Azure Kubernetes Service (AKS) için Azure İlkesi Mevzuat Uyumluluğu denetimleri

Azure İlkesi'da Mevzuat Uyumluluğu, farklı uyumluluk standartlarıyla ilgili uyumluluk etki alanları ve güvenlik denetimleri için Microsoft tarafından oluşturulan ve yönetilen girişim tanımları (yerleşikler) sağlar. Bu sayfada Azure Kubernetes Service (AKS) uyumluluk etki alanları ve güvenlik denetimleri listeleniyor.

Azure kaynaklarınızın belirli bir standartla uyumlu olmasına yardımcı olmak için bir güvenlik denetimi için yerleşikleri tek tek atayabilirsiniz.

Her yerleşik ilke tanımının başlığı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için İlke Sürümü sütunundaki bağlantıyı kullanın.

Önemli

Her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir. Ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme olmaz. Bu nedenle, Azure İlkesi uyumlu yalnızca ilkelerin kendisini ifade eder. Bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standartları için denetimler ve Azure İlkesi Mevzuat Uyumluluğu tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir.

CIS Microsoft Azure Foundations Benchmark 1.1.0

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CIS Microsoft Azure Foundations Benchmark 1.1.0. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
8 Diğer Güvenlik Konuları 8.5 Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.3.0

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CIS Microsoft Azure Foundations Benchmark 1.3.0. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
8 Diğer Güvenlik Konuları 8.5 Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4

CIS Microsoft Azure Foundations Benchmark 1.4.0

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. CIS v1.4.0 için Azure İlkesi Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
8 Diğer Güvenlik Konuları 8.7 Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4

CMMC Düzey 3

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - CMMC Düzey 3. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC).

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi AC.1.001 Bilgi sistemi erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer bilgi sistemleri dahil) sınırlayın. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Erişim Denetimi AC.1.001 Bilgi sistemi erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer bilgi sistemleri dahil) sınırlayın. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi AC.1.002 Bilgi sistemi erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Erişim Denetimi AC.1.002 Bilgi sistemi erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi AC.2.007 Belirli güvenlik işlevleri ve ayrıcalıklı hesaplar da dahil olmak üzere en az ayrıcalık ilkesini kullanın. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi AC.2.016 CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Yapılandırma Yönetimi CM.2.062 Kuruluş sistemlerini yalnızca temel özellikler sağlayacak şekilde yapılandırarak en az işlevsellik ilkesini kullanın. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Yapılandırma Yönetimi CM.3.068 Gereksiz programlar, işlevler, bağlantı noktaları, protokoller ve hizmetlerin kullanımını kısıtlayın, devre dışı bırakın veya önleyin. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Risk Değerlendirmesi RM.2.143 Güvenlik açıklarını risk değerlendirmelerine uygun olarak düzeltin. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Sistem ve İletişim Koruması SC.1.175 Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Sistem ve İletişim Koruması SC.3.177 CUI'nin gizliliğini korumak için kullanıldığında FIPS ile doğrulanmış şifreleme kullanın. Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC.3.183 Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver). Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Sistem ve Bilgi Bütünlüğü SI.1.210 Bilgi ve bilgi sistemi açıklarını zamanında belirleme, raporlama ve doğru yapma. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

FedRAMP Yüksek

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlendiğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - FedRAMP High. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . FedRAMP High.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi AC-4 Bilgi Akışı Zorlaması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Sistem ve İletişim Koruması SC-7 Sınır Koruması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-7 (3) Erişim Noktaları Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-8 İletim Gizliliği ve Bütünlüğü Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-8 (1) Şifreleme veya alternatif fiziksel koruma Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-12 Şifreleme anahtarı oluşturma ve yönetme Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 Bekleyen bilgilerin korunması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 (1) Şifreleme Koruması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve Bilgi Bütünlüğü SI-2 Kusur Düzeltme Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

FedRAMP Moderate

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlendiğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - FedRAMP Moderate. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . FedRAMP Moderate.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi AC-4 Bilgi Akışı Zorlaması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Sistem ve İletişim Koruması SC-7 Sınır Koruması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-7 (3) Erişim Noktaları Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-8 İletim Gizliliği ve Bütünlüğü Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-8 (1) Şifreleme veya alternatif fiziksel koruma Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-12 Şifreleme anahtarı oluşturma ve yönetme Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 Bekleyen bilgilerin korunması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 (1) Şifreleme Koruması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve Bilgi Bütünlüğü SI-2 Kusur Düzeltme Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

HIPAA HITRUST 9.2

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Mevzuat Uyumluluğu - HIPAA HITRUST 9.2 Azure İlkesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . HIPAA HITRUST 9.2.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Ayrıcalık Yönetimi 1149.01c2System.9 - 01.c Kuruluş, yetkili kullanıcıların kuruluş tarafından tanımlandığı şekilde takdir yetkisine izin verildiğinde iş ortağının erişimini belirlemesini sağlayarak ve kullanıcıların bilgi paylaşımı/işbirliği kararları almalarına yardımcı olacak el ile süreçler veya otomatik mekanizmalar kullanarak bilgi paylaşımını kolaylaştırır. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
11 Erişim Denetimi 1153.01c3System.35-01.c 1153.01c3System.35-01.c 01.02 Bilgi Sistemlerine Yetkili Erişim Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
12 Denetim Günlüğü ve İzleme 1229.09c1Organizational.1-09.c 1229.09c1Organizational.1-09.c 09.01 Belgeli İşletim Yordamları Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4

Hakimiyet için Microsoft Bulut Temeli Gizli İlkeleri

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardına nasıl eşleneceğini gözden geçirmek için bkz. Azure İlkesi MCfS Egemenlik Temeli Gizli İlkeleri için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Egemenlik İlkesi için Microsoft Bulut portföyü.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
SO.3 - Müşteri Tarafından Yönetilen Anahtarlar SO.3 Azure ürünleri mümkün olduğunda Müşteri Tarafından Yönetilen Anahtarları kullanacak şekilde yapılandırılmalıdır. Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1

Microsoft bulut güvenliği karşılaştırması

Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. Bu hizmetin Microsoft bulut güvenliği karşılaştırmasına tamamen nasıl eşlediğini görmek için bkz . Azure Güvenlik Karşılaştırması eşleme dosyaları.

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - Microsoft bulut güvenliği karşılaştırması.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Ağ Güvenliği NS-2 Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Ayrıcalıklı Erişim PA-7 Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık ilkesi) Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Veri Koruma DP-3 Aktarımdaki hassas verileri şifreleme Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Günlüğe Kaydetme ve Tehdit Algılama LT-1 Tehdit algılama özelliklerini etkinleştirme Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
Günlüğe Kaydetme ve Tehdit Algılama LT-2 Kimlik ve erişim yönetimi için tehdit algılamayı etkinleştirme Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
Günlüğe Kaydetme ve Tehdit Algılama LT-3 Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir 1.0.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır 4.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir 5.1.0
Duruş ve Güvenlik Açığı Yönetimi BD-2 Güvenli yapılandırmaları denetleme ve zorunlu kılma Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır 4.2.0
Duruş ve Güvenlik Açığı Yönetimi BD-6 Güvenlik açıklarını hızlı ve otomatik olarak düzeltme Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
DevOps Güvenliği DS-6 DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1

NIST SP 800-171 R2

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-171 R2. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-171 R2.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi 3.1.3 CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin. Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması 3.13.1 Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma. Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması 3.13.10 Kuruluş sistemlerinde kullanılan şifreleme için şifreleme anahtarları oluşturma ve yönetme. Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması 3.13.16 Bekleyen CUI'nin gizliliğini koruyun. Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması 3.13.2 Kurumsal sistemler içinde etkili bilgi güvenliğini teşvik eden mimari tasarımlar, yazılım geliştirme teknikleri ve sistem mühendisliği ilkelerini kullanın. Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması 3.13.5 İç ağlardan fiziksel veya mantıksal olarak ayrılmış, genel olarak erişilebilir sistem bileşenleri için alt ağlar uygulayın. Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması 3.13.6 Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver). Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması 3.13.8 CuI'nin iletim sırasında yetkisiz olarak açığa çıkmasını önlemek için alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece şifreleme mekanizmaları uygulayın. Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve Bilgi Bütünlüğü 3.14.1 Sistem kusurlarını zamanında belirleyin, raporlayın ve düzeltin. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi 3.4.1 İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun. Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi 3.4.2 Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın. Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0

NIST SP 800-53 Rev. 4

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-53 Rev. 4. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-53 Rev. 4.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi AC-3 (7) Rol Tabanlı Erişim Denetimi Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi AC-4 Bilgi Akışı Zorlaması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Sistem ve İletişim Koruması SC-7 Sınır Koruması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-7 (3) Erişim Noktaları Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-8 İletim Gizliliği ve Bütünlüğü Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-8 (1) Şifreleme veya alternatif fiziksel koruma Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-12 Şifreleme anahtarı oluşturma ve yönetme Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 Bekleyen bilgilerin korunması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 (1) Şifreleme Koruması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve Bilgi Bütünlüğü SI-2 Kusur Düzeltme Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Sistem ve Bilgi Bütünlüğü SI-2 (6) Yazılımın /Üretici Yazılımının Önceki Sürümlerinin Kaldırılması Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

NIST SP 800-53 Rev. 5

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - NIST SP 800-53 Rev. 5. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-53 Rev. 5.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Erişim Denetimi AC-3 (7) Rol Tabanlı Erişim Denetimi Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi AC-4 Bilgi Akışı Zorlaması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Yapılandırma Yönetimi CM-6 Yapılandırma Ayarları Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Sistem ve İletişim Koruması SC-7 Sınır Koruması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-7 (3) Erişim Noktaları Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Sistem ve İletişim Koruması SC-8 İletim Gizliliği ve Bütünlüğü Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-8 (1) Şifreleme Koruması Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistem ve İletişim Koruması SC-12 Şifreleme Anahtarı Oluşturma ve Yönetimi Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 Bekleyen Bilgilerin Korunması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve İletişim Koruması SC-28 (1) Şifreleme Koruması Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
Sistem ve Bilgi Bütünlüğü SI-2 Kusur Düzeltme Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Sistem ve Bilgi Bütünlüğü SI-2 (6) Yazılım ve Üretici Yazılımının Önceki Sürümlerinin Kaldırılması Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

NL BIO Bulut Teması

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. NL BIO Bulut Teması için Mevzuat Uyumluluğu ayrıntıları Azure İlkesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Temel Bilgi Güvenliği Kamu Siber Güvenlik - Dijital Kamu (digitaleoverheid.nl).

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
C.04.3 Teknik güvenlik açığı yönetimi - Zaman Çizelgeleri C.04.3 Kötüye kullanım olasılığı ve beklenen hasarın her ikisi de yüksekse yamalar en geç bir hafta içinde yüklenir. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
C.04.6 Teknik güvenlik açığı yönetimi - Zaman Çizelgeleri C.04.6 Düzeltme eki yönetimi zamanında gerçekleştirilerek teknik zayıflıklar giderilebilir. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır 4.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir 5.1.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır 4.2.0
C.04.7 Teknik güvenlik açığı yönetimi - Değerlendirildi C.04.7 Teknik güvenlik açıklarının değerlendirmeleri kaydedilir ve raporlanır. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
U.05.1 Veri koruması - Şifreleme ölçümleri U.05.1 Veri aktarımı, mümkünse anahtar yönetiminin CSC tarafından gerçekleştirildiği şifreleme ile güvenli hale getirilmiştir. Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
U.05.2 Veri koruması - Şifreleme ölçümleri U.05.2 Bulut hizmetinde depolanan veriler, sanatın en son durumuyla korunmalıdır. Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
U.05.2 Veri koruması - Şifreleme ölçümleri U.05.2 Bulut hizmetinde depolanan veriler, sanatın en son durumuyla korunmalıdır. Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
U.07.1 Veri ayrımı - Yalıtılmış U.07.1 Verilerin kalıcı yalıtımı çok kiracılı bir mimaridir. Yamalar denetimli bir şekilde gerçekleştirilir. Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
U.07.3 Veri ayrımı - Yönetim özellikleri U.07.3 U.07.3 - CSC verilerini ve/veya şifreleme anahtarlarını görüntüleme veya değiştirme ayrıcalıkları denetimli bir şekilde verilir ve kullanım günlüğe kaydedilir. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
U.09.3 Kötü Amaçlı Yazılımdan Koruma - Algılama, önleme ve kurtarma U.09.3 Kötü amaçlı yazılım koruması farklı ortamlarda çalışır. Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
U.10.2 BT hizmetlerine ve verilerine erişim - Kullanıcılar U.10.2 CSP'nin sorumluluğu altında, yöneticilere erişim verilir. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
U.10.3 BT hizmetlerine ve verilerine erişim - Kullanıcılar U.10.3 YALNıZCA kimliği doğrulanmış donanıma sahip kullanıcılar BT hizmetlerine ve verilerine erişebilir. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
U.10.5 BT hizmetlerine ve verilerine erişim - Yetkin U.10.5 BT hizmetlerine ve verilerine erişim teknik önlemlerle sınırlıdır ve uygulanmıştır. Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
U.11.1 Cryptoservices - İlke U.11.1 Şifreleme politikasında en azından BIO'ya uygun konular ayrıntılı bir şekilde anlatılmıştır. Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
U.11.2 Cryptoservices - Şifreleme ölçümleri U.11.2 PKIoverheid sertifikaları söz konusu olduğunda, anahtar yönetimi için PKIoverheid gereksinimlerini kullanın. Diğer durumlarda ISO11770 kullanın. Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
U.11.3 Cryptoservices - Encrypted U.11.3 Hassas veriler her zaman şifrelenir ve özel anahtarlar CSC tarafından yönetilir. Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
U.11.3 Cryptoservices - Encrypted U.11.3 Hassas veriler her zaman şifrelenir ve özel anahtarlar CSC tarafından yönetilir. Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir 1.0.1
U.15.1 Günlüğe kaydetme ve izleme - Günlüğe kaydedilen olaylar U.15.1 İlke kurallarının ihlali CSP ve CSC tarafından kaydedilir. Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir 1.0.0

Hindistan Rezerv Bankası - NBFC için BT Çerçevesi

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - Hindistan Rezerv Bankası - NBFC için BT Çerçevesi. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Reserve Bank of India - IT Framework for NBFC.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
BT İdaresi 1 BT İdaresi-1 Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Bilgi ve Siber Güvenlik 3.1.a Bilgi Varlıklarının Tanımlanması ve Sınıflandırılması-3.1 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Bilgi ve Siber Güvenlik 3.1.c Rol Tabanlı Erişim Denetimi-3.1 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Bilgi ve Siber Güvenlik 3.1.g İzler-3.1 Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
Bilgi ve Siber Güvenlik 3.3 Güvenlik Açığı Yönetimi-3.3 Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2

Reserve Bank of India Bankalar için BT Çerçevesi v2016

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - RBI ITF Banks v2016. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . RBI ITF Banks v2016 (PDF).

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Düzeltme Eki/Güvenlik Açığı ve Değişiklik Yönetimi Düzeltme Eki/Güvenlik Açığı ve Değişiklik Yönetimi-7.7 Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Advanced Real-Timethreat Defenceand Management Advanced Real-Timethreat Defenceand Management-13.2 Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
Kullanıcı Erişim Denetimi / Yönetim Kullanıcı Erişim Denetimi / Yönetim-8.1 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4

RMIT Malezya

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenebileceğini gözden geçirmek için bkz. Azure İlkesi Mevzuat Uyumluluğu - RMIT Malezya. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . RMIT Malaysia.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Şifreleme 10.19 Şifreleme - 10.19 Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Erişim Denetimi 10.54 Erişim Denetimi - 10.54 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi 10.55 Erişim Denetimi - 10.55 Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Erişim Denetimi 10.55 Erişim Denetimi - 10.55 Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Erişim Denetimi 10.55 Erişim Denetimi - 10.55 Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Erişim Denetimi 10.55 Erişim Denetimi - 10.55 Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Erişim Denetimi 10.55 Erişim Denetimi - 10.55 Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Erişim Denetimi 10.60 Erişim Denetimi - 10.60 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi 10.61 Erişim Denetimi - 10.61 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Erişim Denetimi 10.62 Erişim Denetimi - 10.62 Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Yama ve Kullanım Süresi Sonu Sistem Yönetimi 10.65 Yama ve Kullanım Süresi Sonu Sistem Yönetimi - 10.65 Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir 1.0.2
Güvenlik Operasyonları Merkezi (SOC) 11.17 Güvenlik Operasyonları Merkezi (SOC) - 11.17 Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Siber Güvenlikle İlgili Denetim Önlemleri Ek 5.5 Siber Güvenlik Denetim Önlemleri - Ek 5.5 Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır 5.2.0
Siber Güvenlikle İlgili Denetim Önlemleri Ek 5.6 Siber Güvenlik Denetim Önlemleri - Ek 5.6 Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Siber Güvenlikle İlgili Denetim Önlemleri Ek 5.6 Siber Güvenlik Denetim Önlemleri - Ek 5.6 Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Siber Güvenlikle İlgili Denetim Önlemleri Ek 5.6 Siber Güvenlik Denetim Önlemleri - Ek 5.6 Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0

İspanya ENS

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşleşdiğini gözden geçirmek için bkz. Azure İlkesi İspanya ENS için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CCN-STIC 884.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Koruyucu Ölçüler mp.s.3 Hizmetlerin korunması Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
İşletimsel çerçeve op.exp.2 İşlem Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
İşletimsel çerçeve op.exp.3 İşlem Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
İşletimsel çerçeve op.exp.4 İşlem Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
İşletimsel çerçeve op.exp.5 İşlem Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
İşletimsel çerçeve op.exp.6 İşlem Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
İşletimsel çerçeve op.exp.6 İşlem Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1
İşletimsel çerçeve op.exp.6 İşlem Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandırma 4.3.0
İşletimsel çerçeve op.exp.7 İşlem Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
İşletimsel çerçeve op.exp.8 İşlem Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir 1.0.0
İşletimsel çerçeve op.mon.3 Sistem izleme Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) 1.0.1

SWIFT CSP-CSCF v2021

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşleşdiğini gözden geçirmek için bkz. AZURE İLKESI SWIFT CSP-CSCF v2021 için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . SWIFT CSP CSCF v2021.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
SWIFT Ortam Koruması 1.1 SWIFT Ortam Koruması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
SWIFT Ortam Koruması 1.4 İnternet Erişimi Kısıtlaması Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır 2.0.1
Saldırı Yüzeyini ve Güvenlik Açıklarını Azaltma 2.1 İç Veri Akışı Güvenliği Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Sistemlere veya İşlem Kayıtlarına Anormal Etkinliği Algılama 6.2 Yazılım Bütünlüğü Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1
Sistemlere veya İşlem Kayıtlarına Anormal Etkinliği Algılama 6,5A İzinsiz Giriş Algılama Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir 1.0.1

Sistem ve Kuruluş Denetimleri (SOC) 2

Tüm Azure hizmetleri için kullanılabilir Azure İlkesi yerleşiklerinin bu uyumluluk standardıyla nasıl eşlenmiş olduğunu gözden geçirmek için bkz. Azure İlkesi Sistem ve Kuruluş Denetimleri (SOC) 2 için Mevzuat Uyumluluğu ayrıntıları. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . Sistem ve Kuruluş Denetimleri (SOC) 2.

Domain Denetim Kimliği Denetim başlığı İlke
(Azure portalı)
İlke sürümü
(GitHub)
Mantıksal ve Fiziksel Erişim Denetimleri CC6.1 Mantıksal erişim güvenliği yazılımı, altyapısı ve mimarileri Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.3 Rol tabanlı erişim ve en az ayrıcalık Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır 1.0.4
Mantıksal ve Fiziksel Erişim Denetimleri CC6.6 Sistem sınırları dışındaki tehditlere karşı güvenlik önlemleri Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.7 Bilgilerin yetkili kullanıcılarla hareketini kısıtlama Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır 8.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır 4.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir 5.1.0
Mantıksal ve Fiziksel Erişim Denetimleri CC6.8 Yetkisiz veya kötü amaçlı yazılımları önleme veya bu yazılımlara karşı algılama Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır 4.2.0
Sistem İşlemleri CC7.2 Anormal davranış için sistem bileşenlerini izleme Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir 2.0.1
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir 1.0.2
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır 9.3.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır 5.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır 6.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır 6.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır 9.3.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır 6.3.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır 6.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır 6.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır 6.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir 8.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir 9.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır 4.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir 7.2.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir 5.1.0
Değişiklik Yönetimi CC8.1 Altyapı, veri ve yazılım değişiklikleri Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır 4.2.0

Sonraki adımlar