ضوابط الامتثال التنظيمي لسياسة Azure لخدمة Azure Kubernetes Service (AKS)

مقالة
08/02/2024

يوفر الامتثال التنظيمي لسياسة Azure تعريفات المبادرة (المضمنة) التي أنشأتها وتديرها Microsoft، لمجالات الامتثال وعناصر التحكم الأمنية المتعلقة بمعايير الامتثال المختلفة. تسرد هذه الصفحة مجالات الامتثال لخدمة Azure Kubernetes Service (AKS) وعناصر التحكم الأمنية.

يمكنك تعيين العناصر المضمنة للضوابط الأمنية بشكل فردي للمساعدة في توافق موارد Azure مع المعيار المحدد.

يرتبط عنوان كل تعريف سياسة مضمن بتعريف النهج في مدخل Azure. استخدم الارتباط في عمود إصدار النهج لعرض المصدر على مستودع Azure Policy GitHub.

هام

يرتبط كل عنصر تحكم بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه النُهج في تقييم الامتثال لعنصر التحكم. ومع ذلك، لا يوجد غالبًا تطابق واحد لواحد أو تطابق كامل بين عنصر تحكم ونهج واحد أو أكثر. على هذا النحو، يشير مصطلح المتوافق في Azure Policy إلى النُهج نفسها فقط. هذا لا يضمن أنك متوافق تمامًا مع جميع متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. يمكن أن تتغير الارتباطات بين عناصر التحكم وتعريفات Azure Policy Regulatory Compliance لهذه المعايير للتوافق بمرور الوقت.

معيار أسس CIS Microsoft Azure إصدار 1.1.0

لمراجعة كيفية تعيين الأشياء المضمنة نهج Azure المُتوفرة لجميع خدمات Azure إلى معيار التوافق هذا راجع ⁧التوافق التنظيمي لنهج Azure، معيار أسس CIS Microsoft Azure إصدار 1.1.0⁧. لمزيد من المعلومات حول معيار التوافق هذا، راجع ⁧ معيار أسس CIS Microsoft Azure⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
8 اعتبارات أمنية أخرى	8.5	قم بتمكين التحكم في الوصول استنادًا إلى الدور (RBAC) ضمن خدمات Azure Kubernetes	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4

معيار أسس CIS Microsoft Azure إصدار 1.3.0

لمراجعة كيفية تعيين الأشياء المضمنة نهج Azure المُتوفرة لجميع خدمات Azure إلى معيار التوافق هذا راجع ⁧التوافق التنظيمي لنهج Azure، معيار أسس CIS Microsoft Azure إصدار 1.3.0⁧. لمزيد من المعلومات حول معيار التوافق هذا، راجع ⁧ معيار أسس CIS Microsoft Azure⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
8 اعتبارات أمنية أخرى	8.5	قم بتمكين التحكم في الوصول استنادًا إلى الدور (RBAC) ضمن خدمات Azure Kubernetes	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4

معيار CIS Microsoft Azure Foundations 1.4.0

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure ل CIS v1.4.0. لمزيد من المعلومات حول معيار التوافق هذا، راجع ⁧ معيار أسس CIS Microsoft Azure⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
8 اعتبارات أمنية أخرى	8.7	قم بتمكين التحكم في الوصول استنادًا إلى الدور (RBAC) ضمن خدمات Azure Kubernetes	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4

CMMC المستوى 3

لمراجعة طريقة تعيين الأشياء المضمنة نهج Azure المتوفرة لكافة خدمات Azure إلى معيار التوافق المذكور، اطَّلع على ⁧التوافق التنظيمي لنهج Azure - المستوى الثالث لشهادة نموذج نضج الأمان عبر الإنترنت⁧. للمزيد من المعلومات المتعلقة بمعيار التوافق المذكور، راجع ⁧شهادة نموذج نضج الأمان عبر الإنترنت⁧

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	AC.1.001	تقييد الوصول إلى نظام المعلومات للمستخدمين المعتمدين، والعمليات التي تعمل نيابةً عن المستخدمين المعتمدين، والأجهزة (بما في ذلك أنظمة المعلومات الأخرى).	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
التحكم في الوصول	AC.1.001	تقييد الوصول إلى نظام المعلومات للمستخدمين المعتمدين، والعمليات التي تعمل نيابةً عن المستخدمين المعتمدين، والأجهزة (بما في ذلك أنظمة المعلومات الأخرى).	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	AC.1.002	قم بتقييد وصول نظام المعلومات إلى أنواع المعاملات والوظائف التي يُسمح للمستخدمين المعتمدين بتنفيذها.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
التحكم في الوصول	AC.1.002	قم بتقييد وصول نظام المعلومات إلى أنواع المعاملات والوظائف التي يُسمح للمستخدمين المعتمدين بتنفيذها.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	AC.2.007	استخدام مبدأ أدنى الامتيازات، بما في ذلك وظائف الأمان المحددة والحسابات المميزة.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	AC.2.016	التحكم في تدفق المعلومات غير المصنفة الخاضعة للرقابة (CUI) وفقًا للتراخيص المعتمدة.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
إدارة التكوين	CM.2.062	استخدام مبدأ الأداء الوظيفي الأدنى عن طريق تكوين أنظمة تنظيمية لتوفير القدرات الأساسية فقط.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
إدارة التكوين	CM.3.068	تقييد استخدام البرامج أو الوظائف أو المنافذ أو البروتوكولات أو الخدمات غير الضرورية أو تعطيلها أو منعها.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
تقييم المخاطر	RM.2.143	معالجة الثغرات الأمنية وفقًا لتقييمات المخاطر.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
حماية الاتصالات والنظام	SC.1.175	مراقبة الاتصالات والتحكم بها وحمايتها (أي المعلومات المُرسلة للأنظمة التنظيمية أو المُستلمة منها) عند الحدود الخارجية والحدود الداخلية الرئيسية للأنظمة التنظيمية.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
حماية الاتصالات والنظام	SC.3.177	استخدم التشفير المعتمد وفقاً لمعايير معالجة المعلومات الفيدرالية عند استخدامه لحماية سرية المعلومات غير السرية الخاضعة للرقابة.	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	SC.3.183	ارفض حركة مرور اتصالات الشبكة بشكل افتراضي واسمح بحركة اتصالات الشبكة على سبيل الاستثناء (أي: deny all و permit by exception).	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
سلامة النظام والمعلومات	SI.1.210	تحديد المعلومات وعيوب نظام المعلومات والإبلاغ عنها وتصحيحها في الوقت المناسب.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

FedRAMP High

لمراجعة كيفية تعيين الأشياء المضمنة نهج Azure المُتوفرة لجميع خدمات Azure إلى معيار التوافق هذا راجع ⁧التوافق التنظيمي لنهج Azure -المستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل⁧. للمزيد من المعلومات حول معيار الامتثال هذا، راجع المستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	AC-4	تطبيق تدفق المعلومات	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
إدارة التكوين	CM-6	إعدادات التكوين	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
حماية الاتصالات والنظام	SC-7	حماية الحدود	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-7 (3)	نقاط الوصول	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-8	سرية النقل ونزاهته	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-8 (1)	حماية التشفير أو الحماية الفعلية البديلة	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-12	إنشاء مفتاح التشفير وإدارته	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	SC-28	حماية المعلومات غير النشطة	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
حماية الاتصالات والنظام	SC-28 (1)	حماية التشفير	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
سلامة النظام والمعلومات	SI.2	إصلاح الخلل	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

FedRAMP Moderate

لمراجعة كيفية تعيين الأشياء المضمنة نهج Azure المُتوفرة لجميع خدمات Azure إلى معيار التوافق هذا راجع ⁧التوافق التنظيمي لنهج Azure - FedRAMP Moderate. لمزيد من المعلومات المتعلقة بمعيار التوافق، راجع ⁧FedRAMP Moderate⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	AC-4	تطبيق تدفق المعلومات	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
إدارة التكوين	CM-6	إعدادات التكوين	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
حماية الاتصالات والنظام	SC-7	حماية الحدود	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-7 (3)	نقاط الوصول	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-8	سرية النقل ونزاهته	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-8 (1)	حماية التشفير أو الحماية الفعلية البديلة	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-12	إنشاء مفتاح التشفير وإدارته	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	SC-28	حماية المعلومات غير النشطة	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
حماية الاتصالات والنظام	SC-28 (1)	حماية التشفير	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
سلامة النظام والمعلومات	SI.2	إصلاح الخلل	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

قانون قابلية التأمين الصحي والمساءلة عليه لمؤسسة التحالف الائتماني للمعلومات الصحية 9.2

لمراجعة طريقة الأشياء المضمنة نهج Azure المتوفرة لكافة خدمات Azure في التعيين إلى معيار التوافق هذا، راجع ⁧التوافق التنظيمي لنهج Azure - HIPAA HITRUST 9.2⁧. لمزيد من المعلومات حول معيار التوافق هذا، راجع ⁧HIPAA HITRUST 9.2⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
إدارة الامتيازات	1149.01c2System.9 - 01.c	تيسر المنظمة تبادل المعلومات بتمكين المستخدمين المأذون لهم من تحديد إمكانية وصول شريك العمل عندما تسمح المنظمة بالحصول على السلطة التقديرية، واستخدام عمليات يدوية أو آليات آلية لمساعدة المستخدمين على اتخاذ قرارات تبادل المعلومات/التعاون.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
11 التحكم بالوصول	1153.01c3System.35-01.c	1153.01c3System.35-01.c 01.02 الوصول المصرح به إلى أنظمة المعلومات	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
12 تدقيق التسجيل والمراقبة	1229.09c1Organizational.1-09.c	1229.09c1Organizational.1-09.c 09.01 إجراءات التشغيل الموثقة	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4

النهج السرية للأساس الأساسي للسيادة في Microsoft Cloud

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure لنهج MCfS النهج السرية الأساسية لسيادة MCfS. لمزيد من المعلومات حول معيار التوافق هذا، راجع قائمة مشاريع نهج Microsoft Cloud for Sovereignty.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
SO.3 - مفاتيح يديرها العميل	SO.3	يجب تكوين منتجات Azure لاستخدام المفاتيح المدارة من قبل العملاء عندما يكون ذلك ممكنا.	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1

Microsoft cloud security benchmark

يوفر معيار أمان السحابة من Microsoft توصيات حول كيفية تأمين حلول السحابة الخاصة بك على Azure. لمعرفة كيفية تعيين هذه الخدمة تماما لمعيار أمان سحابة Microsoft، راجع ملفات تعيين معيار أمان Azure.

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع الامتثال التنظيمي لنهج Azure - معيار أمان سحابة Microsoft.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
أمان الشبكة	NS-2	خدمات سحابية آمنة مع عناصر تحكم الشبكة	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
الوصول المتميز	PA-7	اتبع كيان الإدارة الكافية (الامتياز الأقل)	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
حماية البيانات	DP-3	تشفير البيانات الثابتة الحساسة	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
التسجيل والكشف عن التهديدات	LT-1	تمكين قدرات الكشف عن التهديدات	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
التسجيل والكشف عن التهديدات	LT-2	تمكين الكشف عن التهديدات لإدارة الهوية والوصول	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
التسجيل والكشف عن التهديدات	LT-3	تمكين تسجيل الدخول للتحقيق الأمني	ينبغي تمكين سجلات الموارد في Azure Kubernetes Service	1.0.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي	4.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN	5.1.0
إدارة الأوضاع والثغرات الأمنية	PV-2	تدقيق وفرض التكوينات الآمنة	يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية	4.2.0
إدارة الأوضاع والثغرات الأمنية	PV-6	معالجة الثغرات الأمنية في البرامج بسرعةٍ وتلقائيةٍ	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
أمن DevOps	DS-6	فرض أمان عبء العمل طوال دورة حياة DevOps	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1

NIST SP 800-171 R2

لمراجعة طريقة تعيين الأشياء المضمنة نهج Azure المتوفرة لكافة خدمات Azure إلى معيار التوافق المذكور، اطَّلع على ⁧التوافق التنظيمي لنهج Azure-NIST SP 800-171 R2⁧. لمزيد من المعلومات المتعلقة بمعيار التوافق المذكور، راجع ⁧NIST SP 800-171 R2⁧.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	3.1.3	التحكم في تدفق المعلومات غير المصنفة الخاضعة للرقابة (CUI) وفقًا للتراخيص المعتمدة.	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	3.13.1	مراقبة الاتصالات والتحكم بها وحمايتها (أي المعلومات المُرسلة للأنظمة التنظيمية أو المُستلمة منها) عند الحدود الخارجية والحدود الداخلية الرئيسية للأنظمة التنظيمية.	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	3.13.10	أنشئ مفاتيح التشفير وقم بإدارتها للتشفير المستخدم في الأنظمة التنظيمية.	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	3.13.16	حماية سرية المعلومات غير النشطة غير المصنفة الخاضعة للرقابة.	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
حماية الاتصالات والنظام	3.13.2	قم بتطبيق التصاميم الهندسية وتقنيات تطوير البرمجيات والمبادئ الهندسية للأنظمة التي تعزز أمان المعلومات الفعال داخل الأنظمة التنظيمية.	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	3.13.5	تنفيذ أعمال الشبكات الفرعية لمكونات النظام التي يمكن الوصول إليها بشكل عام، والتي تُفصل ماديًا أو منطقيًا عن الشبكات الداخلية.	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	3.13.6	ارفض حركة مرور اتصالات الشبكة بشكل افتراضي واسمح بحركة اتصالات الشبكة على سبيل الاستثناء (أي: deny all و permit by exception).	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	3.13.8	تنفيذ آليات تشفير لمنع الكشف غير المصرح به عن CUI في أثناء الإرسال ما لم يكن محميًا بخلاف ذلك بضمانات مادية بديلة.	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
سلامة النظام والمعلومات	3.14.1	تحديد عيوب النظام والإبلاغ عنها وتصحيحها في الوقت المناسب.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	3.4.1	إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	3.4.2	إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0

NIST SP 800-53 Rev. 4

لمراجعة كيفية تعيين الأشياء المضمنة نهج Azure المتوفرة لكافة خدمات Azure إلى معيار التوافق هذا راجع ⁧التوافق التنظيمي لنهج Azure- منشور خاص رقم 53-800 التنقيح الرابع للمعهد الوطني للمعايير والتقنية ⁧. للمزيد من المعلومات حول معيار الامتثال هذا، راجع منشور خاص (SP) رقم 53-800 للمعهد الوطني للمعايير والتقنية (NIST) الإصدار 4.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	AC-3(7)	التحكم في الوصول استنادًا إلى الدور	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	AC-4	تطبيق تدفق المعلومات	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
إدارة التكوين	CM-6	إعدادات التكوين	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
حماية الاتصالات والنظام	SC-7	حماية الحدود	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-7 (3)	نقاط الوصول	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-8	سرية النقل ونزاهته	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-8 (1)	حماية التشفير أو الحماية الفعلية البديلة	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-12	إنشاء مفتاح التشفير وإدارته	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	SC-28	حماية المعلومات غير النشطة	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
حماية الاتصالات والنظام	SC-28 (1)	حماية التشفير	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
سلامة النظام والمعلومات	SI.2	إصلاح الخلل	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
سلامة النظام والمعلومات	SI-2 (6)	إزالة الإصدارات السابقة من البرامج/ البرامج الثابتة	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

منشور خاص (SP) رقم 53-800 للمعهد الوطني للمعايير والتقنية (NIST) المراجعة 5

لمراجعة طريقة تعيين الأشياء المضمنة نهج Azure المتوفرة لكافة خدمات Azure إلى معيار التوافق المذكور، راجع ⁧التوافق التنظيمي لنهج Azure- منشور خاص رقم 53-800 التنقيح الخامس للمعهد الوطني للمعايير والتقنية ⁧. لمزيد من المعلومات حول معيار الامتثال هذا، راجع NIST SP 800-53 Rev. 5.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التحكم في الوصول	AC-3(7)	التحكم في الوصول استنادًا إلى الدور	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	AC-4	تطبيق تدفق المعلومات	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
إدارة التكوين	CM-6	إعدادات التكوين	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التكوين	CM-6	إعدادات التكوين	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التكوين	CM-6	إعدادات التكوين	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
حماية الاتصالات والنظام	SC-7	حماية الحدود	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-7 (3)	نقاط الوصول	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية الاتصالات والنظام	SC-8	سرية الإرسال وتكامله	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-8 (1)	حماية التشفير	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
حماية الاتصالات والنظام	SC-12	إنشاء مفتاح التشفير وإدارته	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
حماية الاتصالات والنظام	SC-28	حماية المعلومات الثابتة	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
حماية الاتصالات والنظام	SC-28 (1)	حماية التشفير	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
سلامة النظام والمعلومات	SI.2	إصلاح الخلل	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
سلامة النظام والمعلومات	SI-2 (6)	إزالة الإصدارات السابقة من البرامج والبرامج الثابتة	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

نسق سحابة NL BIO

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure لنسق سحابة NL BIO. لمزيد من المعلومات حول معيار التوافق هذا، راجع الأمن السيبراني لحكومة أمان المعلومات الأساسية - الحكومة الرقمية (digitaleoverheid.nl).

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
C.04.3 technical إدارة الثغرات الأمنية - المخططات الزمنية	C.04.3	إذا كان احتمال إساءة الاستخدام والضرر المتوقع مرتفعين، يتم تثبيت التصحيحات في موعد لا يتجاوز غضون أسبوع.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
C.04.6 technical إدارة الثغرات الأمنية - المخططات الزمنية	C.04.6	يمكن معالجة نقاط الضعف التقنية من خلال إجراء إدارة التصحيح في الوقت المناسب.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي	4.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN	5.1.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية	4.2.0
C.04.7 technical إدارة الثغرات الأمنية - تم التقييم	C.04.7	يتم تسجيل تقييمات نقاط الضعف التقنية وإعداد التقارير عنها.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
U.05.1 Data protection - مقاييس التشفير	U.05.1	يتم تأمين نقل البيانات مع التشفير حيث يتم تنفيذ إدارة المفاتيح من قبل CSC نفسها إذا كان ذلك ممكنا.	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
U.05.2 Data protection - مقاييس التشفير	U.05.2	يجب حماية البيانات المخزنة في الخدمة السحابية إلى أحدث حالة من الفن.	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
U.05.2 Data protection - مقاييس التشفير	U.05.2	يجب حماية البيانات المخزنة في الخدمة السحابية إلى أحدث حالة من الفن.	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
U.07.1 فصل البيانات - معزول	U.07.1	العزل الدائم للبيانات هو بنية متعددة المستأجرين. تتحقق التصحيحات بطريقة خاضعة للرقابة.	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
U.07.3 فصل البيانات - ميزات الإدارة	U.07.3	U.07.3 - يتم منح امتيازات عرض بيانات CSC و/أو مفاتيح التشفير أو تعديلها بطريقة خاضعة للرقابة ويتم تسجيل الاستخدام.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
U.09.3 الحماية من البرامج الضارة - الكشف والوقاية والتعافي	U.09.3	تعمل الحماية من البرامج الضارة على بيئات مختلفة.	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
U.10.2 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - المستخدمون	U.10.2	تحت مسؤولية CSP، يتم منح حق الوصول للمسؤولين.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
U.10.3 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - المستخدمون	U.10.3	يمكن فقط للمستخدمين الذين لديهم معدات مصادق عليها الوصول إلى خدمات وبيانات تكنولوجيا المعلومات.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
U.10.5 الوصول إلى خدمات وبيانات تكنولوجيا المعلومات - مؤهل	U.10.5	ويحد من إمكانية الوصول إلى خدمات تكنولوجيا المعلومات وبياناتها التدابير التقنية وقد تم تنفيذها.	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
U.11.1 Cryptoservices - Policy	U.11.1	وفي سياسة التشفير، وضعت المواضيع على الأقل وفقا للسيرة الذاتية.	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
U.11.2 Cryptoservices - مقاييس التشفير	U.11.2	في حالة شهادات PKIoverheid، استخدم متطلبات PKIoverheid للإدارة الرئيسية. في حالات أخرى، استخدم ISO11770.	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
U.11.3 Cryptoservices - مشفرة	U.11.3	يتم تشفير البيانات الحساسة دائما، مع مفاتيح خاصة تديرها CSC.	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
U.11.3 Cryptoservices - مشفرة	U.11.3	يتم تشفير البيانات الحساسة دائما، مع مفاتيح خاصة تديرها CSC.	⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	1.0.1
U.15.1 التسجيل والمراقبة - تم تسجيل الأحداث	U.15.1	يتم تسجيل انتهاك قواعد النهج من قبل CSP وCS.	ينبغي تمكين سجلات الموارد في Azure Kubernetes Service	1.0.0

بنك الاحتياطي الهندي - إطار تكنولوجيا المعلومات لـ NBFC

لمراجعة كيفية تعيين العناصر المضمنة في Azure Policy المتوفرة لكافة خدمات Azure إلى معيار التوافق هذا، راجع التوافق التنظيمي لـ Azure Policy - المصرف الاحتياطي الهندي - إطار عمل تكنولوجيا المعلومات لـ NBFC. لمزيد من المعلومات حول معيار الامتثال هذا، راجع بنك الاحتياطي الهندي - إطار عمل تكنولوجيا المعلومات ل NBFC.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
إدارة تكنولوجيا المعلومات	1	إدارة تكنولوجيا المعلومات-1	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
المعلومات والأمن السيبراني	3.1.a	تحديد وتصنيف أصول المعلومات-3.1	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
المعلومات والأمن السيبراني	3.1.c	التحكم بالوصول استناداً إلى الدور-3.1	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
المعلومات والأمن السيبراني	3.1.g	Trails-3.1	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
المعلومات والأمن السيبراني	3.3	إدارة الثغرات الأمنية-3.3	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧

Reserve Bank of India IT Framework for Banks v2016

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع الامتثال التنظيمي لسياسة Azure - RBI ITF Banks v2016. لمزيد من المعلومات حول معيار التوافق هذا، راجع RBI ITF Banks v2016 (PDF).

النطاق	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
تصحيح/ثغرة أمنية وإدارة التغيير	تصحيح/ثغرة أمنية وإدارة التغيير-7.7	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
Advanced Real-Timethreat Defenceand Management	Advanced Real-Timethreat Defenceand Management-13.2	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
التحكم في وصول المستخدم / الإدارة	التحكم في وصول المستخدم / Management-8.1	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4

RMIT ماليزيا

لمراجعة كيفية تعيين البنى المضمنة لسياسة Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع التوافق التنظيمي لسياسة Azure - RMIT Malaysia. لمزيد من المعلومات حول معيار التوافق هذا، راجع RMIT ماليزيا.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
التشفير	10.19	التشفير - 10.19	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
التحكم في الوصول	10.54	التحكم في الوصول - 10.54	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	10.55	Access Control - 10.55	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
التحكم في الوصول	10.55	Access Control - 10.55	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
التحكم في الوصول	10.55	Access Control - 10.55	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
التحكم في الوصول	10.55	Access Control - 10.55	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
التحكم في الوصول	10.55	Access Control - 10.55	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
التحكم في الوصول	10.60	التحكم في الوصول - 10.60	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	10.61	التحكم في الوصول - 10.61	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
التحكم في الوصول	10.62	التحكم في الوصول - 10.62	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
إدارة نظام التصحيح ونهاية العمر الافتراضي	10.65	إدارة نظام التصحيح ونهاية العمر الافتراضي - 10.65	⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	⁧1.0.2⁧
مركز العمليات الأمنية	11.17	مركز العمليات الأمنية - 11.17	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
تدابير الرقابة على الأمان عبر الإنترنت	الملحق 5.5	تدابير الرقابة على الأمان عبر الإنترنت - الملحق 5.5	يجب أن تستخدم خدمات مجموعة Kubernetes عناوين IP الخارجية المسموح بها فقط	5.2.0
تدابير الرقابة على الأمان عبر الإنترنت	الملحق 5.6	Control Measures on Cybersecurity - Appendix 5.6	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
تدابير الرقابة على الأمان عبر الإنترنت	الملحق 5.6	Control Measures on Cybersecurity - Appendix 5.6	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
تدابير الرقابة على الأمان عبر الإنترنت	الملحق 5.6	Control Measures on Cybersecurity - Appendix 5.6	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0

إسبانيا ENS

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure ل إسبانيا ENS. لمزيد من المعلومات حول معيار التوافق هذا، راجع CCN-STIC 884.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
تدابير وقائية	mp.s.3	حماية الخدمات	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إطار العمل التشغيلي	op.exp.2	العملية	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
إطار العمل التشغيلي	op.exp.3	العملية	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
إطار العمل التشغيلي	op.exp.4	العملية	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
إطار العمل التشغيلي	op.exp.5	العملية	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
إطار العمل التشغيلي	op.exp.6	العملية	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
إطار العمل التشغيلي	op.exp.6	العملية	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1
إطار العمل التشغيلي	op.exp.6	العملية	تكوين نظام مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender	4.3.0
إطار العمل التشغيلي	op.exp.7	العملية	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إطار العمل التشغيلي	op.exp.8	العملية	ينبغي تمكين سجلات الموارد في Azure Kubernetes Service	1.0.0
إطار العمل التشغيلي	op.mon.3	مراقبة النظام	يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)	1.0.1

SWIFT CSP-CSCF v2021

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure ل SWIFT CSP-CSCF v2021. لمزيد من المعلومات حول معيار التوافق هذا، راجع SWIFT CSP CSCF v2021.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
حماية بيئة SWIFT	1.1	حماية بيئة SWIFT	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
حماية بيئة SWIFT	1.4	تقييد الوصول إلى الإنترنت	يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	2.0.1
تقليل سطح الهجوم والثغرات الأمنية	2.1	أمان تدفق البيانات الداخلية	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
الكشف عن النشاط غير المعروف للأنظمة أو سجلات المعاملات	6.2	تكامل البرامج	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1
الكشف عن النشاط غير المعروف للأنظمة أو سجلات المعاملات	6.5أ	كشف التدخل	⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	1.0.1

عناصر تحكم النظام والتنظيم (SOC) 2

لمراجعة كيفية تعيين مضمنات نهج Azure المتوفرة لجميع خدمات Azure إلى معيار التوافق هذا، راجع تفاصيل التوافق التنظيمي لسياسة Azure لعناصر تحكم النظام والمؤسسة (SOC) 2. لمزيد من المعلومات حول معيار التوافق هذا، راجع عناصر تحكم النظام والتنظيم (SOC) 2.

النطاق	معرّف عنصر التحكم	عنوان التحكم	النهج _{(مدخل Azure)}	إصدار النهج _(GitHub)
عناصر التحكم المنطقية والمادية في الوصول	CC6.1	برامج أمان الوصول المنطقي والبنية الأساسية والبنيات	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.3	الوصول المستند إلى Rol والامتياز الأقل	⁧يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services⁧	1.0.4
عناصر التحكم المنطقية والمادية في الوصول	CC6.6	التدابير الأمنية ضد التهديدات خارج حدود النظام	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.7	تقييد حركة المعلومات للمستخدمين المعتمدين	⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	8.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي	4.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN	5.1.0
عناصر التحكم المنطقية والمادية في الوصول	CC6.8	منع البرامج غير المصرح بها أو الضارة أو الكشف عنها	يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية	4.2.0
عمليات النظام	CC7.2	مراقبة مكونات النظام للسلوك الشاذ	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	2.0.1
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	⁧1.0.2⁧
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	9.3.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	5.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	6.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	6.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	9.3.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	6.3.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	6.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	6.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	6.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	8.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	9.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي	4.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	7.2.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN	5.1.0
إدارة التغيير	CC8.1	التغييرات في البنية الأساسية والبيانات والبرامج	يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية	4.2.0

الخطوات التالية

تعرّف على المزيد حول ⁧التوافق التنظيمي لنهج Azure⁧.
راجع العناصر المضمنة في مستودع GitHub لنهج Azure.

مشاركة عبر