Definizioni predefinite di Criteri di Azure per il servizio Azure Kubernetes
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il servizio Azure Kubernetes. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Iniziative
| Nome | Descrizione | Criteri | Versione |
|---|---|---|---|
| [Anteprima]: Usare Integrità immagine per assicurarsi che vengano distribuite solo immagini attendibili | Usare Integrità immagine per garantire che i cluster del servizio Azure Kubernetes distribuiscano solo immagini attendibili; a questo scopo, abilitare l'integrità delle immagini e i componenti aggiuntivi criteri di Azure nei cluster del servizio Azure Kubernetes. I componenti aggiuntivi Integrità immagine e Criteri di Azure sono entrambi prerequisiti per l'uso di Integrità immagine per verificare se l'immagine sia firmata al momento della distribuzione. Per altre info, visitare https://aka.ms/aks/image-integrity | 3 | 1.1.0-preview |
| [Anteprima]: Le misure di sicurezza della distribuzione devono aiutare gli sviluppatori a seguire le procedure consigliate per il servizio Azure Kubernetes | Raccolta di procedure consigliate per Kubernetes fornite dal servizio Azure Kubernetes. Per un'esperienza ottimale, usare le misure di sicurezza della distribuzione per assegnare questa iniziativa di politiche: https://aka.ms/aks/deployment-safeguards. Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes è un prerequisito per l'applicazione di queste procedure consigliate ai cluster. Per istruzioni sull'abilitazione del componente aggiuntivo Criteri di Azure, vedere aka.ms/akspolicydoc | 20 | 1.9.0-preview |
| Standard baseline di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard baseline di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes (AKS) e in anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Standard limitati di sicurezza per i pod dei cluster Kubernetes per i carichi di lavoro basati su Linux | Questa iniziativa include i criteri per gli standard limitati di sicurezza per i pod dei cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Azure Kubernetes (AKS) e in anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Definizioni dei criteri
Microsoft.ContainerService
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: [Integrità immagine] I cluster Kubernetes devono usare solo immagini firmate dalla notazione | Usare le immagini firmate dalla notazione per assicurarsi che le immagini provengano da origini attendibili e non vengano modificate in modo dannoso. Per altre info, visitare https://aka.ms/aks/image-integrity | Audit, Disabled | 1.1.0-preview |
| [Anteprima]: l'estensione backup di Azure deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati nativa del cloud e sicura per i cluster del servizio Azure Kubernetes | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i cluster del servizio Azure Kubernetes | Assicurarsi di proteggere i cluster del servizio Azure Kubernetes abilitando Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster gestiti del servizio Azure Kubernetes devono essere ridondanti della zona | I cluster gestiti del servizio Azure Kubernetes possono essere configurati come ridondanti della zona o meno. I criteri controllano i pool di nodi nel cluster e assicurano che le zone di disponibilità siano impostate per tutti i pool di nodi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: non è possibile modificare singoli nodi | Non è possibile modificare singoli nodi. Gli utenti non devono modificare singoli nodi. Modificare i pool di nodi. La modifica di singoli nodi può causare impostazioni incoerenti, sfide operative e potenziali rischi per la sicurezza. | Audit, Deny, Disabled | 1.3.0-anteprima |
| [Anteprima]: Distribuire l'integrità delle immagini nel servizio Azure Kubernetes | Distribuire cluster Azure Kubernetes sia integrità delle immagini che componenti aggiuntivi per i criteri. Per altre info, visitare https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-anteprima |
| [Anteprima]: Installare l'estensione Backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) con un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes contenenti un tag specificato. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: installare l'estensione backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) senza un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes senza un valore di tag specifico. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes devono includere l'hook preStop | Richiede che le immagini del contenitore includano un hook preStop per terminare normalmente i processi durante gli arresti dei pod. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes non devono includere il tag di immagine più recente | Richiede che le immagini del contenitore non usino il tag più recente in Kubernetes, è consigliabile garantire la riproducibilità, impedire gli aggiornamenti imprevisti e semplificare il debug e il rollback usando immagini del contenitore esplicite e con controllo delle versioni. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: i contenitori del cluster Kubernetes devono eseguire il pull solo di immagini quando sono presenti segreti pull delle immagini | Limitare il pull dell'immagine dei contenitori per applicare la presenza di ImagePullSecrets, garantendo l'accesso sicuro e autorizzato alle immagini all'interno di un cluster Kubernetes | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: i servizi cluster Kubernetes devono usare selettori univoci | Verificare che i servizi in uno spazio dei nomi abbiano selettori univoci. Un selettore di servizio univoco garantisce che ogni servizio all'interno di uno spazio dei nomi sia identificabile in modo univoco in base a criteri specifici. Questo criterio sincronizza le risorse in ingresso in OPA tramite Gatekeeper. Prima dell'applicazione, verificare che la capacità di memoria dei pod gatekeeper non venga superata. I parametri si applicano a spazi dei nomi specifici, ma sincronizza tutte le risorse di tale tipo in tutti gli spazi dei nomi. Attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: il cluster Kubernetes deve implementare budget accurati di interruzione dei pod | Impedisce budget di interruzione dei pod difettosi, garantendo un numero minimo di pod operativi. Per informazioni dettagliate, vedere la documentazione ufficiale di Kubernetes. Si basa sulla replica dei dati gatekeeper e sincronizza tutte le risorse di ingresso con ambito in OPA. Prima di applicare questo criterio, assicurarsi che le risorse in ingresso sincronizzate non pressioniranno la capacità di memoria. Anche se i parametri valutano spazi dei nomi specifici, tutte le risorse di quel tipo tra gli spazi dei nomi verranno sincronizzate. Nota: attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.3.0-anteprima |
| [Anteprima]: I cluster Kubernetes devono limitare la creazione del tipo di risorsa specificato | Il tipo di risorsa Kubernetes specificato non deve essere distribuito in uno spazio dei nomi specifico. | Audit, Deny, Disabled | 2.3.0-anteprima |
| [Anteprima]: deve avere un set di regole anti-affinità | Questo criterio garantisce che i pod siano pianificati in nodi diversi all'interno del cluster. Applicando le regole di anti-affinità, la disponibilità viene mantenuta anche se uno dei nodi non è più disponibile. I pod continueranno a essere eseguiti in altri nodi, migliorando la resilienza. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: Modificare il contenitore K8s per rimuovere tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori Linux k8s | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Modificare il contenitore init K8s per rimuovere tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori init di Linux k8s | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: nessuna etichetta specifica del servizio Azure Kubernetes | Impedisce ai clienti di applicare etichette specifiche del servizio Azure Kubernetes. Il servizio Azure Kubernetes usa etichette precedute da kubernetes.azure.com per indicare i componenti di proprietà del servizio Azure Kubernetes. Il cliente non deve usare queste etichette. |
Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: impedisce l'esecuzione dei contenitori come radice impostando runAsNotRoot su true. | L'impostazione di runAsNotRoot su true aumenta la sicurezza impedendo l'esecuzione dei contenitori come radice. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: impedisce l'esecuzione di contenitori init come radice impostando runAsNotRoot su true. | L'impostazione di runAsNotRoot su true aumenta la sicurezza impedendo l'esecuzione dei contenitori come radice. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: Stampa un messaggio se viene applicata una mutazione | Cerca le annotazioni di mutazione applicate e stampa un messaggio se esiste un'annotazione. | Audit, Disabled | 1.1.0-preview |
| [Anteprima]: taint del pool di sistema riservato | Limita il taint CriticalAddonsOnly solo al pool di sistema. Il servizio Azure Kubernetes usa il taint CriticalAddonsOnly per evitare i pod dei clienti dal pool di sistema. Garantisce una netta separazione tra i componenti del servizio Azure Kubernetes e i pod dei clienti, oltre a impedire che i pod dei clienti vengano rimossi se non tollerano il taint CriticalAddonsOnly. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: limita il taint CriticalAddonsOnly solo al pool di sistema. | Per evitare la rimozione delle app utente dai pool di utenti e mantenere la separazione delle preoccupazioni tra l'utente e i pool di sistema, il taint 'CriticalAddonsOnly' non deve essere applicato ai pool di utenti. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta automountServiceAccountToken nel Pod specifico nei contenitori su False. | L'impostazione automountServiceAccountToken su False aumenta la sicurezza evitando il montaggio automatico predefinito dei token dell'account del servizio | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del cluster Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: imposta i limiti di CPU dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti della CPU del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: imposta i limiti di memoria dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti di memoria del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster Kubernetes su RuntimeDefault, se non è presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i contenitori del cluster init securityContext.runAsUser del cluster init Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster init Kubernetes su RuntimeDefault, se non presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori init per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del Pod Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: imposta i pod maxUnavailable su 1 per le risorse PodDisruptionBudget | L'impostazione del valore massimo del pod non disponibile su 1 garantisce che l'applicazione o il servizio sia disponibile durante un'interruzione | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod nei contenitori init su False. | L'impostazione dell'escalation dei privilegi su False nei contenitori init aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod su False. | L'impostazione dell'escalation dei privilegi su False aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica Pod nei contenitori init su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice. Questo funziona solo per i contenitori Linux. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica pod su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice | Muto, disabilitato | 1.2.0-preview |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
| I cluster di Azure Kubernetes devono disabilitare l'SSH | Disabilitando l'SSH è possibile proteggere il cluster e ridurre la superficie di attacco. Per ulteriori informazioni, visitare: aka.ms/aks/disablessh | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare Container Storage Interface (CSI) | La Container Storage Interface (CSI) è uno standard per esporre sistemi di archiviazione a blocchi e file arbitrari a carichi di lavoro containerizzati su Azure Kubernetes Service. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare il Servizio di gestione delle chiavi (KMS) | Usare il servizio di gestione delle chiavi (KMS) per crittografare i dati segreti inattivi in etcd per la sicurezza del cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono usare Azure CNI | Azure CNI è un prerequisito per alcune funzionalità di Azure Kubernetes Service, tra cui i criteri di rete di Azure, i pool di nodi Windows e il componente aggiuntivo dei nodi virtuali. Per altre informazioni, vedere: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| I cluster del servizio Azure Container devono disabilitare Command Invoke | La disabilitazione di Command Invoke può migliorare la sicurezza evitando il bypass dell'accesso di rete con restrizioni o del controllo degli accessi in base al ruolo di Kubernetes | Audit, Disabled | 1.0.1 |
| I cluster del servizio Azure Kubernetes devono abilitare l'aggiornamento automatico del cluster | L'aggiornamento automatico del cluster AKS può assicurarsi che i cluster siano aggiornati e che non vengano perse le funzionalità o le patch più recenti dal servizio Azure Kubernetes e da Kubernetes upstream. Per altre informazioni, vedere https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare Image Cleaner | Image Cleaner esegue l'identificazione e la rimozione automatica delle immagini vulnerabili e inutilizzate, riducendo il rischio di immagini non aggiornate e il tempo necessario per pulirle. Per altre informazioni, vedere https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare l'integrazione di Microsoft Entra ID | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| I cluster del servizio Azure Kubernetes devono abilitare l'aggiornamento automatico del sistema operativo del nodo | L'aggiornamento automatico del sistema operativo del nodo del servizio Azure Kubernetes controlla gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. Per altre informazioni, vedere https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare l'identità del carico di lavoro | L'identità del carico di lavoro consente di assegnare un'identità univoca a ogni pod Kubernetes e associarla a risorse protette di Azure AD, ad esempio Azure Key Vault, consentendo l'accesso sicuro a queste risorse dall'interno del pod. Per altre informazioni, vedere https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes cloud-native, tra cui l'hardening dell'ambiente, la protezione del carico di lavoro e la protezione del tempo di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster del servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori si possono trovare in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| I cluster del servizio Azure Kubernetes devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che i cluster di servizi Azure Kubernetes richiedano esclusivamente identità Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| I cluster del servizio Azure Kubernetes devono usare identità gestite | Usare le identità gestite per eseguire il wrapping delle entità servizio, semplificare la gestione dei cluster ed evitare la complessità necessaria per le entità servizio gestite. Per altre informazioni, vedere: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| I cluster privati del servizio Azure Kubernetes devono essere abilitati | Abilitare la funzionalità cluster privato per il cluster del servizio Azure Kubernetes per garantire che il traffico di rete tra il server API e i pool di nodi rimanga solo nella rete privata. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists, Disabled | 1.0.1 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Configurare i cluster del servizio Azure Kubernetes per abilitare il profilo Defender | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes cloud-native, tra cui l'hardening dell'ambiente, la protezione del carico di lavoro e la protezione del tempo di esecuzione. Quando si abilita SecurityProfile.Defender nel cluster del servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Perltre informazioni su Microsoft Defender per contenitori vedere https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.3.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando l'origine del contenitore e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e il certificato CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con l'origine del contenitore Flux v2 specificata usando segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti HTTPS | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti SSH | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster di servizi Azure Kubernetes integrati con Microsoft Entra ID con l'accesso al gruppo di amministrazione richiesto | Garantire una maggiore sicurezza del cluster governando centralmente l'accesso dell'amministratore ai cluster AKS integrati con Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare l'aggiornamento automatico del sistema operativo del nodo nel cluster Azure Kubernetes | Usare l'aggiornamento automatico del sistema operativo del nodo per controllare gli aggiornamenti della sicurezza del sistema operativo a livello di nodo dei cluster del servizio Azure Kubernetes. Per altre info, visitare https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Implementare - Configurare le impostazioni di diagnostica per il servizio Azure Kubernetes nell'area di lavoro Log Analytics | Implementa le impostazioni di diagnostica per il servizio Azure Kubernetes per lo streaming i log delle risorse in un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuire il componente aggiuntivo Criteri di Azure nei cluster del servizio Azure Kubernetes | Usare il componente aggiuntivo Criteri di Azure per gestire e segnalare lo stato di conformità dei cluster del servizio Azure Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Implementare Image Cleaner sul servizio Azure Kubernetes | Distribuire Image Cleaner nei cluster Azure Kubernetes. Per altre info, visitare https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Implementare la manutenzione pianificata per pianificare e controllare gli aggiornamenti per il cluster del servizio Azure Kubernetes | Manutenzione pianificata consente di pianificare le finestre di manutenzione settimanali per eseguire gli aggiornamenti e ridurre al minimo l'impatto del carico di lavoro. Una volta pianificato, gli aggiornamenti vengono eseguiti solo durante la finestra selezionata. Per altre informazioni, vedere: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Disabilitare Command Invoke nei cluster del servizio Azure Kubernetes | La disabilitazione di Command Invoke può migliorare la sicurezza rifiutando l'accesso Command Invoke al cluster | DeployIfNotExists, Disabled | 1.2.0 |
| Assicurare che per i contenitori del cluster siano configurati probe di conformità o di attività | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.3.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limita i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Audit, Deny, Disabled | 3.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e contenitori del cluster Kubernetes devono usare solo le opzioni SELinux consentite | I pod e contenitori devono usare solo le opzioni SELinux consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono utilizzare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Audit, Deny, Disabled | 2.3.0 |
| I contenitori Windows del cluster Kubernetes non devono effettuare l'overcommit di CPU e memoria | Le richieste di risorse contenitore di Windows devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se viene eseguito il provisioning eccessivo della memoria di Windows, le pagine verranno elaborate su disco, che può rallentare le prestazioni, anziché terminare il contenitore con memoria insufficiente | Audit, Deny, Disabled | 2.2.0 |
| I contenitori windows del cluster Kubernetes non devono essere eseguiti come ContainerAdministrator | Impedire l'utilizzo di ContainerAdministrator come utente per eseguire i processi del contenitore per pod o contenitori Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.2.0 |
| I contenitori Windows del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare l'utente che i pod e i contenitori di Windows possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows che consentono di migliorare la sicurezza degli ambienti Kubernetes. | Audit, Deny, Disabled | 2.2.0 |
| I pod Windows del cluster Kubernetes non devono eseguire contenitori HostProcess | Impedire l'accesso privilegiato al nodo Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono assicurarsi che il ruolo di amministratore del cluster venga usato solo se necessario | Il ruolo “cluster-admin” offre poteri di ampia portata nell'ambiente e deve essere usato solo dove e quando necessario. | Audit, Disabled | 1.1.0 |
| I cluster Kubernetes devono ridurre al minimo l'uso dei caratteri jolly nel ruolo e nel ruolo del cluster | L'uso dei caratteri jolly “*” può essere un rischio per la sicurezza perché concede autorizzazioni generali che potrebbero non essere necessarie per un ruolo specifico. Se un ruolo ha troppe autorizzazioni, potrebbe essere usato in modo improprio da un utente malintenzionato o compromesso per ottenere l'accesso non autorizzato alle risorse nel cluster. | Audit, Disabled | 1.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica dell'endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.2.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono usare driver Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner ad albero StorageClass deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
| I cluster Kubernetes devono usare servizi di bilanciamento del carico interni | Usare i bilanciatori di carico interni per rendere un servizio Kubernetes accessibile solo alle applicazioni in esecuzione nella stessa rete virtuale del cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Le risorse Kubernetes devono avere annotazioni obbligatorie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
| I log delle risorse del servizio Azure Kubernetes devono essere abilitati | I log delle risorse del servizio Azure Kubernetes consentono di ricreare i percorsi di attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists, Disabled | 1.0.0 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host di macchine virtuali (VM) dei nodi del servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
Collabora con noi su GitHub
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
Azure Kubernetes Service