Создание политики среды выполнения

Чтобы создать политику среды выполнения:

1. В разделе Политики → Среда выполнения нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. Введите название политики и, если требуется, ее описание.
3. В блоке Режим выберите один из следующих режимов применения политики:
   • Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
   • Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.
4. В блоке Область определите область применения политики. В поле Кластеры выберите применимую группу кластеров из выпадающего списка.

   В случае необходимости определите исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из выпадающих списков объекты и укажите их названия, а затем нажмите Добавить.

   Имеющиеся в политике исключения проверяются при развертывании контейнера.

5. В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
6. В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
7. В блоке Блокировка незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
8. В блоке Блокировка системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из выпадающего списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из выпадающего списка ALL.
9. В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокировки параметров подов (pods).
10. В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из выпадающего списка Реестры выберите нужные реестры.
11. В блоке Блокировка Томов (Volumes) с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома (Volumes) укажите названия нужных томов.
12. Нажмите на кнопку Сохранить.

По умолчанию политика создается в статусе Включено.