Controles de Conformidade Regulatória do Azure Policy para o AKS (Serviço de Kubernetes do Azure)

A Conformidade Regulatória no Azure Policy fornece definições de iniciativas (internas) criadas e gerenciadas pela Microsoft para os domínios de conformidade e os controles de segurança relacionados a diferentes padrões de conformidade. Esta página lista os domínios de conformidade e os controles de segurança do AKS (Serviço de Kubernetes do Azure).

Você pode atribuir os itens internos a um controle de segurança individualmente a fim de ajudar a manter seus recursos do Azure em conformidade com o padrão específico.

O título de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão da Política para ver a origem no repositório GitHub do Azure Policy.

Importante

Cada controle está associado a uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Portanto, a Conformidade no Azure Policy refere-se apenas às próprias políticas. Isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os controles e as definições de Conformidade Regulatória do Azure Policy para esses padrões de conformidade podem mudar com o tempo.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.1.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.5 Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CIS Microsoft azure Foundations Benchmark 1.3.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.5 Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Para analisar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Detalhes de conformidade regulatória do azure Policy para CIS v1.4.0. Para saber mais sobre esse padrão de conformidade, confira CIS Microsoft Azure Foundations Benchmark.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
8 Outras considerações de segurança 8.7 Habilitar o RBAC (controle de acesso baseado em função) nos Serviços de Kubernetes do Azure O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4

CMMC nível 3

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – CMMC nível 3. Para saber mais sobre esse padrão de conformidade, confira Cybersecurity Maturity Model Certification (CMMC).

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso AC.1.001 Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Controle de acesso AC.1.001 Limitar o acesso do sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados e dispositivos (incluindo outros sistemas de informações). O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso AC.1.002 Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Controle de acesso AC.1.002 Limitar o acesso do sistema de informações aos tipos de transações e funções que os usuários autorizados têm permissão para executar. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso AC.2.007 Empregar o princípio de privilégios mínimos, incluindo para funções de segurança específicas e contas privilegiadas. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso AC.2.016 Controle o fluxo de CUI de acordo com autorizações aprovadas. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Gerenciamento de configuração CM.2.062 Empregar o princípio da funcionalidade mínima configurando sistemas organizacionais para fornecer apenas recursos essenciais. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Gerenciamento de configuração CM.3.068 Restrinja, desabilite ou impeça o uso de programas, funções, portas, protocolos e serviços não essenciais. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Avaliação de risco RM.2.143 Corrigir vulnerabilidades de acordo com as avaliações de risco. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Proteção do Sistema e das Comunicações SC.1.175 Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Proteção do Sistema e das Comunicações SC.3.177 Empregar criptografia validada por FIPS quando usada para proteger a confidencialidade da CUI. Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do Sistema e das Comunicações SC.3.183 Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Integridade do Sistema e das Informações SI.1.210 Identificar, relatar e corrigir falhas em informações e sistemas de informações oportunamente. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

FedRAMP Alto

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP High. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP High.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso AC-4 Política de fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Gerenciamento de configuração CM-6 Definições de configuração O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração CM-6 Definições de configuração Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Proteção do sistema e das comunicações SC-7 Proteção de limite Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-7 (3) Pontos de acesso Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-8 Confidencialidade e integridade de transmissão Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-12 Estabelecimento de chave de criptografia e gerenciamento Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do sistema e das comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção do sistema e das comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do sistema e das informações SI-2 Correção de falhas Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

FedRAMP Moderado

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – FedRaMP Moderate. Para obter mais informações sobre esse padrão de conformidade, confira FedRAMP Moderate.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso AC-4 Política de fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Gerenciamento de configuração CM-6 Definições de configuração O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração CM-6 Definições de configuração Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Proteção do sistema e das comunicações SC-7 Proteção de limite Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-7 (3) Pontos de acesso Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-8 Confidencialidade e integridade de transmissão Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-12 Estabelecimento de chave de criptografia e gerenciamento Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do sistema e das comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção do sistema e das comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do sistema e das informações SI-2 Correção de falhas Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

HIPAA HITRUST 9.2

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy – HIPaa HITRUST 9.2. Para obter mais informações sobre esse padrão de conformidade, confira HIPAA HITRUST 9.2.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Gerenciamento de privilégios 1149.01c2System.9 – 01.c A organização facilita o compartilhamento de informações, permitindo que os usuários autorizados determinem o acesso de um parceiro de negócios quando o critério é permitido, conforme definido pela organização, e empregando processos manuais ou mecanismos automatizados para ajudar os usuários a tomar decisões de compartilhamento/colaboração de informações. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
11 Controle de Acesso 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Acesso Autorizado a Sistemas de Informação O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
12 Log de Auditoria e Monitoramento 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Procedimentos operacionais documentados O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4

Políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty

Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty. Para obter mais informações sobre esse padrão de conformidade, confira Portfólio de políticas do Microsoft Cloud for Sovereignty.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
SO.3 - Chaves Gerenciadas pelo Cliente SO.3 Os produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente sempre que possível. Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1

Referência de segurança de nuvem da Microsoft

O parâmetro de comparação de segurança da nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. Para ver como esse serviço é completamente mapeado para o parâmetro de comparação de segurança da nuvem da Microsoft, confira os Arquivos de mapeamento do Azure Security Benchmark.

Para analisar como os itens internos do azure Policy disponíveis para todos os serviços do azure são mapeados para esse padrão de conformidade, confira Conformidade Regulatória do azure Policy: parâmetro de comparação de segurança da nuvem da Microsoft.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Segurança de rede NS-2 Proteger serviços de nuvem usando controles de rede Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Acesso privilegiado PA-7 Seguir a administração Just Enough (princípio de privilégios mínimos) O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Proteção de Dados DP-3 Criptografar dados confidenciais em trânsito Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Log e detecção de ameaças LT-1 Habilitar recursos de detecção de ameaças Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Log e detecção de ameaças LT-2 Habilitar detecção de ameaças para gerenciamento de identidade e acesso Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Log e detecção de ameaças LT-3 Habilitar registro em log para investigação de segurança Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados 1.0.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática 4.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.1.0
Gerenciamento de postura e vulnerabilidades PV-2 Auditar e impor configurações seguras Os clusters do Kubernetes não devem usar o namespace padrão 4.2.0
Gerenciamento de postura e vulnerabilidades PV-6 Corrigir vulnerabilidades de modo rápido e automático As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Segurança DevOps DS-6 Impor a segurança da carga de trabalho durante todo o ciclo de vida de DevOps As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1

NIST SP 800-171 R2

Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-171 R2. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-171 R2.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso 3.1.3 Controle o fluxo de CUI de acordo com autorizações aprovadas. Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações 3.13.1 Monitore, controle e proteja as comunicações (ou seja, informações transmitidas ou recebidas por sistemas organizacionais) nos limites externos e os principais limites internos dos sistemas organizacionais. Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações 3.13.10 Estabelecer e gerenciar chaves de criptografia para criptografia empregada em sistemas organizacionais. Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do Sistema e das Comunicações 3.13.16 Proteja a confidencialidade do CUI em repouso. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção do Sistema e das Comunicações 3.13.2 Empregar designs de arquitetura, técnicas de desenvolvimento de software e princípios de engenharia de sistemas que promovem a segurança de informações efetiva em sistemas organizacionais. Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações 3.13.5 Implemente sub-redes para componentes do sistema publicamente acessíveis que estejam fisicamente ou logicamente separados de redes internas. Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações 3.13.6 Negar o tráfego de comunicações de rede por padrão e permitir o tráfego de comunicações de rede por exceção (ou seja, negar tudo, permitir por exceção). Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações 3.13.8 Implemente mecanismos criptográficos para impedir a divulgação não autorizada da CUI durante a transmissão, a menos que ela conte com proteções físicas alternativas. Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Integridade do Sistema e das Informações 3.14.1 Identifique, relate e corrija falhas do sistema oportunamente. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração 3.4.1 Estabelecer e manter configurações de linha de base e inventários dos sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema. Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração 3.4.2 Estabelecer e impor as definições de configuração de segurança para produtos de tecnologia da informação empregadas em sistemas organizacionais. Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0

NIST SP 800-53 Rev. 4

Para examinar como as iniciativas internas disponíveis do Azure Policy de todos os serviços do Azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do Azure Policy – NIST SP 800-53 Rev. 4. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 4.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso AC-3 (7) Controle de acesso baseado em função O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso AC-4 Política de fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Gerenciamento de configuração CM-6 Definições de configuração O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração CM-6 Definições de configuração Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Proteção do sistema e das comunicações SC-7 Proteção de limite Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-7 (3) Pontos de acesso Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do sistema e das comunicações SC-8 Confidencialidade e integridade de transmissão Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-8 (1) Proteção física criptográfica ou alternativa Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do sistema e das comunicações SC-12 Estabelecimento de chave de criptografia e gerenciamento Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do sistema e das comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção do sistema e das comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do sistema e das informações SI-2 Correção de falhas Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Integridade do sistema e das informações SI-2 (6) Remoção de versões anteriores de software e firmware Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

NIST SP 800-53 Rev. 5

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – NIST SP 800-53 Rev. 5. Para obter mais informações sobre esse padrão de conformidade, confira NIST SP 800-53 Rev. 5.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controle de acesso AC-3 (7) Controle de acesso baseado em função O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso AC-4 Política de fluxo de informações Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Gerenciamento de configuração CM-6 Definições de configuração O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de configuração CM-6 Definições de configuração Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de configuração CM-6 Definições de configuração Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de configuração CM-6 Definições de configuração O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de configuração CM-6 Definições de configuração Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Proteção do Sistema e das Comunicações SC-7 Proteção de limite Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações SC-7 (3) Pontos de acesso Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção do Sistema e das Comunicações SC-8 Confidencialidade e integridade de transmissão Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do Sistema e das Comunicações SC-8 (1) Proteção criptográfica Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Proteção do Sistema e das Comunicações SC-12 Estabelecimento de Chave de Criptografia e Gerenciamento Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Proteção do Sistema e das Comunicações SC-28 Proteção de informações em repouso Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Proteção do Sistema e das Comunicações SC-28 (1) Proteção criptográfica Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
Integridade do Sistema e das Informações SI-2 Correção de falhas Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Integridade do Sistema e das Informações SI-2 (6) Remoção de versões anteriores de software e firmware Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

Tema de nuvem do NL BIO

Para analisar como os componentes do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes da Conformidade Regulatória do Azure Policy com o NL BIO Cloud Theme. Para obter mais informações sobre esse padrão de conformidade, confira Segurança Cibernética do Governo de Segurança da Informação de Linha de Base – Governo Digital (digitaleoverheid.nl).

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
C.04.3 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo C.04.3 Se a probabilidade de abuso e os danos esperados forem altos, os patches serão instalados em até uma semana. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
C.04.6 Gerenciamento de vulnerabilidades técnicas – Linhas do tempo C.04.6 As vulnerabilidades técnicas podem ser corrigidas com a realização de um gerenciamento de patch em tempo hábil. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática 4.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.1.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os clusters do Kubernetes não devem usar o namespace padrão 4.2.0
C.04.7 Gerenciamento de vulnerabilidades técnicas – Avaliado C.04.7 As avaliações de vulnerabilidades técnicas são registradas e relatadas. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
U.05.1 Proteção de dados – Medidas de criptografia U.05.1 O transporte de dados é protegido com criptografia em que o gerenciamento de chaves é realizado pelo próprio CSC, se possível. Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
U.05.2 Proteção de dados – Medidas de criptografia U.05.2 Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
U.05.2 Proteção de dados – Medidas de criptografia U.05.2 Os dados armazenados no serviço de nuvem devem ser protegidos até a última geração. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
U.07.1 Separação de dados – Isolado U.07.1 O isolamento permanente de dados é uma arquitetura multilocatário. Os patches são realizados de maneira controlada. Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
U.07.3 Separação de dados – Recursos de gerenciamento U.07.3 U.07.3 – Os privilégios para exibir ou modificar dados de CSC e/ou chaves de criptografia são concedidos de maneira controlada, e o uso é registrado. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
U.09.3 Proteção contra malware – Detecção, prevenção e recuperação U.09.3 A proteção contra malware é executada em ambientes diferentes. Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
U.10.2 Acesso a serviços e dados de TI – Usuários U.10.2 Sob a responsabilidade do CSP, o acesso é permitido aos administradores. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
U.10.3 Acesso a serviços e dados de TI – Usuários U.10.3 Somente os usuários com equipamentos autenticados podem acessar dados e serviços de TI. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
U.10.5 Acesso a serviços e dados de TI – Pessoa competente U.10.5 O acesso a serviços e dados de TI é limitado por medidas técnicas e foi implementado. O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
U.11.1 Serviços de criptografia – Política U.11.1 Na política de criptografia, no mínimo, as entidades de acordo com a BIO foram elaboradas. Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
U.11.2 Serviços de criptografia – Medidas de criptografia U.11.2 No caso de certificados PKIoverheid, use requisitos PKIoverheid para gerenciamento de chaves. Em outras situações, use ISO11770. Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
U.11.3 Serviços de criptografia – Criptografados U.11.3 Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
U.11.3 Serviços de criptografia – Criptografados U.11.3 Os dados confidenciais são sempre criptografados, com as chaves privadas gerenciadas pelo CSC. Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host 1.0.1
U.15.1 Log e monitoramento – Eventos registrados em log U.15.1 A violação das regras de política é registrada pelo CSP e pelo CSC. Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados 1.0.0

Reserve Bank of India – Estrutura de TI para NBFC

Para examinar como as iniciativas internas disponíveis no azure Policy para todos os serviços do azure são mapeadas para esse padrão de conformidade, veja Conformidade Regulatória do azure Policy – Banco de Reserva da Índia – Framework de TI para NBFC. Para obter mais informações sobre esse padrão de conformidade, veja Banco de Reserva da Índia – Framework de TI para NBFC.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Governança de TI 1 Governança de TI–1 Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
Informações e Segurança Cibernética 3.1.a Identificação e Classificação de Ativos de Informação–3.1 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Informações e Segurança Cibernética 3.1.c Controle de Acesso baseado em função–3.1 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Informações e Segurança Cibernética 3.1.g Trails-3.1 Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Segurança da Informação e Segurança Cibernética 3.3 Gerenciamento de vulnerabilidades 3.3 Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2

Reserve Bank of India IT Framework for Banks v2016

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – RBI ITF de Bancos v2016. Para obter mais informações sobre esse padrão de conformidade, consulte RBI ITF de Bancos v2016 (PDF).

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Patch/vulnerabilidade e Gerenciamento de alterações Patch/vulnerabilidade e Gerenciamento de alterações — 7.7 Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Gerenciamento e defesa contra ameaças em tempo de execução avançado Gerenciamento e defesa contra ameaças em tempo de execução avançado-13.2 Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Controle de acesso/Gerenciamento do usuário Controle de acesso/Gerenciamento do usuário – 8.1 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4

RMIT Malásia

Para examinar como as iniciativas internas disponíveis do azure Policy de todos os serviços do azure são mapeadas para esse padrão de conformidade, confira Conformidade regulatória do azure Policy – IRMIT Malásia. Para saber mais sobre esse padrão de conformidade, confira RMIT Malásia.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Criptografia 10.19 Criptografia - 10.19 Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Controle de acesso 10.54 Controle de Acesso – 10.54 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso 10,55 Controle de acesso - 10.55 Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Controle de acesso 10,55 Controle de acesso - 10.55 Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Controle de acesso 10,55 Controle de acesso - 10.55 Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Controle de acesso 10,55 Controle de acesso - 10.55 O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Controle de acesso 10,55 Controle de acesso - 10.55 Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Controle de acesso 10.60 Controle de acesso - 10.60 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso 10.61 Controle de Acesso – 10.61 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controle de acesso 10.62 Controle de acesso - 10.62 O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Gerenciamento de sistema de patch e de fim de vida útil 10.65 Gerenciamento de sistema de patch e de fim de vida útil – 10.65 Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes 1.0.2
SOC (Centro de Operações de Segurança) 11.17 SOC (Centro de Operações de Segurança) – 11.17 Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Medidas de controle sobre segurança cibernética Apêndice 5.5 Medidas de controle sobre segurança cibernética – Apêndice 5,5 Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos 5.2.0
Medidas de controle sobre segurança cibernética Apêndice 5.6 Medidas de controle sobre segurança cibernética - Apêndice 5.6 Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Medidas de controle sobre segurança cibernética Apêndice 5.6 Medidas de controle sobre segurança cibernética - Apêndice 5.6 Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Medidas de controle sobre segurança cibernética Apêndice 5.6 Medidas de controle sobre segurança cibernética - Apêndice 5.6 Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0

ENS (Espanha)

Para analisar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, veja Detalhes de conformidade regulatória do Azure Policy para Espanha ENS. Para obter mais informações sobre esse padrão de conformidade, consulte CCN-STIC 884.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Medidas de proteção mp.s.3 Proteção de serviços O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Estrutura operacional op.exp.2 Operação As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Estrutura operacional op.exp.3 Operação As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Estrutura operacional op.exp.4 Operação As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Estrutura operacional op.exp.5 Operação As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Estrutura operacional op.exp.6 Operação Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Estrutura operacional op.exp.6 Operação As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1
Estrutura operacional op.exp.6 Operação Configurar os clusters do Serviço de Kubernetes do Azure para habilitar o perfil do Defender 4.3.0
Estrutura operacional op.exp.7 Operação Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Estrutura operacional op.exp.8 Operação Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados 1.0.0
Estrutura operacional op.mon.3 Monitoramento do sistema As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) 1.0.1

SWIFT CSP-CSCF v2021

Para ler como os itens integrados do Azure Policy disponíveis para todos os serviços do Azure são mapeados para esse padrão de conformidade, confira Detalhes de Conformidade Regulatória do Azure Policy para SWIFT CSP-CSCF v2021. Para obter mais informações sobre esse padrão de conformidade, confira SWIFT CSP CSCF v2021.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Proteção de Ambiente SWIFT 1,1 Proteção de Ambiente SWIFT Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Proteção de Ambiente SWIFT 1.4 Restrição do acesso à Internet Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes 2.0.1
Reduzir a superfície de ataque e as vulnerabilidades 2.1 Segurança interna do fluxo de dados Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Detectar atividade anômala em sistemas ou registros de transações 6.2 Integridade do software Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1
Detectar atividade anômala em sistemas ou registros de transações 6.5A Detecção de invasões Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente 1.0.1

System and Organization Controls (SOC) 2

Para examinar como os recursos internos do Azure Policy disponíveis para todos os serviços do Azure são mapeados para este padrão de conformidade, confira Detalhes de conformidade regulatória do Azure Policy para o SOC (Controles de Sistema e Organização) 2. Para obter mais informações sobre esse padrão de conformidade, confira o SOC (Controles de Sistema e Organização) 2.

Domínio ID do controle Título do controle Política
(Portal do Azure)
Versão da política
(GitHub)
Controles de acesso lógico e físico CC6.1 Software, infraestrutura e arquiteturas de segurança de acesso lógico Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Controles de acesso lógico e físico CC6.3 Acesso baseado em Rol e privilégios mínimos O RBAC (controle de acesso baseado em função) deve ser usado nos Serviços de Kubernetes 1.0.4
Controles de acesso lógico e físico CC6.6 Medidas de segurança contra ameaças fora dos limites do sistema Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Controles de acesso lógico e físico CC6.7 Restringir a movimentação de informações a usuários autorizados Os clusters do Kubernetes devem ser acessíveis somente via HTTPS 8.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática 4.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.1.0
Controles de acesso lógico e físico CC6.8 Prevenir ou detectar software não autorizado ou mal-intencionado Os clusters do Kubernetes não devem usar o namespace padrão 4.2.0
Operações de sistema CC7.2 Monitorar componentes do sistema para verificar se há comportamento anômalo Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado 2.0.1
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters 1.0.2
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados 9.3.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host 5.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos 6.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas 6.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas 9.3.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura 6.3.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos 6.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas 6.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados 6.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas 8.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software O cluster do Kubernetes não deve permitir contêineres privilegiados 9.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática 4.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner 7.2.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN 5.1.0
Gerenciamento de alterações CC8.1 Alterações na infraestrutura, nos dados e no software Os clusters do Kubernetes não devem usar o namespace padrão 4.2.0

Próximas etapas