Contrôles de conformité réglementaire d’Azure Policy pour Azure Kubernetes Service (AKS)

La conformité réglementaire dans Azure Policy fournit des définitions d’initiatives (intégrées) créées et gérées par Microsoft pour les domaines de conformité et les contrôles de sécurité associés à différentes normes de conformité. Cette page liste les domaines de conformité et les contrôles de sécurité Azure Kubernetes Service (AKS).

Vous pouvez affecter les composants intégrés pour un contrôle de sécurité individuellement, afin de rendre vos ressources Azure conformes au standard spécifique.

Le titre de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version de la stratégie pour voir la source dans le dépôt GitHub Azure Policy.

Important

Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les contrôles et les définitions de conformité réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du temps.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.1.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
8 Autres considérations liées à la sécurité 8.5 Activer le contrôle d’accès en fonction du rôle (RBAC) dans Azure Kubernetes Services Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.3.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
8 Autres considérations liées à la sécurité 8.5 Activer le contrôle d’accès en fonction du rôle (RBAC) dans Azure Kubernetes Services Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Détails de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 1.4.0. Pour plus d’informations sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
8 Autres considérations liées à la sécurité 8.7 Activer le contrôle d’accès en fonction du rôle (RBAC) dans Azure Kubernetes Services Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4

CMMC niveau 3

Pour voir comment les composants intégrés Azure Policy de tous les services Azure répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez Cybersecurity Maturity Model Certification (CMMC).

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès AC.1.001 Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Contrôle d’accès AC.1.001 Restreindre l’accès au système d’information aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés, et aux appareils (y compris d’autres systèmes d’information). Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès AC.1.002 Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Contrôle d’accès AC.1.002 Restreindre l’accès au système d’information aux types de transactions et de fonctions que seuls les utilisateurs autorisés peuvent exécuter. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès AC.2.007 Utiliser le principe des privilèges minimum, y compris pour des fonctions de sécurité et des comptes privilégiés spécifiques. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès AC.2.016 Contrôler le flux de CUI conformément aux autorisations approuvées. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Gestion de la configuration CM.2.062 Utiliser le principe des fonctionnalités minimum en configurant des systèmes d’entreprise de manière à fournir uniquement des fonctionnalités essentielles. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Gestion de la configuration CM.3.068 Limiter, désactiver ou empêcher l’utilisation de programmes, fonctions, ports, protocoles et services non essentiels. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Évaluation des risques RM.2.143 Corriger les vulnérabilités conformément aux évaluations des risques. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Protection du système et des communications SC.1.175 Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Protection du système et des communications SC.3.177 Utiliser le chiffrement validé FIPS quand il est utilisé pour protéger la confidentialité d’informations CUI. Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications SC.3.183 Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Intégrité du système et des informations SI.1.210 Identifier, signaler et corriger les failles des systèmes d’information en temps voulu. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

FedRAMP Niveau élevé

Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP High. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP High.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès AC-4 Application du flux d’informations Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Gestion de la configuration CM-6 Paramètres de configuration L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration CM-6 Paramètres de configuration Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration CM-6 Paramètres de configuration Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Protection du système et des communications SC-7 Protection de la limite Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-7 (3) Points d’accès Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-8 Confidentialité et intégrité des transmissions Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Protection du système et des communications SC-8 (1) Protection par chiffrement ou autre protection physique Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS 8.2.0
Protection du système et des communications SC-12 Établissement et gestion de clés de chiffrement Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications SC-28 Protection des informations au repos Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Protection du système et des communications SC-28 (1) Protection par chiffrement Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Intégrité du système et des informations SI-2 Correction des défauts Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

FedRAMP Niveau modéré

Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – FedRAMP Moderate. Pour plus d’informations sur cette norme de conformité, consultez FedRAMP Moderate.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès AC-4 Application du flux d’informations Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Gestion de la configuration CM-6 Paramètres de configuration L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration CM-6 Paramètres de configuration Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration CM-6 Paramètres de configuration Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Protection du système et des communications SC-7 Protection de la limite Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-7 (3) Points d’accès Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-8 Confidentialité et intégrité des transmissions Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Protection du système et des communications SC-8 (1) Protection par chiffrement ou autre protection physique Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS 8.2.0
Protection du système et des communications SC-12 Établissement et gestion de clés de chiffrement Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications SC-28 Protection des informations au repos Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Protection du système et des communications SC-28 (1) Protection par chiffrement Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Intégrité du système et des informations SI-2 Correction des défauts Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

HIPAA HITRUST 9.2

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – HIPAA HITRUST 9.2. Pour plus d’informations sur cette norme de conformité, consultez HIPAA HITRUST 9.2.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Gestion des privilèges 1149.01c2System.9 - 01.c L’organisation facilite le partage d’informations en permettant aux utilisateurs autorisés de déterminer l’accès d’un partenaire commercial quand une marge de manœuvre est autorisée comme défini par l’organisation et en employant des processus manuels ou des mécanismes automatisés pour aider les utilisateurs à prendre des décisions de collaboration ou de partage d’informations. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
11 Contrôle d’accès 1153.01c3System.35-01.c 1153.01c3Système.35-01.c 01.02 Accès autorisé aux systèmes d’information Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
12 Journalisation d’audit & Supervision 1229.09c1Organizational.1-09.c 1229.09c1Organisationnel.1-09.c 09.01 Procédures d’exploitation documentées Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4

Stratégies confidentielles de référence Microsoft Cloud for Sovereignty

Pour savoir dans quelle mesure les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez les détails de la conformité réglementaire d’Azure Policy pour les stratégies confidentielles de référence Microsoft Cloud for Sovereignty. Pour plus d’informations sur cette norme de conformité, consultez Portefeuille stratégique Microsoft Cloud for Sovereignty.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
SO.3 – Clés gérées par le client SO.3 Vous devez configurer les produits Azure pour utiliser des clés gérées par le client, le cas échéant. Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1

Benchmark de sécurité cloud Microsoft

Le point de référence de sécurité du cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service correspond totalement au point de référence de sécurité du cloud Microsoft, consultez les fichiers de correspondance Azure Security Benchmark.

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez l’article Conformité réglementaire Azure Policy – Point de référence de sécurité du cloud Microsoft.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Sécurité réseau NS-2 Sécuriser les services cloud avec des contrôles réseau Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Accès privilégié PA-7 Suivre le principe Just Enough Administration (privilège minimum) Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Protection des données DP-3 Chiffrer les données sensibles en transit Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS 8.2.0
Journalisation et détection des menaces LT-1 Activer les fonctionnalités de détection des menaces Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Journalisation et détection des menaces LT-2 Activer la détection des menaces pour la gestion des identités et des accès Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Journalisation et détection des menaces LT-3 Activer la journalisation pour l’examen de sécurité Les journaux de ressources dans Azure Kubernetes Service doivent être activés 1.0.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API 4.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN 5.1.0
Gestion de la posture et des vulnérabilités PV-2 Auditer et appliquer les configurations sécurisées Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut 4.2.0
Gestion de la posture et des vulnérabilités PV-6 Corriger rapidement et automatiquement les vulnérabilités Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Sécurité DevOps DS-6 Appliquer la sécurité de la charge de travail tout au long du cycle de vie de DevOps Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1

NIST SP 800-171 R2

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-171 R2. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-171 R2.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès 3.1.3 Contrôler le flux de CUI conformément aux autorisations approuvées. Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications 3.13.1 Superviser, contrôler et protéger les communications (c’est-à-dire les informations transmises ou reçues par les systèmes de l’organisation) aux limites externes et aux limites internes clés des systèmes de l’organisation. Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications 3.13.10 Établir et gérer des clés de chiffrement pour le chiffrement utilisé dans les systèmes d’entreprise. Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications 3.13.16 Protéger la confidentialité de CUI au repos. Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Protection du système et des communications 3.13.2 Utiliser les conceptions architecturales, les techniques de développement de logiciels et les principes d’ingénierie des systèmes qui favorisent la sécurité des informations au sein des systèmes d’entreprise. Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications 3.13.5 Implémenter des sous-réseaux pour les composants système accessibles publiquement qui sont physiquement ou logiquement séparés des réseaux internes. Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications 3.13.6 Refuser le trafic des communications réseau par défaut et autoriser le trafic des communications réseau par exception (c’est-à-dire, tout refuser, autoriser par exception). Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications 3.13.8 Implémenter des mécanismes de chiffrement pour empêcher toute divulgation non autorisée de CUI pendant la transmission, sauf en cas de protection par d’autres dispositifs de protection physique. Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Intégrité du système et des informations 3.14.1 Identifier, signaler et corriger les failles système en temps voulu. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration 3.4.1 Établir et gérer les configurations de référence et les inventaires des systèmes d’entreprise (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de vie de développement du système. Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration 3.4.2 Établir et appliquer des paramètres de configuration de sécurité pour les produits informatiques utilisés dans les systèmes d’entreprise. Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0

NIST SP 800-53 Rev. 4

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – NIST SP 800-53 Rév. 4. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès AC-3 (7) Contrôle d’accès en fonction du rôle Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès AC-4 Application du flux d’informations Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Gestion de la configuration CM-6 Paramètres de configuration L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration CM-6 Paramètres de configuration Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration CM-6 Paramètres de configuration Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Protection du système et des communications SC-7 Protection de la limite Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-7 (3) Points d’accès Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-8 Confidentialité et intégrité des transmissions Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Protection du système et des communications SC-8 (1) Protection par chiffrement ou autre protection physique Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS 8.2.0
Protection du système et des communications SC-12 Établissement et gestion de clés de chiffrement Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications SC-28 Protection des informations au repos Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Protection du système et des communications SC-28 (1) Protection par chiffrement Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Intégrité du système et des informations SI-2 Correction des défauts Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Intégrité du système et des informations SI-2 (6) Suppression des versions précédentes des logiciels/microprogrammes Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

NIST SP 800-53 Rev. 5

Pour voir le mappage entre les composants intégrés Azure Policy disponibles pour tous les services Azure et cette norme de conformité, consultez Conformité réglementaire d’Azure Policy – NIST SP 800-53 Rev. 5. Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rev. 5.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôle d’accès AC-3 (7) Contrôle d’accès en fonction du rôle Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès AC-4 Application du flux d’informations Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Gestion de la configuration CM-6 Paramètres de configuration L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion de la configuration CM-6 Paramètres de configuration Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion de la configuration CM-6 Paramètres de configuration Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion de la configuration CM-6 Paramètres de configuration Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion de la configuration CM-6 Paramètres de configuration Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Protection du système et des communications SC-7 Protection de la limite Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-7 (3) Points d’accès Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection du système et des communications SC-8 Confidentialité et intégrité des transmissions Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Protection du système et des communications SC-8 (1) Protection par chiffrement Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Protection du système et des communications SC-12 Établissement et gestion de clés de chiffrement Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Protection du système et des communications SC-28 Protection des informations au repos Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Protection du système et des communications SC-28 (1) Protection par chiffrement Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
Intégrité du système et des informations SI-2 Correction des défauts Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Intégrité du système et des informations SI-2 (6) Suppression des versions précédentes des logiciels et microprogrammes Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

Thème cloud BIO NL

Pour évaluer comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour le thème cloud BIO NL. Pour plus d’informations sur cette norme de conformité, consultez Cybersécurité du gouvernement de la sécurité des informations de référence - Digital Government (digitaleoverheid.nl).

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
C.04.3 Gestion des vulnérabilités techniques – Chronologies C.04.3 Si la probabilité d’abus et les dommages attendus sont tous les deux élevés, les correctifs sont installés au plus tard dans les sept jours. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
C.04.6 Gestion des vulnérabilités techniques - Chronologies C.04.6 Les faiblesses techniques peuvent être corrigées en effectuant une gestion des correctifs en temps opportun. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
C.04.7 Gestion des vulnérabilités techniques - Évaluées C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
C.04.7 Gestion des vulnérabilités techniques - Évaluées C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API 4.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN 5.1.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut 4.2.0
C.04.7 Gestion des vulnérabilités techniques – Évaluation C.04.7 Les évaluations des vulnérabilités techniques sont enregistrées et signalées. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
U.05.1 - Protection des données - Mesures de chiffrement U.05.1 Le transport de données est sécurisé par chiffrement, où la gestion des clés est effectuée par le CSC lui-même si possible. Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
U.05.2 - Protection des données - Mesures de chiffrement U.05.2 Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
U.05.2 - Protection des données - Mesures de chiffrement U.05.2 Les données stockées dans le service cloud doivent être protégées avec les technologie les plus récentes. Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
U.07.1 Séparation des données - Isolé U.07.1 L’isolation permanente des données est une architecture multi-tenant. Les correctifs sont réalisés de manière contrôlée. Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
U.07.3 Séparation des données - Fonctionnalités de gestion U.07.3 U.07.3 - Les privilèges permettant d’afficher ou de modifier les données CSC et/ou les clés de chiffrement sont accordés de manière contrôlée et l’utilisation est journalisée. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
U.09.3 Protection contre les programmes malveillants : détection, prévention et récupération U.09.3 La protection contre les programmes malveillants s’exécute sur différents environnements. Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
U.10.2 Accès aux services et données informatiques – Utilisateurs U.10.2 Sous la responsabilité du CSP, l’accès est accordé aux administrateurs. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
U.10.3 Accès aux services et données informatiques – Utilisateurs U.10.3 Seuls les utilisateurs disposant d’un équipement authentifié peuvent accéder aux services et données informatiques. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
U.10.5 Accès aux services et données informatiques – Compétent U.10.5 L’accès aux services et données informatiques est limité par les mesures techniques et a été implémenté. Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
U.11.1 - Services de chiffrement - Stratégie U.11.1 Dans la stratégie de chiffrement, au minimum les sujets conformes à BIO ont été élaborés. Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
U.11.2 - Services de chiffrement - Mesures de chiffrement U.11.2 Dans le cas de certificats PKIoverheid, utilisez les exigences PKIoverheid pour la gestion des clés. Dans les autres situations, utilisez ISO11770. Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
U.11.3 - Services de chiffrement - Chiffrement U.11.3 Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
U.11.3 - Services de chiffrement - Chiffrement U.11.3 Les données sensibles sont toujours chiffrées, avec des clés privées gérées par le CSC. Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte 1.0.1
U.15.1 Journalisation et surveillance - Événements enregistrés U.15.1 La violation des règles de stratégie est enregistrée par le CSP et le CSC. Les journaux de ressources dans Azure Kubernetes Service doivent être activés 1.0.0

Reserve Bank of India - Infrastructure informatique pour NBFC

Pour évaluer comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - Reserve Bank of India - Infrastructure informatique pour NBFC. Pour plus d’informations sur cette norme de conformité, consultez Reserve Bank of India - Infrastructure informatique pour NBFC.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Gouvernance informatique 1 Gouvernance informatique-1 Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Informations et cybersécurité 3.1.a Identification et classification des ressources d’information-3.1 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Informations et cybersécurité 3.1.c Contrôle d’accès en fonction du rôle-3.1 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Informations et cybersécurité 3.1.g Traçages-3.1 Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Informations et cybersécurité 3.3 Gestion des vulnérabilités-3.3 Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2

Banque de réserve de l’Inde – Infrastructure informatique pour les banques v2016

Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy - RBI ITF Banks v2016. Pour plus d’informations sur cette norme de conformité, consultez RBI ITF Banks v2016 (PDF).

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Gestion des correctifs/vulnérabilités et des changements Gestion des correctifs/vulnérabilités et des changements-7.7 Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Défense et gestion des menaces en temps réel avancées Défense et gestion des menaces en temps réel avancées-13.2 Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Contrôle d’accès/Gestion des utilisateurs Gestion / Contrôle d’accès utilisateur-8.1 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4

RMIT Malaysia

Pour voir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure Policy – RMIT Malaysia. Pour plus d’informations sur cette norme de conformité, consultez RMIT Malaysia.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Chiffrement 10.19 Chiffrement - 10.19 Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Contrôle d’accès 10.54 Contrôle d’accès - 10.54 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès 10.55 Contrôle d’accès - 10.55 Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Contrôle d’accès 10.55 Contrôle d’accès - 10.55 Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Contrôle d’accès 10.55 Contrôle d’accès - 10.55 Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Contrôle d’accès 10.55 Contrôle d’accès - 10.55 Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Contrôle d’accès 10.55 Contrôle d’accès - 10.55 Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Contrôle d’accès 10.60 Contrôle d’accès - 10.60 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès 10.61 Contrôle d’accès - 10.61 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôle d’accès 10.62 Contrôle d’accès - 10.62 Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Gestion des patchs et de la fin de vie du système 10.65 Gestion des correctifs et de la fin de vie du système - 10.65 Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes 1.0.2
Centre des opérations de sécurité (SOC) 11.17 Centre des opérations de sécurité (SOC) - 11.17 Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Mesures de contrôle de la cybersécurité Appendix 5.5 Mesures de contrôle de la cybersécurité - Annexe 5.5 Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées 5.2.0
Mesures de contrôle de la cybersécurité Annexe 5.6 Mesures de contrôle de la cybersécurité - Annexe 5.6 Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Mesures de contrôle de la cybersécurité Annexe 5.6 Mesures de contrôle de la cybersécurité - Annexe 5.6 Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Mesures de contrôle de la cybersécurité Annexe 5.6 Mesures de contrôle de la cybersécurité - Annexe 5.6 Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS 8.2.0

Espagne - ENS

Pour savoir comment les composants intégrés Azure Policy disponibles de tous les services Azure répondent à cette norme de conformité, consultez les Détails de la conformité réglementaire d’Azure Policy de l’ENS (Espagne). Pour plus d’informations sur cette norme de conformité, consultez CCN-STIC 884.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Mesure de protection mp.s.3 Protection des services L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Infrastructure opérationnelle op.exp.2 Opération Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Infrastructure opérationnelle op.exp.3 Opération Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Infrastructure opérationnelle op.exp.4 Opération Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Infrastructure opérationnelle op.exp.5 Opération Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Infrastructure opérationnelle op.exp.6 Opération Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Infrastructure opérationnelle op.exp.6 Opération Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1
Infrastructure opérationnelle op.exp.6 Opération Configurer les clusters Azure Kubernetes Service pour activer le profil Defender 4.3.0
Infrastructure opérationnelle exp.op.7 Opération Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Infrastructure opérationnelle op.exp.8 Opération Les journaux de ressources dans Azure Kubernetes Service doivent être activés 1.0.0
Infrastructure opérationnelle op.mon.3 Contrôle du système Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) 1.0.1

SWIFT CSP-CSCF v2021

Pour évaluer le lien entre les éléments intégrés Azure Policy, disponibles pour tous les services Azure, et cette norme de conformité, consultez Informations relatives à la conformité réglementaire Azure Policy de SWIFT CSP-CSCF v2021. Pour plus d’informations sur cette norme de conformité, consultez SWIFT CSP-CSCF v2021.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Protection de l’environnement SWIFT 1.1 Protection de l’environnement SWIFT Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Protection de l’environnement SWIFT 1.4 Restriction de l’accès à Internet Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes 2.0.1
Réduire la surface d’attaque et les vulnérabilités 2.1 Sécurité interne du flux de données Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Détecter les activités anormales dans les systèmes ou les enregistrements de transaction 6.2 Intégrité logicielle Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1
Détecter les activités anormales dans les systèmes ou les enregistrements de transaction 6.5A Détection des intrusions Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client 1.0.1

Contrôles d’organisation et de Système (SOC) 2

Pour passer en revue la façon dont les intégrations Azure Policy disponibles pour tous les services Azure correspondent à cette norme de conformité, consultez Détails de la conformité réglementaire Azure Policy pour SOC (System and Organization Controls) 2. Pour obtenir plus d’informations sur cette norme de conformité, consultez SOC (System and Organization Controls) 2.

Domain ID du contrôle Titre du contrôle Policy
(Portail Azure)
Version de la stratégie
(GitHub)
Contrôles d’accès logiques et physiques CC6.1 Architectures, infrastructure et logiciels de sécurité d’accès logique Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Contrôles d’accès logiques et physiques CC6.3 Accès basé sur un rôle et privilège minimum Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes 1.0.4
Contrôles d’accès logiques et physiques CC6.6 Mesures de sécurité contre les menaces extérieures aux limites du système Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Contrôles d’accès logiques et physiques CC6.7 Réserver uniquement la diffusion des informations aux utilisateurs autorisés Les clusters Kubernetes doivent être accessibles uniquement via HTTPS 8.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API 4.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN 5.1.0
Contrôles d’accès logiques et physiques CC6.8 Prévenir ou détecter les logiciels non autorisés ou malveillants Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut 4.2.0
Opérations du système CC7.2 Analyser les composants du système pour détecter tout comportement anormal Le profil Defender doit être activé sur les clusters Azure Kubernetes Service 2.0.1
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters 1.0.2
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées 9.3.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte 5.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés 6.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 6.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées 9.3.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule 6.3.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés 6.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés 6.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés 6.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés 8.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés 9.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API 4.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur 7.2.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN 5.1.0
Gestion des changements CC8.1 Modifications apportées à l’infrastructure, aux données et aux logiciels Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut 4.2.0

Étapes suivantes