Ограничения и предупреждения

Kaspersky Security для контейнеров 1.2 имеет ряд некритичных для работы приложения ограничений:

• Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
  • Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом CONFIG_DEBUG_INFO_BTF=y. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом.
  • Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.

  Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.

• Если на хост-сервере (узле) используется ядро ОС Linux скомпилированное вручную, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:

  CONFIG_BPF=y

  CONFIG_BPF_SYSCALL=y

  CONFIG_BPF_EVENTS=y

  CONFIG_NET_CLS_BPF=m

  CONFIG_NET_ACT_BPF=m

  Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры:
  CONFIG_BPF_JIT=y
CONFIG_HAVE_BPF_JIT=y

• Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
  • В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра data.bpf-filter-priority больше 1.

    Мы рекомендуем указывать 5 в значении параметра data.bpf-filter-priority.

  • Перезапустите поды cilium-agent, чтобы применить указанный параметр.
• Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.

  Мы рекомендуем ограничить доступ к kube-agent возможностью обмена данными с API сервером Kubernetes. Для этого необходимо применить следующую сетевую политику Kubernetes:

  ---

  apiVersion: networking.k8s.io/v1

  kind: NetworkPolicy

  metadata:

  labels:

  app: kcs

  name: allow-kube-api-to-kube-agent

  namespace: {{ $.Release.Namespace }}

  spec:

  podSelector:

  matchLabels:

  app: kube-agent

  ingress:

  - from:

  - podSelector:

  matchLabels:

  component: kube-apiserver

  ports:

  - protocol: TCP

  port: 8443