Condividi tramite

Azure Kubernetes 服务 (AKS) 的 Azure Policy 法规合规性控制措施

Azure Policy 中的法规合规性为与不同合规性标准相关的合规性域和安全控制提供了由 Microsoft 创建和管理的计划定义(内置)。 此页列出 Azure Kubernetes Service (AKS) 符合域和安全控件。

可以单独为一个“安全控件”分配内置功能,以帮助 Azure 资源符合特定标准。

每个内置策略定义的标题都链接到 Azure 门户中的策略定义。 使用 “策略版本” 列中的链接查看 Azure Policy GitHub 存储库上的源。

重要

每个控件都与一个或多个 Azure Policy 定义相关联。 这些策略可能有助于评估控件的合规性。 但是,控件与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的 符合性 仅指策略本身。 这并不能确保你完全符合控件的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只部分反映了您的整体符合性状态。 对于这些合规性标准,控件与 Azure Policy 法规合规性定义之间的关联可能会随时间的推移而发生变化。

Azure 安全基准

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置如何映射到此符合性标准,请参阅 Azure Policy 法规合规性 - Azure 安全基准

域名 控制 ID 控制标题 Policy
(Azure 门户)		 策略版本
(GitHub)
网络安全 NS-2 使用网络控制保护云服务 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
特权访问 PA-7 遵循适度管理(最小特权)原则 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.2
数据保护 DP-3 加密传输中的敏感数据 Kubernetes 群集应只可通过 HTTPS 进行访问 8.0.1
日志记录和威胁检测 LT-1 启用威胁检测功能 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.0
日志记录和威胁检测 LT-2 为标识和访问管理启用威胁检测 Azure Kubernetes 服务群集应启用 Defender 配置文件 2.0.0
状况和漏洞管理 PV-2 审核并强制执行安全配置 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 1.0.2
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 9.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器不得共享主机进程 ID 命名空间或主机 IPC 命名空间 5.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器只应使用允许的功能 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器应只使用允许的映像 9.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集容器应使用只读根文件系统运行 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集 Pod 只应使用批准的主机网络和端口范围 6.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集服务应只侦听允许的端口 8.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应允许特权容器 9.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集应禁用自动装载 API 凭据 4.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不得允许容器特权提升 7.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 5.0.1
状况和漏洞管理 PV-2 审核并强制执行安全配置 Kubernetes 群集不应使用默认命名空间 4.0.1

Azure 安全基准 v1

Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 若要查看此服务如何完全映射到 Azure 安全基准,请参阅 Azure 安全基准映射文件

若要查看所有 Azure 服务的可用 Azure Policy 内置如何映射到此符合性标准,请参阅 Azure Policy 法规合规性 - Azure 安全基准

域名 控制 ID 控制标题 Policy
(Azure 门户)		 策略版本
(GitHub)
网络安全 1.1 使用虚拟网络上的网络安全组或 Azure 防火墙保护资源 应在 Kubernetes 服务上定义经授权的 IP 范围 2.0.1
数据保护 4.6 使用 Azure RBAC 控制对资源的访问 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 1.0.2
漏洞管理 5.3 部署自动化第三方软件修补程序管理解决方案 Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 1.0.2

后续步骤

  • Last updated on