Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El cumplimiento normativo de Azure Policy proporciona definiciones de iniciativas (integradas) creadas y administradas por Microsoft para los dominios de cumplimiento y los controles de seguridad relacionados con diferentes estándares de cumplimiento. En esta página se enumeran los dominios de cumplimiento y los controles de seguridad de Azure Kubernetes Service (AKS).
Para que los recursos de Azure sean compatibles con el estándar específico, puede asignar las integraciones a un control de seguridad de manera individual.
El título de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión de directiva para ver el origen en el Repositorio de GitHub de Azure Policy.
Importante
Cada control está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento con el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el término cumplimiento en Azure Policy solo se refiere a las propias directivas. Esto no garantiza una compatibilidad total con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan en ninguna definición de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado de cumplimiento general. Las asociaciones entre los controles y las definiciones de cumplimiento normativo de Azure Policy para estos estándares de cumplimiento pueden cambiar con el tiempo.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: CIS Microsoft Azure Foundations Benchmark 1.1.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Otras 8 consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Para consultar la correspondencia que existe entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, consulte este artículo sobre los detalles de la iniciativa integrada de cumplimiento normativo de CIS Microsoft Azure Foundations Benchmark. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Otras 8 consideraciones de seguridad | 8.5 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, vea Detalles del cumplimiento normativo de Azure Policy de CIS v1.4.0. Para más información sobre este estándar de cumplimiento, consulte CIS Microsoft Azure Foundations Benchmark.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Otras 8 consideraciones de seguridad | 8.7 | Habilite el control de acceso basado en rol (RBAC) en Azure Kubernetes Services. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
CMMC nivel 3
Para ver la correspondencia de las integraciones de Azure Policy disponibles para todos los mapas de servicio de Azure con este estándar de cumplimiento, consulte Detalles de la iniciativa integrada de cumplimiento normativo CMMC nivel 3. Para más información sobre este estándar de cumplimiento, consulte Certificación del modelo de madurez de ciberseguridad (CMMC).
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados y a los dispositivos (incluidos otros sistemas de información). | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Control de acceso | AC.1.001 | Limita el acceso del sistema de información a los usuarios autorizados, a los procesos que actúan en nombre de los usuarios autorizados y a los dispositivos (incluidos otros sistemas de información). | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Control de acceso | AC.1.002 | Limita el acceso del sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Control de acceso | AC.2.007 | Utiliza el principio de privilegios mínimos, también con cuentas con privilegios y funciones de seguridad específicas. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Control de acceso | AC.2.016 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Administración de la configuración | CM.2.062 | Utiliza el principio de funcionalidad mínima y configura los sistemas de la organización para proporcionar únicamente las funcionalidades esenciales. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Administración de la configuración | CM.3.068 | Restringe, deshabilita o impide el uso de programas, funciones, puertos, protocolos y servicios no esenciales. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Evaluación de riesgos | RM.2.143 | Corrige las vulnerabilidades con arreglo a las evaluaciones de riesgos. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Protección del sistema y de las comunicaciones | SC.1.175 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Protección del sistema y de las comunicaciones | SC.3.177 | Emplea criptografía validada mediante FIPS cuando se usa para proteger la confidencialidad de CUI. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| Protección del sistema y de las comunicaciones | SC.3.183 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Integridad del sistema y de la información | SI.1.210 | Identifica, notifica y corrige la información y los errores del sistema de información en el momento oportuno. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
FedRAMP High
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP High. Para más información sobre este estándar de cumplimiento, consulte FedRAMP High.
FedRAMP Moderate
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: FedRAMP Moderate. Para más información sobre este estándar de cumplimiento, consulte FedRAMP Moderate.
HIPAA/HITRUST
Con el fin de revisar el modo en que las integraciones de Azure Policy disponibles para los servicios de Azure siguen este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: HIPAA/HITRUST. Para obtener más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Administración de privilegios | 1149.01c2System.9 - 01.c | Con el fin de facilitar el uso compartido de la información, la organización permite que los usuarios autorizados determinen el acceso de un asociado comercial según unos criterios permitidos definidos y el empleo de procesos manuales o mecanismos automatizados para ayudar a los usuarios a tomar decisiones de colaboración y uso compartido de la información. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| 11 Control de acceso | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 Acceso autorizado a sistemas de información | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| 12 Registros de auditoría y supervisión | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
Directivas confidenciales de la línea de base de Microsoft Cloud for Sovereignty
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para las directivas confidenciales de la línea de base de MCfS. Para más información sobre este estándar de cumplimiento, vea Cartera de directivas de Microsoft Cloud for Sovereignty.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| SO.3: Claves administradas por el cliente | SO.3 | Los productos de Azure deben configurarse para usar claves administradas por el cliente siempre que sea posible. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
Punto de referencia de seguridad en la nube de Microsoft
El punto de referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. Para ver la asignación completa de este servicio al punto de referencia de seguridad en la nube de Microsoft, consulte Archivos de asignación de Azure Security Benchmark.
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: punto de referencia de seguridad en la nube de Microsoft.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Seguridad de redes | NS-2 | NS-2 Proteger servicios en la nube con controles de red | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Acceso con privilegios | PA-7 | PA-7 Siga el principio de administración suficiente (privilegios mínimos) | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Protección de datos | DP-3 | DP-3 Cifrar datos confidenciales en tránsito | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| registro y detección de amenazas | LT-1 | LT-1 Habilitación de las funcionalidades de detección de amenazas | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | 2.0.1 |
| registro y detección de amenazas | LT-2 | LT-2 Habilitación de la detección de amenazas para la administración de identidades y acceso | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | 2.0.1 |
| registro y detección de amenazas | LT-3 | LT-3 Habilitación del registro para la investigación de seguridad | Los registros de recursos de Azure Kubernetes Service se deben habilitar | 1.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | 4.2.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN | 5.1.0 |
| administración de posturas y vulnerabilidades | PV-2 | Auditoría de PV-2 y aplicación de configuraciones seguras | Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado. | 4.2.0 |
| administración de posturas y vulnerabilidades | PV-6 | PV-6 Corrige rápidamente y automáticamente las vulnerabilidades | Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de la Administración de vulnerabilidades de Microsoft Defender) | 1.0.1 |
| Seguridad de DevOps | DS-6 | DS-6 Exigir la seguridad de la carga de trabajo a lo largo del ciclo de vida de DevOps | Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de la Administración de vulnerabilidades de Microsoft Defender) | 1.0.1 |
NIST SP 800-171 R2
Para revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se corresponden a este estándar de cumplimiento, consulte Cumplimiento normativo de Azure Policy: NIST SP 800-171 R2. Para más información acerca de este estándar normativo, consulte NIST SP 800-171 R2.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Control de acceso | 3.1.3 | Controla el flujo de CUI de acuerdo con las autorizaciones aprobadas. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.1 | Supervisa, controla y protege las comunicaciones (es decir, la información transmitida o recibida por los sistemas de la organización) en los límites externos y los límites internos clave de los sistemas de la organización. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.10 | Establece y administra las claves del mecanismo de cifrado que se utiliza en los sistemas de la organización. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.16 | Protege la confidencialidad de CUI en reposo. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.2 | Emplea diseños arquitectónicos, técnicas de desarrollo de software y principios de ingeniería de sistemas que fomentan la seguridad de la información en los sistemas de la organización. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.5 | Implementa subredes para componentes del sistema accesibles públicamente que están física o lógicamente separados de las redes internas. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.6 | Deniega el tráfico de las comunicaciones de red de forma predeterminada y solo permite el tráfico de las comunicaciones de red de forma excepcional (es decir, deniega todo el tráfico y permite las excepciones). | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| Protección del sistema y de las comunicaciones | 3.13.8 | Implementa mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión, a menos que se proteja de otro modo con medidas de seguridad físicas alternativas. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| Integridad del sistema y de la información | 3.14.1 | Identifica, informa y corrige los errores del sistema de manera puntual. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| Administración de la configuración | 3.4.1 | Establece y mantiene los inventarios y las configuraciones de referencia de los sistemas de la organización (incluido el hardware, el software, el firmware y la documentación) en los respectivos ciclos de vida de desarrollo del sistema. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| Administración de la configuración | 3.4.2 | Establece y aplica la configuración de seguridad de los productos de tecnología de la información empleados en los sistemas de la organización. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
NIST SP 800-53 Rev. 4
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R4. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Para revisar el modo en que las iniciativas integradas disponibles de Azure Policy de todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte Detalles de la iniciativa integrada del cumplimiento normativo de NIST SP 800-53 R5. Para más información sobre este estándar de cumplimiento, consulte NIST SP 800-53 Rev. 5.
Tema de la nube de NL BIO
Para revisar cómo se asignan los complementos de Azure Policy disponibles para todos los servicios de Azure a este estándar de cumplimiento, consulte Detalles de cumplimiento normativo de Azure Policy para el tema de la nube de NL BIO. Para obtener más información sobre este estándar de cumplimiento, consulte Ciberseguridad gubernamental de seguridad de la información de base de referencia: gobierno digital (digitaleoverheid.nl).
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| C.04.3 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.3 | Si la probabilidad de abuso y los daños esperados son altos, las revisiones no se instalan más tarde de una semana. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| C.04.6 Administración técnica de vulnerabilidades: escalas de tiempo | C.04.6 | Las debilidades técnicas se pueden solucionar mediante la administración de revisiones de a tiempo. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | 4.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN | 5.1.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado. | 4.2.0 |
| C.04.7 Administración técnica de vulnerabilidades: evaluada | C.04.7 | Las evaluaciones de vulnerabilidades técnicas se registran y notifican. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| U.05.1 Protección de datos: medidas criptográficas | U.05.1 | El transporte de datos se protege con criptografía en la que la propia CSC realiza la administración de claves si es posible. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán al estado más reciente del arte. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| U.05.2 Protección de datos: medidas criptográficas | U.05.2 | Los datos almacenados en el servicio en la nube se protegerán al estado más reciente del arte. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| Separación de datos de U.07.1: aislado | U.07.1 | El aislamiento permanente de los datos es una arquitectura multiinquilino. Las revisiones se realizan de forma controlada. | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 |
| U.07.3 Separación de datos: características de administración | U.07.3 | U.07.3: Los privilegios para ver o modificar datos de CSC o claves de cifrado se conceden de forma controlada y se registra el uso. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| U.09.3 Protección contra malware: detección, prevención y recuperación | U.09.3 | La protección contra malware se ejecuta en diferentes entornos. | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| U.10.2 Acceso a los servicios y datos de TI: usuarios | U.10.2 | Bajo la responsabilidad del CSP, se concede acceso a los administradores. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| U.10.3 Acceso a los servicios y datos de TI: usuarios | U.10.3 | Solo los usuarios con equipos autenticados pueden acceder a los servicios y datos de TI. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| U.10.5 Acceso a los servicios y datos de TI: competente | U.10.5 | El acceso a los servicios y datos de TI está limitado por medidas técnicas y ha sido implementado. | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| U.11.1 Servicios criptográficos: directiva | U.11.1 | En la directiva de criptografía, se han elaborado al menos los temas de conformidad con la BIO. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| U.11.2 Servicios criptográficos: medidas criptográficas | U.11.2 | En el caso de los certificados PKIoverheid, use los requisitos de PKIoverheid para la administración de claves. En otras situaciones, use ISO11770. | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| Criptoservicios U.11.3: cifrado | U.11.3 | Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. | Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | 1.0.1 |
| Criptoservicios U.11.3: cifrado | U.11.3 | Los datos confidenciales siempre se cifran, con claves privadas administradas por el CSC. | Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | 1.0.1 |
| U.15.1 Registro y supervisión: eventos registrados | U.15.1 | El CSP y el CSC registran la infracción de las reglas de directiva. | Los registros de recursos de Azure Kubernetes Service se deben habilitar | 1.0.0 |
Banco de la Reserva de la India: marco informático para NBFC
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: Banco de la Reserva de la India: marco informático para NBFC. Para obtener más información sobre este estándar de cumplimiento, consulte Banco de la Reserva de la India: marco informático para NBFC.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Gobernanza de TI | 1 | Gobernanza de TI-1 | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
| Información y ciberseguridad | 3.1.a | Identificación y clasificación de recursos de información-3.1 | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Información y ciberseguridad | 3.1.c | Control de acceso basado en rol-3.1 | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Información y ciberseguridad | 3.1 g | Trails-3.1 | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | 2.0.1 |
| Información y ciberseguridad | 3.3 | Administración de vulnerabilidades-3.3 | Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | 1.0.2 |
Marco de TI del Banco de Reserva de la India para bancos v2016
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: RBI ITF Banks v2016. Para más información sobre este estándar de cumplimiento, consulte: RBI ITF Banks v2016 (PDF).
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Administración de cambios y revisiones y vulnerabilidades | Administración de cambios y revisiones y vulnerabilidades - 7.7 | Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | 2.0.1 | |
| Administración y defensa ante amenazas avanzadas en tiempo real | Administración y defensa ante amenazas avanzadas en tiempo real-13.2 | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | 2.0.1 | |
| Administración o control de acceso de usuarios | Control de acceso de usuario/Administración-8.1 | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
RMIT Malasia
Para revisar la correspondencia entre las integraciones de Azure Policy disponibles para todos los servicios de Azure y este estándar de cumplimiento, vea Cumplimiento normativo de Azure Policy: RMIT Malasia. Para obtener más información sobre este estándar de cumplimiento, consulte RMIT Malasia.
España ENS
A fin de revisar el modo en que las integraciones de Azure Policy disponibles para todos los servicios de Azure se asignan a esta norma de cumplimiento, consulte Detalles del cumplimiento normativo de Azure Policy para España ENS. Para obtener más información sobre este estándar de cumplimiento, consulte CCN-STIC 884.
SWIFT CSP-CSCF v2021
Para revisar cómo las funciones integradas de Azure Policy disponibles para todos los mapas de servicio de Azure se asignan a este estándar de cumplimiento, consulte los detalles del cumplimiento normativo de Azure Policy para SWIFT CSP-CSCF v2021. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2021.
Controles de sistema y organización (SOC) 2
Para examinar la forma en que los elementos integrados de Azure Policy disponibles para todos los servicios de Azure se asignan a este estándar de cumplimiento, consulte los Detalles de la iniciativa integrada de cumplimiento normativo de Controles de organización y sistema (SOC) 2. Para más información sobre este estándar de cumplimiento, consulte Controles de organización y sistema (SOC) 2.
| Dominio | Identificador de control | Título de control | Directiva (Azure Portal) |
Versión de directiva (GitHub) |
|---|---|---|---|---|
| Controles de acceso lógico y físico | CC6.1 | Software, infraestructura y arquitecturas de seguridad del acceso lógico | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| Controles de acceso lógico y físico | CC6.3 | Acceso basado en roles y privilegios mínimos | Se debe usar el control de acceso basado en rol (RBAC) en los servicios de Kubernetes | 1.1.0 |
| Controles de acceso lógico y físico | CC6.6 | Medidas de seguridad contra amenazas fuera de los límites del sistema | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| Controles de acceso lógico y físico | CC6.7 | Restringir el movimiento de información a usuarios autorizados | Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | 8.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | 4.2.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN | 5.1.0 |
| Controles de acceso lógico y físico | CC6.8 | Evitar o detectar software no autorizado o malintencionado | Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado. | 4.2.0 |
| Operaciones del sistema | CC7.2 | Supervisión de componentes del sistema para un comportamiento anómalo | Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | 2.0.1 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | 1.0.2 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los límites de los recursos de memoria y CPU del contenedor no deben superar los límites especificados en el clúster de Kubernetes | 9.3.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores de clústeres de Kubernetes no deben compartir espacios de nombres de host | 6.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | 6.2.1 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | 6.2.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores de clústeres de Kubernetes solo deben usar imágenes permitidas | 9.3.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | 6.3.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | 6.3.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | 6.2.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los pods del clúster de Kubernetes solo pueden usar la lista de puertos y la red de host permitidos | 7.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | 8.2.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | El clúster de Kubernetes no debe permitir contenedores con privilegios | 9.2.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | 4.2.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | 8.0.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN | 5.1.0 |
| Administración de cambios | CC8.1 | Cambios en la infraestructura, los datos y el software | Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado. | 4.2.0 |
Pasos siguientes
- Obtenga más información sobre el cumplimiento normativo de Azure Policy.
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.