Встроенная политика для обеспечения неизменяемости корневых файловых систем в контейнерах предлагает детальный контроль с помощью нативных исключений. Эта политика реализована с использованием надстройки Azure Policy для Kubernetes, выступающей в качестве ограничения Gatekeeper. Ключевые параметры исключения включают конкретные имена контейнеров, префиксы образов и целые пространства имен. Эти параметры позволяют точно настроить конфигурацию без необходимости полного исключения политики. Например, возможно исключение системных пространств имен, таких как kube-system. Конфигурация может управляться через вкладку "Принять меры" в Defender for Cloud или через настройки среды в рамках политик безопасности. Если несколько контейнеров по уважительным причинам не могут работать в режиме только для чтения, рекомендуется исключать конкретные имена контейнеров. Этот метод гарантирует, что политика остается принудительной для остальной части кластера. Полные исключения политики следует использовать для отслеживания соответствия и аудита. Исключения на основе параметров представлены как более нативное и поддерживаемое решение для операционных исключений.