Архитектура решения
Платформа Kaspersky Security для контейнеров состоит из трех основных компонентов:
- Сервер Kaspersky Security для контейнеров. Компонент выполняет следующие функции:
- предоставляет интерфейс для интерактивного управления решением (консоль управления);
- обеспечивает интеграцию со сторонними программными компонентами (SIEM, CI, реестры образов, LDAP, Telegram, электронная почта) и получение от них информации;
- координирует работу других компонентов решения;
- обеспечивает создание политик безопасности и управление ими;
- обеспечивает отображение результатов работы решения.
- Агент Kaspersky Security для контейнеров (далее также «Агент»). Компонент запускается в виде контейнеризированного приложения и обеспечивает безопасность на узлах (nodes) в соответствии с настроенным политиками безопасности, в частности:
- контролирует безопасность среды выполнения контейнеров, запущенных на узлах;
- контролирует сетевое взаимодействие подов (pods) и приложений внутри контейнеров;
- интегрируется с платформой оркестрации и обеспечивает поток информации, необходимый для анализа конфигурации оркестратора и его компонентов;
- контролирует запуск контейнеров из доверенных образов с целью не допускать запуска непроверенных образов.
Агенты устанавливаются на все узлы (nodes) кластеров, а также на все кластеры, которые требуется защищать. Соответственно, Kaspersky Security для контейнеров оперирует двумя типами агентов: агенты защиты кластера (csp-kube-agent) и агенты защиты узлов (csp-node-agent). В совокупности они формируют группы Агентов. Для каждого кластера создается своя группа Агентов. В рамках одной установки решения может быть создано множество групп Агентов.
При отсутствии Агентов в кластере часть функциональных возможностей решения остается недоступной (например, политики среды выполнения, мониторинг ресурсов).
- Сканер Kaspersky Security для контейнеров. Компонент обеспечивает сканирование конфигурационных файлов и образов в подключенных реестрах, поиск и анализ выявленного вредоносного ПО, а также выполнение проверок при встраивании решения в CI/CD.
Общая схема архитектуры Kaspersky Security для контейнеров
Kaspersky Security для контейнеров может разворачиваться в открытом или закрытом контуре корпоративной сети.