Definições incorporadas do Azure Policy para o Azure Kubernetes Service

Esta página é um índice das definições de política interna da Política do Azure para o Serviço Kubernetes do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.

O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.

Iniciativas

Nome Descrição Políticas Versão
[Pré-visualização]: utilize a Integridade da Imagem para garantir que apenas imagens fidedignas são implementadas Use a Integridade da Imagem para garantir que os clusters AKS implantem apenas imagens confiáveis habilitando a Integridade da Imagem e os Complementos de Política do Azure em clusters AKS. O Complemento de Integridade de Imagem e o Complemento de Política do Azure são pré-requisitos para usar o Integridade da Imagem para verificar se a imagem está assinada na implantação. Para mais informações, visite https://aka.ms/aks/image-integrity. 3 1.1.0-Pré-visualização
[Pré-visualização]: As salvaguardas de implementação devem ajudar a orientar os programadores para as melhores práticas recomendadas pelo AKS Uma coleção de práticas recomendadas do Kubernetes recomendadas pelo Serviço Kubernetes do Azure (AKS). Para obter a melhor experiência, use as salvaguardas de implantação para atribuir esta iniciativa de política: https://aka.ms/aks/deployment-safeguards. O Azure Policy Add-On para AKS é um pré-requisito para aplicar essas práticas recomendadas aos seus clusters. Para obter instruções sobre como habilitar o Complemento de Política do Azure, vá para aka.ms/akspolicydoc 20 1.9.0-Pré-visualização
Padrões de linha de base de segurança de pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux Esta iniciativa inclui as políticas para os padrões de linha de base de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. 5 1.4.0
Padrões restritos de segurança do pod de cluster do Kubernetes para cargas de trabalho baseadas em Linux Esta iniciativa inclui as políticas para os padrões restritos de segurança do pod de cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. 8 2.5.0

Definições de política

Microsoft.ContainerService

Nome
(Portal do Azure)
Description Efeito(s) Versão
(GitHub)
[Preview]: [Image Integrity] Os clusters Kubernetes só devem usar imagens assinadas por notação Use imagens assinadas por notação para garantir que as imagens provenham de fontes confiáveis e não sejam modificadas maliciosamente. Para mais informações, visite https://aka.ms/aks/image-integrity Auditoria, Desativado 1.1.0-Pré-visualização
[Pré-visualização]: A Extensão de Backup do Azure deve ser instalada em clusters AKS Garanta a instalação de proteção da extensão de backup em seus clusters AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados segura e nativa da nuvem para clusters AKS AuditIfNotExists, desativado 1.0.0-pré-visualização
[Pré-visualização]: A Cópia de Segurança do Azure deve estar ativada para clusters AKS Garanta a proteção dos seus Clusters AKS ativando o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados segura e nativa da nuvem para clusters AKS. AuditIfNotExists, desativado 1.0.0-pré-visualização
[Pré-visualização]: Os Clusters Geridos pelo Serviço Kubernetes do Azure devem ser Redundantes de Zona Os Clusters Gerenciados do Serviço Kubernetes do Azure podem ser configurados para serem Redundantes de Zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade sejam definidas para todos os pools de nós. Auditoria, Negar, Desativado 1.0.0-pré-visualização
[Pré-visualização]: Não é possível editar nós individuais Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite os pools de nós. A modificação de nós individuais pode levar a configurações inconsistentes, desafios operacionais e riscos potenciais de segurança. Auditoria, Negar, Desativado 1.3.0-Pré-visualização
[Pré-visualização]: Implementar a integridade da imagem no Serviço Kubernetes do Azure Implante clusters Kubernetes do Azure e Integridade da Imagem e Complementos de Política. Para mais informações, visite https://aka.ms/aks/image-integrity DeployIfNotExists, desativado 1.0.5-Pré-visualização
[Pré-visualização]: Instale a Extensão de Backup do Azure em clusters AKS (Cluster Gerido) com uma determinada etiqueta. A instalação da Extensão de Backup do Azure é um pré-requisito para proteger seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS que contenham uma determinada tag. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. AuditIfNotExists, DeployIfNotExists, desativado 1.0.0-pré-visualização
[Pré-visualização]: Instale a Extensão de Backup do Azure em clusters AKS (Cluster Gerido) sem uma determinada etiqueta. A instalação da Extensão de Backup do Azure é um pré-requisito para proteger seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS sem um valor de tag específico. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. AuditIfNotExists, DeployIfNotExists, desativado 1.0.0-pré-visualização
[Preview]: As imagens de contêiner de cluster do Kubernetes devem incluir o gancho preStop Requer que as imagens de contêiner incluam um gancho preStop para encerrar normalmente os processos durante os desligamentos do pod. Auditoria, Negar, Desativado 1.1.0-Pré-visualização
[Visualização]: As imagens de contêiner de cluster do Kubernetes não devem incluir a tag de imagem mais recente Requer que as imagens de contêiner não usem a tag mais recente no Kubernetes, é uma prática recomendada para garantir a reprodutibilidade, evitar atualizações não intencionais e facilitar a depuração e as reversões usando imagens de contêiner explícitas e versionadas. Auditoria, Negar, Desativado 1.1.0-Pré-visualização
[Preview]: Os contêineres de cluster do Kubernetes só devem extrair imagens quando segredos de pull de imagem estiverem presentes Restringir as capturas de imagem dos contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado às imagens dentro de um cluster Kubernetes Auditoria, Negar, Desativado 1.2.0-Pré-visualização
[Preview]: Os serviços de cluster do Kubernetes devem usar seletores exclusivos Verifique se os serviços em um namespace têm seletores exclusivos. Um seletor de serviço exclusivo garante que cada serviço dentro de um namespace seja identificável exclusivamente com base em critérios específicos. Esta política sincroniza os recursos de entrada no OPA por meio do Gatekeeper. Antes de aplicar, verifique se a capacidade de memória dos pods do Gatekeeper não será excedida. Os parâmetros se aplicam a namespaces específicos, mas ele sincroniza todos os recursos desse tipo em todos os namespaces. Atualmente em pré-visualização para o Serviço Kubernetes (AKS). Auditoria, Negar, Desativado 1.2.0-Pré-visualização
[Preview]: O cluster Kubernetes deve implementar orçamentos precisos de interrupção de pod Evita orçamentos defeituosos de interrupção de pods, garantindo um número mínimo de pods operacionais. Consulte a documentação oficial do Kubernetes para obter detalhes. Depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de entrada com escopo para ele no OPA. Antes de aplicar essa política, verifique se os recursos de entrada sincronizados não sobrecarregarão sua capacidade de memória. Embora os parâmetros avaliem namespaces específicos, todos os recursos desse tipo entre namespaces serão sincronizados. Nota: atualmente em pré-visualização para o Serviço Kubernetes (AKS). Auditoria, Negar, Desativado 1.3.0-Pré-visualização
[Preview]: clusters Kubernetes devem restringir a criação de determinado tipo de recurso Dado Kubernetes tipo de recurso não deve ser implantado em determinado namespace. Auditoria, Negar, Desativado 2.3.0-Pré-visualização
[Pré-visualização]: Deve ter regras anti-afinidade definidas Essa política garante que os pods sejam agendados em nós diferentes dentro do cluster. Ao impor regras de antiafinidade, a disponibilidade é mantida mesmo se um dos nós ficar indisponível. Os pods continuarão a funcionar em outros nós, aumentando a resiliência. Auditoria, Negar, Desativado 1.2.0-Pré-visualização
[Preview]: Mutate K8s Container para descartar todos os recursos Muta securityContext.capabilities.drop para adicionar "ALL". Isso descarta todos os recursos para contêineres linux k8s Mutar, Desativado 1.1.0-Pré-visualização
[Preview]: Mutate K8s Init Container para descartar todos os recursos Muta securityContext.capabilities.drop para adicionar "ALL". Isso elimina todos os recursos para contêineres init linux k8s Mutar, Desativado 1.1.0-Pré-visualização
[Pré-visualização]: Sem rótulos específicos do AKS Impede que os clientes apliquem rótulos específicos da AKS. O AKS usa rótulos prefixados para kubernetes.azure.com indicar componentes de propriedade do AKS. O cliente não deve utilizar estes rótulos. Auditoria, Negar, Desativado 1.2.0-Pré-visualização
[Preview]: Impede que contêineres sejam executados como root definindo runAsNotRoot como true. Definir runAsNotRoot como true aumenta a segurança, impedindo que os contêineres sejam executados como root. Mutar, Desativado 1.0.0-pré-visualização
[Preview]: Impede que os contêineres init sejam executados como root definindo runAsNotRoot como true. Definir runAsNotRoot como true aumenta a segurança, impedindo que os contêineres sejam executados como root. Mutar, Desativado 1.0.0-pré-visualização
[Pré-visualização]: Imprime uma mensagem se for aplicada uma mutação Procura as anotações de mutação aplicadas e imprime uma mensagem se existir anotação. Auditoria, Desativado 1.1.0-Pré-visualização
[Pré-visualização]: Manchas reservadas do pool do sistema Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. O AKS usa a mancha CriticalAddonsOnly para manter os pods do cliente longe do pool do sistema. Ele garante uma separação clara entre os componentes do AKS e os pods do cliente, bem como evita que os pods do cliente sejam removidos se não tolerarem a mancha do CriticalAddonsOnly. Auditoria, Negar, Desativado 1.2.0-Pré-visualização
[Preview]: Restringe a mancha CriticalAddonsOnly apenas ao pool do sistema. Para evitar a remoção de aplicativos de usuários de grupos de usuários e manter a separação de preocupações entre os pools de usuários e de sistema, a mancha 'CriticalAddonsOnly' não deve ser aplicada a grupos de usuários. Mutar, Desativado 1.2.0-Pré-visualização
[Preview]: Define automountServiceAccountToken na especificação do Pod em contêineres como false. Definir automountServiceAccountToken como false aumenta a segurança, evitando a montagem automática padrão de tokens de conta de serviço Mutar, Desativado 1.1.0-Pré-visualização
[Preview]: Define os campos securityContext.runAsUser do contêiner de cluster do Kubernetes como 1000, um ID de usuário não raiz Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. Mutar, Desativado 1.0.0-pré-visualização
[Preview]: Define os limites de CPU dos contêineres de cluster do Kubernetes como valores padrão caso não estejam presentes. Definição de limites de CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Mutar, Desativado 1.2.0-Pré-visualização
[Preview]: Define os limites de memória dos contêineres de cluster do Kubernetes como valores padrão caso não estejam presentes. Definição de limites de memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Mutar, Desativado 1.2.0-Pré-visualização
[Preview]: Define o tipo de perfil de modo de computação seguro dos contêineres de cluster do Kubernetes como RuntimeDefault se não estiver presente. Definição do tipo de perfil de modo de computação seguro para contêineres para evitar chamadas de sistema não autorizadas e potencialmente prejudiciais para o kernel a partir do espaço do usuário. Mutar, Desativado 1.1.0-Pré-visualização
[Preview]: Define os campos securityContext.runAsUser dos contêineres de inicialização do cluster Kubernetes como 1000, um ID de usuário não raiz Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. Mutar, Desativado 1.0.0-pré-visualização
[Preview]: Define o tipo de perfil de modo de computação seguro dos contêineres de inicialização do cluster do Kubernetes como RuntimeDefault se não estiver presente. Definição do tipo de perfil de modo de computação seguro para contêineres init para evitar chamadas de sistema não autorizadas e potencialmente prejudiciais para o kernel a partir do espaço do usuário. Mutar, Desativado 1.1.0-Pré-visualização
[Preview]: Define os campos securityContext.runAsUser do cluster Kubernetes como 1000, um ID de usuário não raiz Reduz a superfície de ataque introduzida pela escalada de privilégios como usuário root na presença de vulnerabilidades de segurança. Mutar, Desativado 1.0.0-pré-visualização
[Preview]: Define maxUnavailable pods como 1 para recursos PodDisruptionBudget Definir o valor máximo de pod indisponível como 1 garante que seu aplicativo ou serviço esteja disponível durante uma interrupção Mutar, Desativado 1.2.0-Pré-visualização
[Preview]: Define o escalonamento de privilégios na especificação do Pod em contêineres de inicialização como false. Definir o escalonamento de privilégios como false em contêineres init aumenta a segurança, impedindo que os contêineres permitam o escalonamento de privilégios, como por meio do modo de arquivo set-user-ID ou set-group-ID. Mutar, Desativado 1.1.0-Pré-visualização
[Pré-visualização]: Define o escalonamento de privilégios na especificação do Pod como false. Definir o escalonamento de privilégios como false aumenta a segurança, impedindo que os contêineres permitam o escalonamento de privilégios, como por meio do modo de arquivo set-user-ID ou set-group-ID. Mutar, Desativado 1.1.0-Pré-visualização
[Preview]: Define readOnlyRootFileSystem na especificação Pod em contêineres init como true se não estiver definido. Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz. Isso funciona apenas para contêineres linux. Mutar, Desativado 1.2.0-Pré-visualização
[Preview]: Define readOnlyRootFileSystem na especificação do Pod como true se não estiver definido. Definir readOnlyRootFileSystem como true aumenta a segurança, impedindo que os contêineres gravem no sistema de arquivos raiz Mutar, Desativado 1.2.0-Pré-visualização
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. Auditoria, Desativado 2.0.1
Os Clusters do Kubernetes do Azure devem desabilitar o SSH Desativar SSH dá-lhe a capacidade de proteger o seu cluster e reduzir a superfície de ataque. Para saber mais, visite: aka.ms/aks/disablessh Auditoria, Desativado 1.0.0
Os Clusters Kubernetes do Azure devem habilitar a Interface de Armazenamento de Contêiner (CSI) A CSI (Container Storage Interface) é um padrão para expor sistemas arbitrários de armazenamento de blocos e arquivos a cargas de trabalho em contêineres no Serviço Kubernetes do Azure. Para saber mais, https://aka.ms/aks-csi-driver Auditoria, Desativado 1.0.0
Os Clusters Kubernetes do Azure devem habilitar o KMS (Serviço de Gerenciamento de Chaves) Use o Serviço de Gerenciamento de Chaves (KMS) para criptografar dados secretos em repouso no etcd para segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. Auditoria, Desativado 1.0.0
Os Clusters do Kubernetes do Azure devem usar o Azure CNI O Azure CNI é um pré-requisito para alguns recursos do Serviço Kubernetes do Azure, incluindo políticas de rede do Azure, pools de nós do Windows e complemento de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni Auditoria, Desativado 1.0.1
Os Clusters de Serviço do Kubernetes do Azure devem desabilitar o Command Invoke Desabilitar a invocação de comando pode melhorar a segurança, evitando ignorar o acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes Auditoria, Desativado 1.0.1
Os Clusters de Serviço do Kubernetes do Azure devem habilitar a atualização automática do cluster A atualização automática do cluster AKS pode garantir que seus clusters estejam atualizados e não perca os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-cluster. Auditoria, Desativado 1.0.0
Os Clusters de Serviço do Kubernetes do Azure devem habilitar o Image Cleaner O Image Cleaner realiza a identificação e remoção automática de imagens vulneráveis e não utilizadas, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. Auditoria, Desativado 1.0.0
Os Clusters de Serviço do Kubernetes do Azure devem habilitar a integração do Microsoft Entra ID A integração do Microsoft Entra ID gerenciada pelo AKS pode gerenciar o acesso aos clusters configurando o controle de acesso baseado em função do Kubernetes (Kubernetes RBAC) com base na identidade do usuário ou na associação ao grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. Auditoria, Desativado 1.0.2
Os Clusters de Serviço do Kubernetes do Azure devem habilitar a atualização automática do node os A atualização automática do SO do nó AKS controla as atualizações de segurança do SO ao nível do nó. Saiba mais em: https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. Auditoria, Desativado 1.0.0
Os Clusters de Serviço do Kubernetes do Azure devem habilitar a identidade da carga de trabalho A identidade da carga de trabalho permite atribuir uma identidade exclusiva a cada Pod do Kubernetes e associá-la a recursos protegidos pelo Azure AD, como o Cofre da Chave do Azure, permitindo o acesso seguro a esses recursos a partir do Pod. Saiba mais em: https://aka.ms/aks/wi. Auditoria, Desativado 1.0.0
Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Auditoria, Desativado 2.0.1
Os Clusters de Serviço do Kubernetes do Azure devem ter métodos de autenticação local desabilitados A desativação de métodos de autenticação local melhora a segurança, garantindo que os Clusters de Serviço do Kubernetes do Azure exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://aka.ms/aks-disable-local-accounts. Auditoria, Negar, Desativado 1.0.1
Os Clusters de Serviço do Kubernetes do Azure devem usar identidades gerenciadas Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities Auditoria, Desativado 1.0.1
Os Clusters Privados do Serviço Kubernetes do Azure devem ser habilitados Habilite o recurso de cluster privado para o cluster do Serviço Kubernetes do Azure para garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça somente na rede privada. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. Auditoria, Desativado 1.0.2
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. AuditIfNotExists, desativado 1.0.1
Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1
Configurar clusters do Serviço Kubernetes do Azure para habilitar o perfil do Defender O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.Defender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, desativado 4.3.0
Configurar a instalação da extensão Flux no cluster do Kubernetes Instale a extensão Flux no cluster Kubernetes para permitir a implantação de 'fluxconfigurations' no cluster DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a configuração do Flux v2 usando a origem do bucket e segredos no KeyVault Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Esta definição requer um Bucket SecretKey armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a configuração do Flux v2 usando repositório Git e certificado de CA HTTPS Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um certificado de autoridade de certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.1
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave HTTPS armazenado no Cofre de Chaves. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave privada SSH armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git público Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desativado 1.0.0
Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos HTTPS Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer segredos de usuário e chave HTTPS armazenados no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado 1.1.0
Configurar clusters Kubernetes com configuração de GitOps especificada usando nenhum segredo Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado 1.1.0
Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos SSH Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer um segredo de chave privada SSH no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado 1.1.0
Configurar Clusters de Serviço Kubernetes do Azure integrados ao Microsoft Entra ID com acesso necessário ao Grupo de Administração Certifique-se de melhorar a segurança do cluster controlando centralmente o acesso do Administrador aos clusters AKS integrados do Microsoft Entra ID. DeployIfNotExists, desativado 2.1.0
Configurar a atualização automática do sistema operacional do nó no cluster do Kubernetes do Azure Use a atualização automática do sistema operacional do nó para controlar as atualizações de segurança do sistema operacional no nível do nó dos clusters do Serviço Kubernetes do Azure (AKS). Para mais informações, visite https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, desativado 1.0.1
Implantar - Definir configurações de diagnóstico para o espaço de trabalho do Serviço Kubernetes do Azure para o Log Analytics Implanta as configurações de diagnóstico do Serviço Kubernetes do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. DeployIfNotExists, desativado 3.0.0
Implantar o Complemento de Política do Azure em clusters do Serviço Kubernetes do Azure Use o Complemento de Política do Azure para gerenciar e relatar o estado de conformidade de seus clusters do Serviço Kubernetes do Azure (AKS). Para obter mais informações, veja https://aka.ms/akspolicydoc. DeployIfNotExists, desativado 4.1.0
Implantar o Image Cleaner no Serviço Kubernetes do Azure Implante o Image Cleaner em clusters do Kubernetes do Azure. Para mais informações, visite https://aka.ms/aks/image-cleaner DeployIfNotExists, desativado 1.0.4
Implantar a Manutenção Planejada para agendar e controlar atualizações para seu cluster do Serviço Kubernetes do Azure (AKS) A Manutenção Planejada permite agendar janelas de manutenção semanais para realizar atualizações e minimizar o impacto da carga de trabalho. Uma vez agendadas, as atualizações ocorrem apenas durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance DeployIfNotExists, AuditIfNotExists, desativado 1.1.0
Desabilitar Command Invoke em clusters do Serviço Kubernetes do Azure A desativação da invocação de comando pode melhorar a segurança rejeitando o acesso do comando invoke ao cluster DeployIfNotExists, desativado 1.2.0
Garantir que os contêineres de cluster tenham testes de prontidão ou vivacidade configurados Esta política impõe que todos os pods tenham um teste de prontidão e/ou vivacidade configurado. Os tipos de sonda podem ser qualquer um dos tcpSocket, httpGet e exec. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. Auditoria, Negar, Desativado 3.3.0
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.3.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
Os contêineres de cluster do Kubernetes não devem usar interfaces sysctl proibidas Os contêineres não devem usar interfaces sysctl proibidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.3.0
Os contêineres de cluster do Kubernetes só devem usar ProcMountType permitidos Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Os contêineres de cluster do Kubernetes só devem usar a política de pull permitida Restringir a política de recebimento de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações Auditoria, Negar, Desativado 3.2.0
Os contêineres de cluster do Kubernetes devem usar apenas perfis seccomp permitidos Os contêineres de pod só podem usar perfis seccomp permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.3.0
Os volumes FlexVolume do pod de cluster do Kubernetes só devem usar drivers permitidos Os volumes do Pod FlexVolume só devem usar drivers permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os pods e contêineres de cluster do Kubernetes só devem usar as opções permitidas do SELinux Pods e contêineres só devem usar opções SELinux permitidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
Os pods de cluster do Kubernetes só devem usar tipos de volume permitidos Os pods só podem usar tipos de volume permitidos em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 6.2.0
Os pods de cluster do Kubernetes devem usar rótulos especificados Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos Use IPs externos permitidos para evitar o ataque potencial (CVE-2020-8554) em um cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 9.2.0
O cluster Kubernetes não deve usar pods nus Bloqueie o uso de Pods nus. Os Naked Pods não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Deployment, Replicset, Daemonset ou Jobs Auditoria, Negar, Desativado 2.3.0
Os contêineres do cluster Kubernetes do Windows não devem comprometer demais a CPU e a memória As solicitações de recursos de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar excesso de confirmação. Se a memória do Windows for provisionada em excesso, ele processará páginas no disco - o que pode diminuir o desempenho - em vez de encerrar o contêiner com falta de memória Auditoria, Negar, Desativado 2.2.0
Os contêineres do Windows do cluster Kubernetes não devem ser executados como ContainerAdministrator Impeça o uso de ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . Auditoria, Negar, Desativado 1.2.0
Os contêineres do Windows do cluster Kubernetes só devem ser executados com usuário aprovado e grupo de usuários de domínio Controle o usuário que os pods e contêineres do Windows podem usar para executar em um cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança do Pod em nós do Windows, que se destinam a melhorar a segurança dos seus ambientes Kubernetes. Auditoria, Negar, Desativado 2.2.0
Os pods do Windows do cluster Kubernetes não devem executar contêineres HostProcess Impedir o acesso prviledged ao nó do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . Auditoria, Negar, Desativado 1.0.0
Os clusters Kubernetes devem ser acessíveis somente por HTTPS O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 4.2.0
Os clusters do Kubernetes devem garantir que a função de administrador de cluster seja usada apenas quando necessário A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada apenas onde e quando necessário. Auditoria, Desativado 1.1.0
Os clusters do Kubernetes devem minimizar o uso de curingas na função e na função de cluster O uso de curingas '*' pode ser um risco de segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser abusada por um invasor ou usuário comprometido para obter acesso não autorizado a recursos no cluster. Auditoria, Desativado 1.1.0
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 7.2.0
Os clusters Kubernetes não devem permitir permissões de edição de ponto de extremidade de ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint & EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. Auditoria, Desativado 3.2.0
Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.1.0
Os clusters Kubernetes não devem usar recursos de segurança específicos Impeça recursos de segurança específicos em clusters Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 5.2.0
Os clusters Kubernetes não devem usar o namespace padrão Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 4.2.0
Os clusters Kubernetes devem usar o driver StorageClass da Interface de Armazenamento de Contêiner (CSI) A Interface de Armazenamento de Contentores (CSI) é uma norma para expor sistemas de blocos e armazenamento de ficheiros arbitrários a cargas de trabalho em contentores no Kubernetes. O provisionador StorageClass na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver Auditoria, Negar, Desativado 2.3.0
Os clusters Kubernetes devem usar balanceadores de carga internos Use balanceadores de carga internos para tornar um serviço Kubernetes acessível apenas a aplicativos executados na mesma rede virtual que o cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. auditoria, auditoria, negar, negar, desativado, desativado 8.2.0
Os recursos do Kubernetes devem ter anotações necessárias Certifique-se de que as anotações necessárias sejam anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. Auditoria, Negar, Desativado 3.2.0
Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes Auditoria, Desativado 1.0.2
Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados Os logs de recursos do Serviço Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existirão quando necessário AuditIfNotExists, desativado 1.0.0
O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. Auditoria, Desativado 1.0.4
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. Auditoria, Negar, Desativado 1.0.1

Próximos passos