Создание политики среды выполнения

Для создания политики среды выполнения в Kaspersky Security для контейнеров требуются права на управление параметрами политики среды выполнения.

Чтобы создать политику среды выполнения:

1. В разделе Политики → Среда выполнения нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. Введите название политики и, если требуется, ее описание.
3. В поле Область применения из предложенных вариантов выберите область применения для политики среды выполнения. Поскольку политики среды выполнения используются только в отношении развернутых и/или запускаемых контейнеров, для выбора доступны области применения, содержащие ресурсы по кластерам.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

4. При необходимости установите флажок Исключения, чтобы определить исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из раскрывающихся списков объекты и укажите их названия, а затем нажмите Добавить.

   Имеющиеся в политике исключения проверяются при развертывании контейнера.

5. В блоке Режим выберите один из следующих режимов применения политики:
   • Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
   • Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.
6. В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
7. В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
8. В блоке Блокирование незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
9. В блоке Блокирование системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из развертывающегося списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из выпадающего списка ALL.
10. В блоке Профили среды выполнения контейнеров с помощью переключателя Выключено / Включено активируйте блокирование процессов внутри контейнеров и сетевых соединений для подов (pods). Для этого выполните следующие действия:
    1. В раскрывающемся списке выберите признак для определения подов, к которым будут применены профили среды выполнения.
    2. В зависимости от выбранного признака выполните следующие действия:
       • Если вы выбрали Метки пода, введите ключ и значение метки пода.

         Вы можете добавить дополнительные метки для выбора подов, нажав на кнопку Добавить метку.

       • Если вы выбрали Шаблон URL образа, введите шаблон веб-адреса реестра образов.

         Если в кластере используются образы из внешнего реестра Docker Hub, решение воспринимает полный и сокращенный пути до образов равными по значению. Например, если вы указываете в кластере адрес образа контейнера docker.io/library/ubuntu:focal, решение будет считать равным ему значение ubuntu:focal.

         Вы можете добавить дополнительные веб-адреса для выбора подов, нажав на кнопку Добавить URL образа.

    3. В поле Профиль среды выполнения укажите один или несколько профилей среды выполнения, которые будут применяться к подам (pods), соответствующим определенным вами признакам.
    4. При необходимости вы добавьте поды (pods) для сопоставления с помощью кнопки Добавить сопоставление подов. Поды (pods) с различными признаками или применяемыми профилями среды выполнения будут сопоставляться в рамках одной политики среды выполнения.
11. В блоке Защита содержания образа с помощью переключателя Выключено / Включено активируйте проверку цифровых подписей, которые подтверждают целостность и происхождение образов в контейнере. Для этого выполните следующие действия:
    1. В поле Шаблон URL реестра образов введите шаблон веб-адреса реестра образов, в котором требуется проводить проверку подписей.
    2. Из раскрывающегося списка выберите Проверять, чтобы активировать проверку, или Не проверять, чтобы заблокировать проверку.
    3. Из раскрывающегося списка выберите один из настроенных модулей проверки подписей образов.
    4. При необходимости добавьте правила проверки подписей с помощью кнопки Добавить правило проверки подписей. Решение будет применять нескольких правил проверки подписей в рамках одной политики среды выполнения.
12. В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокирование запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокирования параметров подов (pods).
13. В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из выпадающего списка Реестры выберите нужные реестры.
14. В блоке Блокирование Томов (Volumes) с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома (Volumes) укажите точки монтирования томов на хостовой системе.

    Значение в поле Тома (Volumes) должно начинаться с косой черты ("/"), поскольку оно представляет собой путь в операционной системе.

15. Нажмите на кнопку Сохранить.

По умолчанию политика создается в статусе Включено.