コンテナ内のイミュータブルなルートファイルシステムを強制するための組み込みポリシーは、ネイティブな除外を通じてきめ細かな制御を提供します。このポリシーは、Gatekeeper制約として機能するKubernetes用Azure Policyアドオンを使用して実装されます。主な除外パラメータには、特定のコンテナ名、イメージプレフィックス、および名前空間全体が含まれます。これらのパラメータにより、完全なポリシー除外を必要とせずに正確な構成が可能になります。たとえば、kube-systemのようなシステム名前空間を除外することが可能です。構成は、Defender for Cloudの「Take action」タブまたはセキュリティポリシー内の環境設定を通じて管理できます。複数のコンテナが正当に読み取り専用で実行できない場合、特定のコンテナ名を除外することが推奨されるアプローチです。この方法により、クラスターの他の部分全体でポリシーが引き続き強制されます。完全なポリシー除外は、コンプライアンスと監査追跡のために予約されるべきです。パラメータベースの除外は、運用上の例外に対して、よりネイティブで保守性の高いソリューションとして提示されます。