | 1.2.2 |
| Mutar o Contentor K8s para eliminar todas as capacidades | Muta securityContext.capabilities.drop para adicionar "ALL". Isso descarta todos os recursos para contêineres linux k8s | Mutar, Desativado | 1.2.1 |
| Mutar o Contentor de Init do K8 para eliminar todas as capacidades | Muta securityContext.capabilities.drop para adicionar "ALL". Isso elimina todos os recursos para contêineres init linux k8s | Mutar, Desativado | 1.2.1 |
| Sem rótulos específicos do AKS | Impede que os clientes apliquem rótulos específicos da AKS. O AKS usa rótulos prefixados para kubernetes.azure.com indicar componentes de propriedade do AKS. O cliente não deve utilizar estes rótulos. |
Auditoria, Negar, Desativado | 1.2.1 |
| Imprime uma mensagem se uma mutação for aplicada | Procura as anotações de mutação aplicadas e imprime uma mensagem se existir anotação. | Auditoria, Desativado | 1.2.1 |
| Manchas reservadas no pool do sistema | Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. O AKS usa a mancha CriticalAddonsOnly para manter os pods do cliente longe do pool do sistema. Ele garante uma separação clara entre os componentes do AKS e os pods do cliente, bem como evita que os pods do cliente sejam removidos se não tolerarem a mancha do CriticalAddonsOnly. | Auditoria, Negar, Desativado | 1.2.1 |
| Os registos de recursos em Azure Kubernetes Service devem estar ativados | Os registos de recursos do Azure Kubernetes Service podem ajudar a recriar trilhos de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existirão quando necessário | AuditIfNotExists, desativado | 1.0.0 |
| Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. | Para evitar a remoção de aplicativos de usuários de grupos de usuários e manter a separação de preocupações entre os pools de usuários e de sistema, a mancha 'CriticalAddonsOnly' não deve ser aplicada a grupos de usuários. | Mutar, Desativado | 1.3.1 |
| Role-Based Controlo de Acesso (RBAC) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem detalhada das ações que os utilizadores podem realizar, utilize o Role-Based Controlo de Acesso (RBAC) para gerir permissões nos Clusters de Serviços Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.1.0 |
| Define automountServiceAccountToken na especificação Pod em contêineres como false. | Definir automountServiceAccountToken como false aumenta a segurança, evitando a montagem automática padrão de tokens de conta de serviço | Mutar, Desativado | 1.2.1 |
| Define os limites de CPU dos contêineres de cluster do Kubernetes como valores padrão caso não estejam presentes. | Definição de limites de CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. | Mutar, Desativado | 1.3.1 |
| Define os limites de memória dos contêineres de cluster do Kubernetes como valores padrão, caso não estejam presentes. | Definição de limites de memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. | Mutar, Desativado | 1.3.1 |
| Define maxUnavailable pods como 1 para recursos PodDisruptionBudget | Definir o valor máximo de pod indisponível como 1 garante que seu aplicativo ou serviço esteja disponível durante uma interrupção | Mutar, Desativado | 1.3.1 |
| Define readOnlyRootFileSystem na especificação Pod em contêineres init como true se não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz. Isso funciona apenas para contêineres linux. | Mutar, Desativado | 1.3.1 |
| Define readOnlyRootFileSystem na especificação do Pod como true se não estiver definido. | Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz | Mutar, Desativado | 1.3.1 |
| Os discos temporários e a cache para pools de nós agentes em clusters Azure Kubernetes Service devem ser encriptados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das suas VMs dos nós Azure Kubernetes Service devem ser encriptados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos do Policy.