Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Einhaltung gesetzlicher Bestimmungen in Azure Policy umfasst von Microsoft erstellte und verwaltete Initiativendefinitionen (Integrationen) für die Compliancedomänen und Sicherheitskontrollen, die sich auf unterschiedliche Compliancestandards beziehen. Auf dieser Seite sind die Compliancedomänen und Sicherheitskontrollen für Azure Kubernetes Service (AKS) aufgeführt.
Sie können die integrierten Elemente für eine Sicherheitskontrolle einzeln zuweisen, um Ihre Azure-Ressourcen mit dem jeweiligen Standard konform zu machen.
Die Titel der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Richtlinienversion, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Wichtig
Jeder Kontrollmechanismus ist mindestens einer Azure Policy-Definition zugeordnet. Diese Richtlinien können Ihnen helfen, die Compliance des Kontrollmechanismus zu bewerten. Oft gibt es jedoch keine Eins-zu-eins-Übereinstimmung oder vollständige Übereinstimmung zwischen einem Kontrollmechanismus und mindestens einer Richtlinie. Daher bezieht sich konform in Azure Policy nur auf die Richtlinien selbst. Dadurch wird nicht sichergestellt, dass Sie vollständig mit allen Anforderungen eines Kontrollmechanismus konform sind. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Kontrollelementen und gesetzlichen Konformitätsdefinitionen von Azure Policy für diese Konformitätsstandards können sich im Laufe der Zeit ändern.
CIS Microsoft Azure Foundations Benchmark
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8,5 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
CIS Microsoft Azure Grundlagen-Benchmark 1.3.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.3.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8,5 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
CIS Microsoft Azure Grundlagen-Benchmark 1.4.0
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß CIS Microsoft Azure Foundations Benchmark 1.4.0. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CIS Microsoft Azure Foundations Benchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| 8 Weitere Überlegungen zur Sicherheit | 8.7 | Aktivieren der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure Kubernetes Service | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
CMMC Ebene 3
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: CMMC Level 3. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter Cybersecurity Maturity Model Certification (CMMC).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Zugriffssteuerung | AC.1.001 | Beschränken Sie den Zugriff auf das Informationssystem auf autorisierte Benutzer, Prozesse, die im Namen von autorisierten Benutzern durchgeführt werden, und Geräte (einschließlich anderer Informationssysteme). | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Zugriffssteuerung | AC.1.002 | Beschränken Sie den Zugriff auf das Informationssystem auf die Arten von Transaktionen und Funktionen, die autorisierte Benutzer ausführen dürfen. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Zugriffssteuerung | AC.2.007 | Verwenden Sie das Prinzip der geringsten Rechte, u. a. für bestimmte Sicherheitsfunktionen und privilegierte Konten. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Zugriffssteuerung | AC.2.016 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Konfigurationsverwaltung | CM.2.062 | Verwenden Sie das Prinzip der geringsten Funktionen, indem Sie Organisationssysteme so konfigurieren, dass ausschließlich zentrale Funktionen bereitgestellt werden. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Konfigurationsverwaltung | CM.3.068 | Sorgen Sie dafür, dass die Nutzung von nicht unbedingt erforderlichen Programmen, Funktionen, Ports, Protokollen und Diensten eingeschränkt, deaktiviert oder verhindert wird. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Risikobewertung | RM.2.143 | Beheben Sie Sicherheitsrisiken in Übereinstimmung mit Risikobewertungen. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| System- und Kommunikationsschutz | SC.1.175 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| System- und Kommunikationsschutz | SC.3.177 | Nutzen Sie FIPS-konforme Kryptografie zum Schützen der Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI). | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | SC.3.183 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| System- und Informationsintegrität | SI.1.210 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Informationsfehlern und Informationssystemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
FedRAMP High
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP High. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP High.
FedRAMP Moderate
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: FedRAMP Moderate. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter FedRAMP Moderate.
HIPAA (Health Insurance Portability and Accountability Act) HITRUST (Health Information Trust Alliance)
Unter Azure Policy – Einhaltung gesetzlicher Bestimmungen – HIPAA HITRUST erfahren Sie, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen. Weitere Informationen zu diesem Compliancestandard finden Sie unter HIPAA HITRUST.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Berechtigungsverwaltung | 1149.01c2System.9 - 01.c | Die Organisation ermöglicht die gemeinsame Nutzung von Informationen, indem sie autorisierten Benutzern ermöglicht, den Zugriff eines Geschäftspartners zu bestimmen, wenn die Ermessensfreiheit, wie von der Organisation definiert, zulässig ist, und indem sie manuelle Prozesse oder automatisierte Mechanismen einsetzt, um Benutzer bei Entscheidungen über die gemeinsame Nutzung von Informationen/Zusammenarbeit zu unterstützen. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| 11 Zugriffssteuerung | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Autorisierter Zugriff auf Informationssysteme | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| 12 Überwachungsprotokollierung und Überwachung | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Dokumentierte Betriebsverfahren | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
Grundwerte für vertrauliche Richtlinien für Microsoft Cloud for Sovereignty
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen in Azure Policy für Grundwerte für vertrauliche Richtlinien für MCfS. Weitere Informationen zu diesem Compliancestandard finden Sie im Microsoft Cloud for Sovereignty-Vertragsbestand.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| SO.3: Kundenseitig verwaltete Schlüssel | SO.3 | Azure-Produkte müssen so konfiguriert werden, dass nach Möglichkeit kundenseitig verwaltete Schlüssel verwendet werden. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
Microsoft-Benchmark für Cloudsicherheit
Die Microsoft Sicherheitsbenchmark für die Cloud enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Die vollständige Zuordnung dieses Diensts zum Microsoft-Cloudsicherheitsbenchmark finden Sie in den Zuordnungsdateien zum Azure Security Benchmark.
Um zu überprüfen, wie sich die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste zu diesem Compliancestandard zuordnen lassen, lesen Sie Azure Policy-Einhaltung gesetzlicher Vorschriften – Microsoft-Cloudsicherheitsbenchmark.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Netzwerksicherheit | NS-2 | NS-2 Sichere Clouddienste mit Netzwerksteuerelementen | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| Privilegierter Zugriff | PA-7 | Befolgen Sie das Prinzip der minimalen Verwaltung und geringsten Privilegien | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Datenschutz | DP-3 | DP-3 Verschlüsseln vertraulicher Daten während der Übertragung | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| Protokollierung und Bedrohungserkennung | LT-1 | LT-1 Aktivieren von Bedrohungserkennungsfunktionen | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-2 | LT-2 Aktivieren der Bedrohungserkennung für Identitäts- und Zugriffsverwaltung | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Protokollierung und Bedrohungserkennung | LT-3 | LT-3 Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen | Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | 1.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-2 | PV-2 Überwachen und Erzwingen sicherer Konfigurationen | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| Status- und Sicherheitsrisikoverwaltung | PV-6 | PV-6 Schnelles und automatisches Beheben von Sicherheitsrisiken | Sicherheitsrisiken in den in Azure ausgeführten Containerimages müssen behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
| DevOps-Sicherheit | DS-6 | DS-6 Sicherstellen der Sicherheit der Arbeitslast während des gesamten DevOps-Lebenszyklus | Sicherheitsrisiken in den in Azure ausgeführten Containerimages müssen behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | 1.0.1 |
NIST SP 800-171 R2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-171 R2. Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Zugriffssteuerung | 3.1.3 | Steuern Sie den Fluss von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) gemäß den genehmigten Autorisierungen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.1 | Sorgen Sie für die Überwachung, die Kontrolle und den Schutz der Kommunikation (Informationen, die für Unternehmenssysteme übertragen oder empfangen werden) an den äußeren Grenzen und wichtigen internen Grenzen der Unternehmenssysteme. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.10 | Richten Sie Kryptografieschlüssel für die in Organisationssystemen verwendete Kryptografie ein, und verwalten Sie sie. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.16 | Schützen Sie die Vertraulichkeit von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) im ruhenden Zustand. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden | 1.0.1 |
| System- und Kommunikationsschutz | 3.13.2 | Verwenden Sie Architekturentwürfe, Softwareentwicklungstechniken und Systementwicklungsprinzipien, die zu einer effektiven Informationssicherheit in Organisationssystemen beitragen. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.5 | Implementieren Sie Subnetzwerke für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken physisch oder logisch getrennt sind. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.6 | Verweigern Sie standardmäßig Netzwerkkommunikationsdatenverkehr, und erlauben Sie diesen nur basierend auf Ausnahmen (d. h. basierend auf einer Richtlinie zur Verweigerung aller Programme und ausnahmebasierten Zulassung). | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| System- und Kommunikationsschutz | 3.13.8 | Implementieren Sie kryptografische Mechanismen zur Verhinderung einer unbefugten Offenlegung von nicht klassifizierten kontrollierten Informationen (Controlled Unclassified Information, CUI) während der Übertragung, sofern diese nicht durch andere physische Sicherheitsmaßnahmen geschützt sind. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| System- und Informationsintegrität | 3.14.1 | Sorgen Sie für die schnelle Identifizierung, Meldung und Behebung von Systemfehlern. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Konfigurationsverwaltung | 3.4.1 | Richten Sie Baselinekonfigurationen und Bestandsaufnahmen von Organisationssystemen (einschließlich Hardware, Software, Firmware und Dokumentation) in den jeweiligen Lebenszyklen der Systementwicklung ein, und verwalten Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Konfigurationsverwaltung | 3.4.2 | Richten Sie Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte ein, die in Organisationssystemen eingesetzt werden, und erzwingen Sie sie. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
NIST SP 800-53 Rev. 4
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 4. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy: NIST SP 800-53 Rev. 5. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5.
NL BIO-Clouddesign
Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesen Compliancestandard erfüllen, finden Sie unter Details zur Einhaltung gesetzlicher Bestimmungen durch Azure Policy für das NL BIO-Clouddesign. Weitere Informationen zu diesem Compliancestandard finden Sie unter Baseline Information Security Government Cybersecurity – Digital Government (digitaleoverheid.nl).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| C.04.3 Technische Sicherheitsrisikoverwaltung – Zeitachsen | C.04.3 | Wenn sowohl die Wahrscheinlichkeit eines Missbrauchs als auch der erwartete Schaden hoch sind, werden Patches spätestens innerhalb einer Woche installiert. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.6 Technisches Sicherheitsrisikomanagement – Zeitachsen | C.04.6 | Technische Schwachstellen können durch zeitnahe Durchführung des Patchmanagements behoben werden. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| C.04.7 Technisches Sicherheitsrisikomanagement – Bewertet | C.04.7 | Bewertungen technischer Sicherheitsrisiken werden aufgezeichnet und gemeldet. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.05.1 Datenschutz – Kryptografische Maßnahmen | U.05.1 | Der Datentransport wird mit Kryptografie gesichert, bei der die Schlüsselverwaltung, wenn möglich, von der CSC selbst durchgeführt wird. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| U.05.2 Datenschutz – Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind nach allen Regeln zu schützen. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| U.05.2 Datenschutz – Kryptografische Maßnahmen | U.05.2 | Die im Clouddienst gespeicherten Daten sind nach allen Regeln zu schützen. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden | 1.0.1 |
| U.07.1 Datentrennung – Isoliert | U.07.1 | Die dauerhafte Isolation von Daten ist eine mehrmandantenfähige Architektur. Patches werden auf kontrollierte Weise realisiert. | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 |
| U.07.3 Datentrennung – Verwaltungsfeatures | U.07.3 | U.07.3: Die Berechtigungen zum Anzeigen oder Ändern von CSC-Daten und/oder -Verschlüsselungsschlüsseln werden kontrolliert erteilt, und die Verwendung protokolliert. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| U.09.3 Schutz vor Schadsoftware – Erkennung, Prävention und Wiederherstellung | U.09.3 | Der Schutz vor Schadsoftware wird in verschiedenen Umgebungen ausgeführt. | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| U.10.2 Zugriff auf IT-Dienste und -Daten – Benutzende | U.10.2 | Unter der Verantwortung des CSP wird Administrierenden der Zugriff gewährt. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| U.10.3 Zugriff auf IT-Dienste und -Daten – Benutzende | U.10.3 | Nur Benutzende mit authentifizierten Geräten können auf IT-Dienste und -Daten zugreifen. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| U.10.5 Zugriff auf IT-Dienste und -Daten – Kompetent | U.10.5 | Der Zugriff auf IT-Dienste und -Daten ist durch technische Maßnahmen begrenzt und wurde implementiert. | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| U.11.1 Cryptoservices – Richtlinie | U.11.1 | In der Kryptografierichtlinie wurden zumindest die Themen gemäß BIO ausgearbeitet. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| U.11.2 Cryptoservices – Kryptografische Maßnahmen | U.11.2 | Bei PKIoverheid-Zertifikaten werden PKIoverheid-Anforderungen für die Schlüsselverwaltung verwendet. Verwenden Sie in anderen Situationen ISO 11770. | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom COSEC verwaltet werden. | Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | 1.0.1 |
| U.11.3 Cryptoservices – Verschlüsselt | U.11.3 | Vertrauliche Daten werden immer verschlüsselt, wobei private Schlüssel vom COSEC verwaltet werden. | Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden | 1.0.1 |
| U.15.1 Protokollierung und Überwachung – Protokollierte Ereignisse | U.15.1 | Die Verletzung der Richtlinienregeln wird vom CSP und vom COSEC aufgezeichnet. | Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | 1.0.0 |
Reserve Bank of India – IT-Framework für NBFC
Informationen dazu, wie die verfügbaren integrierten Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard zugeordnet werden, finden Sie unter Azure Policy Einhaltung gesetzlicher Bestimmungen – Reserve Bank of India – IT Framework for NBFC (Nichtbanken-Finanzgesellschaft). Weitere Informationen zu diesem Compliancestandard finden Sie unter Reserve Bank of India – IT Framework für NBFC (Nichtbanken-Finanzgesellschaft).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| IT-Governance | 1 | IT-Governance-1 | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
| Informations- und Cybersicherheit | 3.1.a | Identifizierung und Klassifizierung von Informationsressourcen-3.1 | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Informations- und Cybersicherheit | 3.1.c | Rollenbasierte Zugriffssteuerung-3.1 | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Informations- und Cybersicherheit | 3.1.g | Trails-3.1 | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Informations- und Cybersicherheit | 3.3 | Verwaltung von Sicherheitsrisiken-3.3 | Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | 1.0.2 |
Reserve Bank of India – IT-Framework für Banken v2016
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RBI ITF Banks v2016. Weitere Informationen zu diesem Compliancestandard finden Sie unter RBI ITF Banks v2016 (PDF).
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Patches/Sicherheitsrisiken und Change Management | Patches/Sicherheitsrisiken und Change Management-7.7 | In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | 2.0.1 | |
| Advanced Threat Defence und Verwaltung in Echtzeit | Erweiterter Bedrohungsschutz und erweitertes Bedrohungsmanagement in Echtzeit-13.2 | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 | |
| Benutzerzugriffssteuerung/-verwaltung | Benutzerzugriffssteuerung/-verwaltung-8.1 | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
RMIT Malaysia
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Einhaltung gesetzlicher Bestimmungen in Azure Policy – RMIT Malaysia. Weitere Informationen zu diesem Compliance- bzw. Konformitätsstandard finden Sie unter RMIT Malaysia.
Spanien ENS
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Konformitätsstandard entsprechen, finden Sie unter Details zur Einhaltung gesetzlicher Vorschriften für die spanische ENS von Azure Policy. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter CCN-STIC 884.
SWIFT CSP-CSCF v2021
Informationen dazu, wie die verfügbaren integrierten Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard zugeordnet werden, finden Sie unter Einhaltung gesetzlicher Bestimmungen für SWIFT CSP-CSCF v2021 mit Azure Policy. Weitere Informationen zu diesem Compliancestandard finden Sie unter SWIFT CSP CSCF v2021.
System- und Organisationskontrollen (SOC) 2
Weitere Informationen dazu, wie die verfügbaren Azure Policy-Integrationen für alle Azure-Dienste diesem Compliancestandard entsprechen, finden Sie unter Details zur integrierten Initiative „Einhaltung der gesetzlichen Bestimmungen für SOC 2 (System and Organization Controls)“. Weitere Informationen zu diesem Compliancestandard finden Sie unter System- und Organisationskontrollen (SOC) 2.
| Domäne | Steuerungs-ID | Steuerungstitel | Richtlinie (Azure-Portal) |
Richtlinienversion (GitHub) |
|---|---|---|---|---|
| Logische und physische Zugriffssteuerung | CC6.1 | Software, Infrastruktur und Architekturen für die Sicherheit des logischen Zugriffs | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| Logische und physische Zugriffssteuerung | CC6.3 | Rollenbasierter Zugriff und geringste Rechte | Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | 1.1.0 |
| Logische und physische Zugriffssteuerung | CC6.6 | Sicherheitsmaßnahmen gegen Bedrohungen außerhalb der Systemgrenzen | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| Logische und physische Zugriffssteuerung | CC6.7 | Beschränken des Informationsverkehrs auf autorisierte Benutzerinnen und Benutzer | Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können | 8.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Logische und physische Zugriffssteuerung | CC6.8 | Verhindern oder Erkennen von nicht autorisierter Software oder Schadsoftware | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
| Systemvorgänge | CC7.2 | Überwachen von Systemkomponenten auf ungewöhnliches Verhalten | Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein | 2.0.1 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | 1.0.2 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | CPU-Ressourcen und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Grenzwerte nicht überschreiten | 9.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | 6.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | 6.2.1 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | 6.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | 9.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | 6.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | 6.3.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | 6.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | 7.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | 8.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine privilegierten Container zulassen | 9.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | 4.2.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | 8.0.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | 5.1.0 |
| Veränderungsmanagement | CC8.1 | Änderungen an Infrastruktur, Daten und Software | Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | 4.2.0 |
Nächste Schritte
- Lesen Sie die weiteren Informationen zur Einhaltung gesetzlicher Bestimmungen in Azure Policy.
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.