Definições internas da Política do Azure para o Kubernetes habilitado para Azure Arc
Esta página é um índice das definições de política interna da Política do Azure para o Kubernetes habilitado para Azure Arc. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Kubernetes habilitado para Azure Arc
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: A Extensão de Backup do Azure deve ser instalada em clusters AKS | Garanta a instalação de proteção da extensão de backup em seus clusters AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados segura e nativa da nuvem para clusters AKS | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Configurar clusters Kubernetes ativados pelo Azure Arc para instalar a extensão Microsoft Defender for Cloud | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, desativado | 7.3.0-Pré-visualização |
[Pré-visualização]: Instale a Extensão de Backup do Azure em clusters AKS (Cluster Gerido) com uma determinada etiqueta. | A instalação da Extensão de Backup do Azure é um pré-requisito para proteger seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS que contenham uma determinada tag. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Instale a Extensão de Backup do Azure em clusters AKS (Cluster Gerido) sem uma determinada etiqueta. | A instalação da Extensão de Backup do Azure é um pré-requisito para proteger seus Clusters AKS. Imponha a instalação da extensão de backup em todos os clusters AKS sem um valor de tag específico. Fazer isso pode ajudá-lo a gerenciar o Backup de Clusters AKS em escala. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Preview]: clusters Kubernetes devem restringir a criação de determinado tipo de recurso | Dado Kubernetes tipo de recurso não deve ser implantado em determinado namespace. | Auditoria, Negar, Desativado | 2.3.0-Pré-visualização |
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada | A extensão da Política do Azure para o Azure Arc fornece imposições e proteções em escala em seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desativado | 1.1.0 |
Os clusters kubernetes habilitados para Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Auditoria, Negar, Desativado | 1.0.0 |
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Open Service Mesh instalada | A extensão Open Service Mesh fornece todos os recursos de malha de serviço padrão para segurança, gerenciamento de tráfego e observabilidade de serviços de aplicativos. Saiba mais aqui: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Strimzi Kafka instalada | A extensão Strimzi Kafka fornece aos operadores a instalação do Kafka para a construção de pipelines de dados em tempo real e aplicativos de streaming com recursos de segurança e observabilidade. Saiba mais aqui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes habilitados para Azure Arc para instalar a extensão Azure Policy | Implante a extensão da Política do Azure para o Azure Arc para fornecer imposições em escala e proteger seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | DeployIfNotExists, desativado | 1.1.0 |
Configurar clusters Kubernetes habilitados para Azure Arc para usar um Escopo de Link Privado do Azure Arc | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. | Modificar, Desativado | 1.0.0 |
Configurar a instalação da extensão Flux no cluster do Kubernetes | Instale a extensão Flux no cluster Kubernetes para permitir a implantação de 'fluxconfigurations' no cluster | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando a origem do bucket e segredos no KeyVault | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Esta definição requer um Bucket SecretKey armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando repositório Git e certificado de CA HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um certificado de autoridade de certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.1 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave HTTPS armazenado no Cofre de Chaves. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição requer um segredo de chave privada SSH armazenado no Cofre da Chave. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a configuração do Flux v2 usando o repositório Git público | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório Git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais | Implante um 'fluxConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do Bucket definido. Essa definição requer segredos de autenticação local armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, desativado | 1.0.0 |
Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos HTTPS | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer segredos de usuário e chave HTTPS armazenados no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
Configurar clusters Kubernetes com configuração de GitOps especificada usando nenhum segredo | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição não requer segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
Configurar clusters Kubernetes com configuração de GitOps especificada usando segredos SSH | Implante um 'sourceControlConfiguration' em clusters Kubernetes para garantir que os clusters obtenham sua fonte de verdade para cargas de trabalho e configurações a partir do repositório git definido. Esta definição requer um segredo de chave privada SSH no Cofre de Chaves. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desativado, desativado | 1.1.0 |
Garantir que os contêineres de cluster tenham testes de prontidão ou vivacidade configurados | Esta política impõe que todos os pods tenham um teste de prontidão e/ou vivacidade configurado. Os tipos de sonda podem ser qualquer um dos tcpSocket, httpGet e exec. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter instruções sobre como usar esta política, visite https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.3.0 |
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os contêineres de cluster do Kubernetes não devem usar interfaces sysctl proibidas | Os contêineres não devem usar interfaces sysctl proibidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes só devem usar ProcMountType permitidos | Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Os contêineres de cluster do Kubernetes só devem usar a política de pull permitida | Restringir a política de recebimento de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações | Auditoria, Negar, Desativado | 3.2.0 |
Os contêineres de cluster do Kubernetes devem usar apenas perfis seccomp permitidos | Os contêineres de pod só podem usar perfis seccomp permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
Os volumes FlexVolume do pod de cluster do Kubernetes só devem usar drivers permitidos | Os volumes do Pod FlexVolume só devem usar drivers permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods e contêineres de cluster do Kubernetes só devem usar as opções permitidas do SELinux | Pods e contêineres só devem usar opções SELinux permitidas em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os pods de cluster do Kubernetes só devem usar tipos de volume permitidos | Os pods só podem usar tipos de volume permitidos em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods de cluster do Kubernetes devem usar rótulos especificados | Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Os serviços de cluster do Kubernetes só devem usar IPs externos permitidos | Use IPs externos permitidos para evitar o ataque potencial (CVE-2020-8554) em um cluster Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
O cluster Kubernetes não deve usar pods nus | Bloqueie o uso de Pods nus. Os Naked Pods não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Deployment, Replicset, Daemonset ou Jobs | Auditoria, Negar, Desativado | 2.2.0 |
Os contêineres do cluster Kubernetes do Windows não devem comprometer demais a CPU e a memória | As solicitações de recursos de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar excesso de confirmação. Se a memória do Windows for provisionada em excesso, ele processará páginas no disco - o que pode diminuir o desempenho - em vez de encerrar o contêiner com falta de memória | Auditoria, Negar, Desativado | 2.2.0 |
Os contêineres do Windows do cluster Kubernetes não devem ser executados como ContainerAdministrator | Impeça o uso de ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . | Auditoria, Negar, Desativado | 1.2.0 |
Os contêineres do Windows do cluster Kubernetes só devem ser executados com usuário aprovado e grupo de usuários de domínio | Controle o usuário que os pods e contêineres do Windows podem usar para executar em um cluster Kubernetes. Esta recomendação faz parte das Políticas de Segurança do Pod em nós do Windows, que se destinam a melhorar a segurança dos seus ambientes Kubernetes. | Auditoria, Negar, Desativado | 2.2.0 |
Os pods do Windows do cluster Kubernetes não devem executar contêineres HostProcess | Impedir o acesso prviledged ao nó do Windows. Esta recomendação destina-se a melhorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/ . | Auditoria, Negar, Desativado | 1.0.0 |
Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os clusters Kubernetes não devem permitir permissões de edição de ponto de extremidade de ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint & EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Desativado | 3.2.0 |
Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
Os clusters Kubernetes não devem usar recursos de segurança específicos | Impeça recursos de segurança específicos em clusters Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
Os clusters Kubernetes devem usar o driver StorageClass da Interface de Armazenamento de Contêiner (CSI) | A Interface de Armazenamento de Contentores (CSI) é uma norma para expor sistemas de blocos e armazenamento de ficheiros arbitrários a cargas de trabalho em contentores no Kubernetes. O provisionador StorageClass na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver | Auditoria, Negar, Desativado | 2.3.0 |
Os recursos do Kubernetes devem ter anotações necessárias | Certifique-se de que as anotações necessárias sejam anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | Auditoria, Negar, Desativado | 3.2.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.