컨테이너에서 변경 불가능한 루트 파일 시스템을 강제하는 내장 정책은 네이티브 제외를 통해 세분화된 제어를 제공합니다. 이 정책은 Kubernetes용 Azure Policy 애드온을 사용하여 Gatekeeper 제약 조건으로 구현됩니다. 주요 제외 매개변수에는 특정 컨테이너 이름, 이미지 접두사 및 전체 네임스페이스가 포함됩니다. 이러한 매개변수를 사용하면 전체 정책 제외가 필요 없이 정확한 구성을 할 수 있습니다. 예를 들어, kube-system과 같은 시스템 네임스페이스를 제외할 수 있습니다. 구성은 Defender for Cloud의 "조치 취하기" 탭 또는 보안 정책 내의 환경 설정을 통해 관리할 수 있습니다. 여러 컨테이너가 합법적으로 읽기 전용으로 실행할 수 없는 경우, 특정 컨테이너 이름을 제외하는 것이 권장되는 접근 방식입니다. 이 방법은 정책이 클러스터의 나머지 부분에 계속 적용되도록 보장합니다. 전체 정책 제외는 규정 준수 및 감사 추적을 위해 예약되어야 합니다. 매개변수 기반 제외는 운영 예외에 대한 보다 네이티브적이고 유지 관리 가능한 솔루션으로 제시됩니다.