[Topic 263612]

Справка Kaspersky Security для контейнеров 1.1

[Topic 258853]

О Платформе контейнерной безопасности Kaspersky Security для контейнеров

Платформа контейнерной безопасности Kaspersky Security для контейнеров (далее также «решение») позволяет выявлять проблемы безопасности и обеспечивает защиту на всех этапах жизненного цикла контейнерных приложений, начиная с разработки и контроля развертывания до работы в среде выполнения (runtime).

Функциональные возможности решения:

• Интеграция с реестрами образов (Docker Hub, JFrog Artifactory, Sonatype Nexus Repository OSS, GitLab Registry, Harbor) для проверки образов в реестре на наличие известных уязвимостей по базам уязвимостей NVD и БДУ (ФСТЭК), секретов (паролей, ключей доступа, токенов), ошибок конфигураций и вредоносного ПО.
• Встраивание в процесс непрерывной интеграции / непрерывной доставки (CI/CD) в виде этапа пайплайн (pipeline) и проверка IaC на ошибки конфигураций и образов контейнеров на уязвимости, вредоносное ПО и наличие конфиденциальных данных (секретов).
• Проверка узлов (nodes) кластеров на соответствие общим отраслевым стандартам информационной безопасности (Benchmarks).
• Контроль соблюдения настроенных политик безопасности на этапах сборки и эксплуатации приложений, в том числе контроль запуска контейнеров в среде выполнения (runtime).
• Мониторинг ресурсов контролируемых кластеров.

Настройку Kaspersky Security для контейнеров и использование функциональных возможностей решения обеспечивает Консоль управления. Консоль реализована в виде веб-интерфейса, доступного через браузер на движке Chromium (Google Chrome, Microsoft Edge, Apple Safari) или Mozilla Firefox.

[Topic 263672]

Что нового

В Kaspersky Security для контейнеров 1.1 появились следующие возможности и улучшения:

• Поддержка разных уровней критичности для обнаруженных вредоносных объектов. Решение предоставляет возможность принятия рисков для некритичных объектов.
• Формирование отчетов по найденным уязвимостям, событиям и соответствию политикам. Решение дает возможность сформировать следующие виды отчетов:
  • Сводный отчет по образам.
  • Детализированный отчет по образам.
  • Отчет по принятым рискам.

  В зависимости от вида отчета создание и формирование отчетов осуществляется в разных разделах решения, в том числе CI/CD. Сформированные отчеты доступны для просмотра и скачивания в нескольких форматах в новом разделе главного меню Администрирование → Отчеты.

• Оптимизация нагрузки на агентов CI-системы при встраивании в CI-пайплайн. В новой версии продукта доступны две схемы работы из CI:
  • С использованием ресурсов CI-агента.
  • Без использования ресурсов CI-агента. В этой схеме сканер запускается в CI-пайплайне, считает и передает SBOM установленному решению. Этот SBOM-файл анализируется доступными сканерами решения, а затем результат сканирования возвращается в CI-систему.
• Обеспечение работы сканеров решения при наличии прокси-сервера между реестром образов и установленным решением.
• Поддержка областей применения для разграничения доступа ролей пользователей к отслеживаемым с помощью решения ресурсам оркестратора и реестрам образов, а также для разграничения действий политик безопасности с этими ресурсами и реестрами.
• Контроль целостности образов при помощи подписи образов с возможностью блокировать развертывание образов, не прошедших такой контроль. Решение предоставляет возможность интеграции с внешними модулями Notary и Cosign для проверки подписи. Для блокирования развертывания образов, которые не прошли проверку целостности и подлинности подписи, в политики среды выполнения добавлен новый блок Защита содержания образа.
• Контроль запуска приложений и сервисов внутри контейнеров. Решение позволяет контролировать и блокировать процессы, запускаемые внутри контейнеров.
• Профилирование среды выполнения контейнеров, позволяющее отслеживать аномалии на основе собственного или предустановленного шаблона-профиля. Решение предоставляет возможность создавать и использовать профили среды выполнения, внутри которых указываются разрешения для запускаемых внутри контейнеров процессов и сетевого взаимодействия. Профили применяются в отношении контейнеров, которые запускаются в среде выполнения, и ограничивают их работу в соответствии с заданными параметрами.
• Мониторинг и контроль трафика между контейнерами, компонентами платформы контейнеризации, внешними приложениями и ресурсами. Чтобы воспользоваться возможностью ограничить сетевую коммуникацию контейнеров в среде выполнения, требуется настроить следующие параметры:
  • Порты (TCP/UDP).
  • IP-адреса (IPV4, IPV6).
  • Блокирование входящих и/или исходящих сетевых соединений.

[Topic 265460]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" https://www.kaspersky.ru или у компаний-партнеров.

В комплект поставки входит пакет Helm (Helm Chart) с контейнеризированными ресурсами, которые необходимы для развертывания и установки компонентов Kaspersky Security для контейнеров, в том числе:

• kcs-ih – образ приложения для обработки заданий на сканирование, которое обеспечивает запуск выполнения заданий с использованием сканеров уязвимостей и вредоносного ПО, агрегацию и публикацию результатов сканирований. Вы можете масштабировать приложение для обработки заданий на сканирование в соответствии с вашими потребностями.
• kcs-scanner – образ сервера сканирования, который используется для хранения базы данных уязвимостей, кеша слоев образов и выступает сервером для образов kcs-ih.
• kcs-middleware – образ серверной составляющей решения, который обеспечивает реализацию бизнес-логики обработки данных и предоставляет REST API для графического интерфейса.
• nats и nats-box – образы приложения для определения очередности запросов, который позволяет обмениваться данными, сегментированными в виде сообщений.
• kcs-postgres – образ системы управления базами данных, который содержит инструменты анализа и оптимизации разбора запросов и механизмы обработки запросов (правил).
• kcs-clickhouse – образ системы управления базами данных Clickhouse, которая предназначена для хранения и обработки информационных сообщений, поступающих от агентов системы node-agent.
• kcs-s3 – образ s3-совместимого файлового хранилища для хранения и дистрибуции пользователям файлов, которые формируются в результате работы Kaspersky Security для контейнеров.
• kcs-panel – образ приложения с графическим пользовательским интерфейсом Kaspersky Security для контейнеров.
• kcs-updates – образ с обновлениями, который используется в случае поставки обновлений при развертывании решения в закрытых контурах корпоративной сети.
• kcs-licenses – образ приложения для управления лицензиями Kaspersky Security для контейнеров.
• values.yaml – конфигурационный файл в составе пакета Helm , который содержит значения параметров для установки и обновления решения.

После скачивания и сохранения в выбранной директории пакета Helm находящиеся в нем образы скачиваются оркестратором из указанного в пакете Helm источника непосредственно на узлы платформы оркестрации.

Информация, необходимая для активации решения, высылается вам по электронной почте.

[Topic 266385]

Программные и аппаратные требования

Для установки и эксплуатации Kaspersky Security для контейнеров инфраструктура должна удовлетворять следующим требованиям:

• Одна из следующих платформ оркестрации:
  • Kubernetes 1.22 или выше.
  • OpenShift 4.11 или выше.
• Наличие CI-системы для проверки образов контейнеров в процессе разработки (например, GitLab CI).
• Установленный менеджер пакетов Helm v3.8.0 или выше.

Для реализации мониторинга среды выполнения с использованием профилей среды выполнения контейнеров узлы оркестратора должны соответствовать следующим требованиям:

• Версия ядра ОС Linux 4.19 или выше.
• Среды выполнения контейнеров: containerd, CRI-O.
• Плагины Container Network Interface (CNI): Flannel, Calico, Cilium.
• Наличие на хосте узла заголовков ядра ОС:
  • Для deb-систем необходимо установить пакет kernel-headers.
  • Для rpm-систем необходимо установить пакет kernel-devel.

При использовании внешних систем управления базами данных Kaspersky Security для контейнеров поддерживает возможность работы со следующими СУБД:

PostgreSQL 11.*, 13.*, 14.*

Kaspersky Security для контейнеров поддерживает возможность интеграции со следующими реестрами образов:

• GitLab 14.2 или выше.
• Docker Hub V2 API или выше.
• JFrog Artifactory 7.55 или выше.
• Sonatype Nexus Repository OSS 3.43 или выше.
• Harbor 2.x.

Требования к образам (ОС, версия, проверяемые пакеты):

• Alpine Linux, версии 2.2 - 2.7, 3.0 - 3.18, Edge. Проверяются пакеты, установленные через apk.
• Red Hat Universal Base Image, версии 7, 8, 9. Проверяются пакеты, установленные через yum/rpm.
• Red Hat Enterprise Linux, версии 6, 7, 8. Проверяются пакеты, установленные через yum/rpm.
• CentOS, версии 6, 7, 8. Проверяются пакеты, установленные через yum/rpm.
• AlmaLinux, версии 8, 9. Проверяются пакеты, установленные через yum/rpm.
• Rocky Linux, версии 8, 9. Проверяются пакеты, установленные через yum/rpm.
• Oracle Linux, версии 5, 6, 7, 8. Проверяются пакеты, установленные через yum/rpm.
• CBL-Mariner, версии 1.0, 2.0. Проверяются пакеты, установленные через yum/rpm.
• Amazon Linux, версии 1, 2, 2023. Проверяются пакеты, установленные через yum/rpm.
• openSUSE Leap, версии 42, 15. Проверяются пакеты, установленные через zypper/rpm.
• SUSE Enterprise Linux, версии 11, 12, 15. Проверяются пакеты, установленные через zypper/rpm.
• Photon OS, версии 1.0, 2.0, 3.0, 4.0. Проверяются пакеты, установленные через tdnf/yum/rpm.
• Debian GNU/Linux, версии 7, 8, 9, 10, 11, 12. Проверяются пакеты, установленные через apt/apt-get/dpkg.
• Ubuntu, все версии, которые поддерживаются Canonical. Проверяются пакеты, установленные через apt/apt-get/dpkg.
• Distroless, все версии. Проверяются пакеты, установленные через apt/apt-get/dpkg.
• RedOS, версии 7.1, 7.2, 7.3.x. Проверяются пакеты, установленные через yum/rpm.
• Astra, версии ce 2.12.x., se 1.7.x. Проверяются пакеты, установленные через apt/apt-get/dpkg.

При конфигурации Kaspersky Security для контейнеров с тремя сканирующими подами (kcs-ih) и максимальным размером подлежащих сканированию образов до 10 ГБ к кластеру предъявляются следующие требования:

• Количество ядер процессоров узлов – 7 и более.
• Объем оперативной памяти на узлах – 15 ГБ.
• Объем свободного места на жестком диске узла – 40 ГБ.
• Пропускная способность каналов связи между компонентами кластера – не менее 1 Гбит/c.

Указанные требования применимы только к развертыванию Kaspersky Security для контейнеров и не учитывают другую нагрузку ресурсов клиента.

Рабочее место пользователя Kaspersky Security для контейнеров должно соответствовать следующим требованиям:

• При использовании схемы развертывания в открытом контуре корпоративной сети – постоянное подключение к сети интернет.
• Наличие доступа к странице консоли управления Kaspersky Security для контейнеров (адрес внутри корпоративного контура клиента, указанный при установке решения).
• Минимальная пропускная способность каналов связи – не менее 10 Мбит/c;
• Наличие одного из следующих браузеров:
  • Google Chrome 73 или выше.
  • Microsoft Edge 79 или выше.
  • Mozilla Firefox 63 или выше.
  • Apple Safari 12.1 или выше.
  • Opera 60 или выше.

[Topic 256168]

Масштабирование

Kaspersky Security для контейнеров поддерживает масштабирование количества сканирующих подов (pods), чтобы обеспечить сканирование входящего объема образов. Масштабирование может осуществляться как в сторону увеличения, так и в сторону уменьшения количества сканирующих подов в любой момент в процессе работы решения.

При добавлении каждого сканирующего пода системные ресурсы увеличиваются следующим образом:

• Количество ядер процессоров узлов – на 2.
• Объем оперативной памяти на узлах – на 4 ГБ.
• Объем свободного места на жестком диске узла – на 15 ГБ.

Если нужно проверить образы размером более 10 ГБ, на каждый дополнительный 1 ГБ ресурсы kcs-ih для каждого сканирующего пода требуется увеличить следующим образом:

• Объем оперативной памяти на узлах – на 300 МБ.
• Объем свободного места на жестком диске узла – на 1 ГБ.

Если в рамках стандартного режима работы сканирование образов на ошибки в файлах конфигураций не проводится, увеличение оперативной памяти на сканирующих подах необязательно.

[Topic 265976]

Системные пакеты базовых образов

В качестве базовых образов Kaspersky Security для контейнеров используют образы следующих операционных систем:

• Alpine 3.18.4.
• Ubuntu 23.10.
• Oracle Linux 9.2.

Для управления процессами установки, удаления, настройки и обновления различных компонентов ПО используются системы управления пакетами (далее также «менеджер пакетов»). В базовых операционных системах Kaspersky Security для контейнеров используются следующие системы управления пакетами:

• В Alpine – apk.
• В Ubuntu – apt.
• В Oracle Linux – rpm.

Чтобы получить информацию об установленных системных пакетах,

с помощью штатных средств оркестратора для доступа в запущенный контейнер и в зависимости от используемого менеджера пакетов введите следующую bash-команду:

• Для apk:

  apk -q list | grep "installed".

• Для apt:

  apt list --installed.

• Для rpm:

  yum list installed.

[Topic 270192]

Работа в облачных средах

Kaspersky Security для контейнеров может работать в различных облачных средах. Для получения более подробной информации о запуске решения в облачных средах обращайтесь к вашему менеджеру предпродажной поддержки.

[Topic 250375]

Архитектура решения

Платформа Kaspersky Security для контейнеров состоит из трех основных компонентов:

• Сервер Kaspersky Security для контейнеров. Компонент выполняет следующие функции:
  • предоставляет интерфейс для интерактивного управления решением (консоль управления);
  • обеспечивает интеграцию со сторонними программными компонентами (SIEM, CI, реестры образов, LDAP, Telegram, электронная почта) и получение от них информации;
  • координирует работу других компонентов решения;
  • обеспечивает создание политик безопасности и управление ими;
  • обеспечивает отображение результатов работы решения.
• Агент Kaspersky Security для контейнеров (далее также «Агент»). Компонент запускается в виде контейнеризированного приложения и обеспечивает безопасность на узлах (nodes) в соответствии с настроенным политиками безопасности, в частности:
  • контролирует безопасность среды выполнения контейнеров, запущенных на узлах;
  • контролирует сетевое взаимодействие подов (pods) и приложений внутри контейнеров;
  • интегрируется с платформой оркестрации и обеспечивает поток информации, необходимый для анализа конфигурации оркестратора и его компонентов;
  • контролирует запуск контейнеров из доверенных образов с целью не допускать запуска непроверенных образов.

  Агенты устанавливаются на все узлы (nodes) кластеров, а также на все кластеры, которые требуется защищать. Соответственно, Kaspersky Security для контейнеров оперирует двумя типами агентов: агенты защиты кластера (csp-kube-agent) и агенты защиты узлов (csp-node-agent). В совокупности они формируют группы Агентов. Для каждого кластера создается своя группа Агентов. В рамках одной установки решения может быть создано множество групп Агентов.

  При отсутствии Агентов в кластере часть функциональных возможностей решения остается недоступной (например, политики среды выполнения, мониторинг ресурсов).

• Сканер Kaspersky Security для контейнеров. Компонент обеспечивает сканирование конфигурационных файлов и образов в подключенных реестрах, поиск и анализ выявленного вредоносного ПО, а также выполнение проверок при встраивании решения в CI/CD.

  

  Общая схема архитектуры Kaspersky Security для контейнеров

Kaspersky Security для контейнеров может разворачиваться в открытом или закрытом контуре корпоративной сети.

[Topic 254415]

Сканер

Сканер – программный компонент Kaspersky Security для контейнеров для сканирования объектов в реальном времени для оценки безопасности и выявления известных уязвимостей, вредоносного ПО, признаков конфиденциальных данных и ошибок конфигурации. Сканер позволяет проводить проверки безопасности на основе действующих политик безопасности.

Kaspersky Security для контейнеров задействует следующие виды сканеров:

• сканер уязвимостей по базе данных общеизвестных уязвимостей информационной безопасности (CVE);
• сканер для выявления файловых угроз в составе компонента Защита от файловых угроз;
• сканер конфигурационных файлов;
• сканер конфиденциальной информации (секретов).

[Topic 254553]

О сканировании объектов

Kaspersky Security для контейнеров осуществляет проверку развернутых в решении объектов во время сканирования.

Сканирование – поиск и анализ угроз и рисков безопасности в отношении объектов решения. Сканирование объектов требуется проводить регулярно, чтобы оперативно отслеживать появляющиеся угрозы безопасности.

В рамках сканирования Kaspersky Security для контейнеров выявляет следующие угрозы безопасности:

• Уязвимости.
• Вредоносное ПО.
• Ошибки конфигурации.
• Наличие конфиденциальных данных.
• Несоответствие требованиям политик безопасности.

Процесс сканирования

Сканер получает задания на проверку с помощью приложения для обработки заданий на сканирование. Приложение для обработки заданий на сканирование (Image handler) разворачивается в инфраструктуре Kaspersky Security для контейнеров и обеспечивает передачу заданий на сканирование в сканер и получение результатов сканирований из сканера.

При передаче заданий на сканирование определяется текущий статус сканера:

• Свободен – сканер не обрабатывает объекты и в ответ на запрос может принять задание от приложения для обработки заданий на сканирование.
• Занят – сканер обрабатывает задание на сканирование. Новое задание от приложения для обработки заданий на сканирование помещается в очередь.

Очередь заданий на сканирование представляет собой совокупность заданий, переданных на сканирование в следующих случаях:

• при запуске сканирования реестров образов вручную;
• при автоматическом запуске сканирования реестров образов;
• при массовом сканировании объектов кластера.

Задания в очереди на сканирование получают следующие статусы:

• Ожидает – присваивается по умолчанию при создании задания.
• Выполняется – задание обрабатывается приложением для обработки заданий на сканирование.
• Обработка результатов – решение обрабатывает результаты сканирования задания для их отображения в интерфейсе.
• Ошибка – задание на сканирование не выполнено.
• Завершено – получен результат сканирования задания.

Задания на сканирование из очереди передаются в приложение для обработки заданий на сканирование в порядке их поступления. Затем задание поступает в сканер со статусом Свободен и проверяется на наличие проблем безопасности. Результаты сканирования передаются обратно в приложение для обработки заданий на сканирование. Задание считается завершенным, если получены результаты сканирования. Если сканирование задания проводилось три и более раз, но результаты получены не были, задание получает статус Ошибка.

Действия после сканирования

После сканирования решение отображает результаты проверки. Если в объекте обнаружены угрозы, Kaspersky Security для контейнеров предлагает выполнить в отношении него одно из следующих действий:

• Удалить угрозу безопасности.
• Принять риск.

[Topic 259110]

Защита от файловых угроз

Компонент Защита от файловых угроз используется Kaspersky Security для контейнеров при сканировании реестров и объектов в CI/CD для поиска и анализа потенциальных файловых угроз. Результаты такой проверки отображаются решением вместе с результатами сканирования.

Обновление баз данных компонента Защита от файловых угроз осуществляется с сервера обновлений Kaspersky Security для контейнеров.

После запуска утилиты базы данных для компонента Защита от файловых угроз скачиваются и сохраняются в отдельной папке в облачном объектном хранилище производителя решения.

При развертывании решения в открытом контуре корпоративной сети обновление осуществляется непосредственно с сервера обновлений. При установке решения в закрытом контуре корпоративной сети обновленные базы данных для компонента Защита от файловых угроз добавляются в контейнер kcs-db-server для последующего запуска и обновления.

[Topic 250376]

Типовые схемы развертывания

Для Kaspersky Security для контейнеров предусмотрены следующие схемы развертывания:

• Развертывание в открытом контуре корпоративной сети (разрешен доступ в интернет из кластера Kubernetes):
  • Образы, из которых разворачиваются компоненты Kaspersky Security для контейнеров, расположены в публичном репозитории.
  • После установки компоненты решения обращаются к базам уязвимостей, расположенным в интернете.
  • Обновление баз выполняется с помощью Сервера обновлений, доступного через интернет.

  Открытым контуром корпоративной сети может считаться закрытый контур корпоративной сети с доступом к серверам, включенным в список разрешенных серверов.

• Развертывание в закрытом контуре корпоративной сети (запрещен доступ в интернет из кластера Kubernetes):
  • Для размещения образов, из которых разворачиваются компоненты решения, используется внутренний репозиторий.
  • Установка компонентов выполняется из специального образа, который содержит базы уязвимостей и стандарты безопасности, необходимые для работы решения.
  • После установки компоненты решения обращаются к базам уязвимостей и стандартам безопасности, расположенным внутри корпоративной сети.
  • Сервер обновлений, обеспечивающий обновление баз данных угроз, разворачивается в качестве отдельного компонента внутри корпоративной сети.

В закрытом контуре корпоративной сети также возможен сценарий развертывания с использованием прокси-сервера.

[Topic 254665]

Развертывание в открытом контуре корпоративной сети

При развертывании в открытом контуре корпоративной сети объектам Kaspersky Security для контейнеров разрешен доступ в интернет из кластера. Базы данных решения обновляются из внешних баз, содержащих обновления баз уязвимостей и вредоносного ПО.

Архитектура решения при развертывании в открытом контуре корпоративной сети

[Topic 254664]

Развертывание в закрытом контуре корпоративной сети

При развертывании в закрытом контуре корпоративной сети объектам Kaspersky Security для контейнеров запрещен доступ в интернет из кластера. Базы данных решения обновляются путем обновления образов сканера, который запускается из CI/CD, и сканера образов.

Архитектура решения при развертывании в закрытом контуре корпоративной сети

[Topic 267938]

Подготовка к установке решения

Перед установкой Kaspersky Security для контейнеров необходимо установить все обязательные для корпоративной сети сертификаты и настроить прокси-серверы.

Решение может развертываться в закрытом или открытом контуре корпоративной сети.

Перед установкой Kaspersky Security для контейнеров требуется обеспечить наличие следующих компонентов и доступов:

• Виртуальной или физической машины с доступом в интернет и к кластеру.
• Установленного менеджера пакетов Helm для упаковки, настройки и развертывания приложений и служб в кластерах.

  Kaspersky Security для контейнеров поддерживает Helm версии v3.8.0 или выше.

• Доступа в интернет для скачивания пакетов Helm Chart.
• Инструмента управления оркестратором, например, kubectl для Kubernetes или oc для Openshift.
• Доступа к кластеру с помощью файла kubeconfig.

  Для установки решения в закрытом контуре корпоративной сети также требуется настроить репозиторий для образов контейнеров, обращающийся к репозиторию производителя Kaspersky Security для контейнеров с учетными данными, предоставленными производителем решения.

Чтобы подготовиться к установке решения в закрытом контуре корпоративной сети:

1. Подключите Helm-репозиторий производителя, где находится пакет Helm Chart.

   export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"
export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"

   Значения CHART_URL, CHART_USERNAME, CHART_PASSWORD, VERSION предоставляются производителем.

   Пример подключения репозитория с Helm Chart

   helm registry login \

   --username $CHART_USERNAME \

   --password $CHART_PASSWORD \

   $CHART_URL

   helm pull oci://$CHART_URL/charts/kcs --version $VERSION

   tar xvf kcs-$VERSION.tgz

2. Заполните файл с параметрами установки (values.yaml), который входит в комплект поставки решения, в соответствии с комментариями в файле.
3. Сохраните файл с параметрами установки и переходите к установке решения.

[Topic 267055]

Установка решения

Компоненты Kaspersky Security для контейнеров поставляются в виде образов в реестре производителя решения и развертываются в виде контейнеров.

Установка Платформы контейнерной безопасности Kaspersky Security для контейнеров состоит из следующих этапов:

1. Установка компонентов Сервер и Сканер.
2. Первый запуск консоли управления.
3. Настройка групп Агентов и развертывание Агентов на контролируемых узлах кластеров.

После завершения установки нужно подготовить решение к работе:

• Настроить интеграцию с реестрами образов.
• Настроить интеграцию со средствами уведомлений.
• Настроить политики безопасности.
• Настроить профили среды выполнения контейнеров.
• Настроить интеграцию с модулями проверки подписей образов.
• Настроить интеграцию с CI/CD.
• Настроить учетные записи пользователей, роли и области применения.
• Настроить интеграцию с LDAP-сервером.

[Topic 250378]

Установка сервера и сканера

Чтобы выполнить установку сервера и сканера Kaspersky Security для контейнеров,

после подготовки конфигурационного файла запустите установку решения:

cd kcs/

helm upgrade --install kcs . \

--create-namespace \

--namespace kcs \

--values values.yaml

В результате установки будут развернуты компоненты решения.

Панель управления будет доступна по адресу, указанному в подсекции envs раздела переменных окружения для создания объекта ConfigMap для параметра API_URL:

http://${DOMAIN}

[Topic 250380]

Запуск консоли управления

Чтобы запустить консоль управления Kaspersky Security для контейнеров:

1. В браузере перейдите по адресу, заданному для консоли управления при установке Сервера.

   Откроется страница авторизации.

2. Введите имя и пароль учетной записи, нажмите на кнопку Войти.

   При установке решения задается одинаковое значение имени и пароля учетной записи – admin. После запуска консоли управления вы можете изменить имя и пароль учетной записи.

   В случае трех неправильных попыток ввода пароля пользователь временно блокируется. По умолчанию период блокировки составляет 1 минуту.

3. По запросу измените текущий пароль учетной записи: укажите новый пароль, подтвердите его и нажмите на кнопку Изменить.

   К паролю предъявляются следующие требования:

   • Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
   • Минимальная длина пароля – 6 знаков, максимальная – 72 знака.

Откроется главная страница консоли управления.

По умолчанию сеанс работы зарегистрированного пользователя в консоли составляет 9 часов. В разделе Параметры → Параметры подключения вы можете задать свою продолжительность сеанса работы от минимум 1 часа до максимум 168 часов. По истечению установленного времени сеанс работы в консоли завершается.

Вы можете изменить параметры подключения в разделе Параметры → Параметры подключения.

[Topic 255780]

Просмотр и принятие Лицензионного соглашения

При первом запуске консоли управления в браузере Kaspersky Security для контейнеров предлагает вам ознакомиться с Лицензионным соглашением, которое заключается между вами и АО "Лаборатория Касперского". Для продолжения работы с решением требуется подтвердить, что вы полностью прочитали и принимаете условия Лицензионного соглашения Kaspersky Security для контейнеров.

Чтобы подтвердить принятие условий Лицензионного соглашения,

внизу окна с текстом Лицензионного соглашения нажмите на кнопку Принять.

Откроется страница авторизации для запуска консоли управления.

После установки новой версии решения необходимо повторно принять Лицензионное соглашение.

[Topic 266166]

Проверка функционирования решения

После установки Kaspersky Security для контейнеров и запуска консоли управления вы можете убедиться, что решение выявляет проблемы безопасности и обеспечивает защиту контейнеризированных объектов.

Чтобы проверить работоспособность Kaspersky Security для контейнеров:

1. Активируйте решение с помощью кода активации или файла ключа.
2. Настройте интеграцию с реестром образов. Для проверки работоспособности достаточно интеграции с одним реестром.
3. При необходимости настройте параметры политики сканирования, которая по умолчанию создается после установки решения.
4. Добавьте образ на сканирование и убедитесь, что задание на сканирование отправлено на обработку.
5. После окончания сканирования перейдите на страницу с подробной информацией о результатах сканирования образа.

Проведение сканирования образа и получение действительных результатов подтверждают правильное функционирование Kaspersky Security для контейнеров. После этого можно переходить к дальнейшей настройке параметров решения.

[Topic 266165]

Развертывание Агентов

Агенты должны быть установлены на всех узлах (nodes) кластера, который вы хотите защищать.

Чтобы развернуть Агентов в кластере:

1. В главном меню перейдите в раздел Компоненты → Агенты.
2. В рабочей области нажмите на кнопку Добавить группу Агентов.
3. Заполните поля формы:
   1. Введите название группы и ее описание. В качестве названия группы рекомендуется указывать имя кластера, на узлах которого будут развернуты Агенты, для удобства управления Агентами.
   2. Выберите тип Агента.
   3. Выберите тип операционной системы целевого узла.
   4. Выберите используемый оркестратор.
   5. В блоке Реестр введите веб-адрес реестра, где находятся образы, с которых производится установка Агентов. Для доступа к реестру требуется указать имя пользователя и пароль, которые используются для этого реестра.
   6. Укажите пространство имен в кластере.
   7. Если требуется, введите токен для развертывания – это идентификатор, который будет использовать Агент при подключении к Серверу. Вы можете ввести токен или оставить поле пустым, тогда токен сгенерируется автоматически.
4. Нажмите на кнопку Добавить.

   В правой части рабочей области отобразятся данные, необходимые для продолжения развертывания Агентов на кластере.

5. Используйте инструкцию из поля Конфигурация (в формате YAML) для развертывания Агентов на кластере. Например,

   kubectl apply -f <файл> -n <namespace>

   После применения инструкции на кластере Агент будет развернут на всех рабочих узлах (worker nodes) кластера.

В таблице в разделе Агенты отображаются созданная группа и развернутые Агенты. Вы можете посмотреть статус подключения Агентов к Серверу.

[Topic 266603]

Конфигурация работы через прокси-сервер

В версии 1.1 Kaspersky Security для контейнеров предоставляет возможность проксирования запросов из закрытых контуров корпоративной сети во внешнюю информационную среду. Настройка параметров, обеспечивающих взаимодействие через прокси-сервер, осуществляется с помощью следующих переменных окружения в пакете Helm Chart, который входит в комплект поставки решения:

• HTTP_PROXY – прокси-сервер для запросов по протоколу HTTP.
• HTTPS_PROXY – прокси-сервер для запросов по протоколу HTTPS.
• NO_PROXY – переменная, в которой указываются домены или соответствующие им маски для исключения из проксирования.

  Если используется HTTP_PROXY или HTTPS_PROXY, то переменная NO_PROXY формируется в пакете Helm Chart автоматически, в ней указываются все применяемые решением компоненты.

  Вы можете изменить переменную NO_PROXY, если вам требуется указать домены и маски инфраструктуры для работы Kaspersky Security для контейнеров, чтобы исключить их из проксирования.

• SCANNER_PROXY – специализированная переменная для указания прокси-сервера, на который направляются запросы сканера компонента Защита от файловых угроз к серверам "Лаборатории Касперского" для актуализации баз данных.
• LICENSE_PROXY – специализированная переменная для указания прокси-сервера, на который направляются запросы приложения kcs-licenses к серверам "Лаборатории Касперского" для проверки и актуализации информации о действующей лицензии.

Для указания серверов "Лаборатории Касперского" в списках разрешений прокси-серверов требуется использовать маску *.kaspersky.com или .kaspersky.com (в зависимости от поддерживаемых вашим прокси-сервером масок доменных имен).

В таблице ниже представлены приложения Kaspersky Security для контейнеров, которые могут использовать переменные окружения, а также указаны цели использования таких переменных окружения.

Использование переменных окружения приложениями Kaspersky Security для контейнеров

[Topic 250382]

Удаление решения

Чтобы удалить Сервер Kaspersky Security для контейнеров, выполните одно из следующих действий:

• На рабочей станции с установленным менеджером пакетов Helm, доступом к целевому кластеру и пространству имен (namespace), в которое установлено решение, выполните команду:

  helm uninstall kcs

  Менеджер пакетов Helm не удаляет объекты PVC, PV и секреты. Вам нужно удалить их вручную с помощью команд:

  kubectl delete pvc <имя PVC>

  kubectl delete secret <имя секрета>

  kubectl delete pv <имя PV>

• Если решение установлено в отдельное пространство имен (namespace), выполните команду:

  kubectl delete ns <пространство имен>

Чтобы удалить Агента Kaspersky Security для контейнеров,

на узле кластера, где установлен Агент, выполните команду:

kubectl delete -f <файл> -n kcs

где <файл> – имя YAML-файла с конфигурацией, который использовался для развертывания Агента.

Если вы удалили всех Агентов на узлах какого-либо кластера, рекомендуется удалить группу, в которую входили эти Агенты.

Чтобы удалить группу Агентов:

1. В главном меню перейдите в раздел Компоненты → Агенты Kaspersky Security для контейнеров.
2. В списке выберите нужную группу. В столбце Статус для удаленных Агентов отображается Отключено.
3. Откройте меню действий, расположенное в строке группы в последнем столбце, и выберите команду Удалить группу.
4. Подтвердите удаление в открывшемся окне.

[Topic 270647]

Обновление решения

Об актуальных версиях приложения вы можете узнать на веб-сайте "АО Лаборатория Касперского" или у компаний-партнеров.

Процесс обновления идентичен процессу установки. В рамках процесса обновления указывается актуальная версия приложения.

В Helm Chart Kaspersky Security для контейнеров версии 1.1.1 увеличены значения создаваемых объектов PVC PostgreSql и Clickhouse с 10GB до 20GB и с 1GB до 5GB, соответственно.
Вы можете обновить Kaspersky Security для контейнеров до версии 1.1.1. Для этого требуется предварительно удалить установленный Helm Chart с помощью команды helm uninstall. Затем используя конфигурационный файл values.yaml для новой версии решения, необходимо выполнить команду helm install, чтобы установить Helm Chart.
При удалении Helm Chart созданные ранее объекты PVC сохранятся, но при установке Helm Chart с новыми значениями их физический размер может не измениться. В таком случае потребуется настроить физический размер объектов вручную с учетом

[Topic 250383]

Интерфейс решения

Консоль управления реализована в виде веб-интерфейса и состоит из следующих элементов:

• Главное меню. Разделы и подразделы главного меню обеспечивают доступ к основным функциям решения.
• Рабочая область. Информация и элементы управления в рабочей области зависят от раздела или подраздела, выбранного в главном меню.

[Topic 263917]

Главное меню

В веб-интерфейсе главное меню Kaspersky Security для контейнеров находится на левой панели и состоит из разделов, соответствующих основным функциональным возможностям решения.

Раздел Ресурсы

Раздел содержит результаты контроля всех доступных Kaspersky Security для контейнеров ресурсов: кластеров, реестров, интегрированных с решением, и процессов CI/CD.

Раздел Компоненты

Раздел содержит информацию о состоянии компонентов решения – Агентов и сканеров. Подраздел Агенты также позволяет создавать и удалять группы Агентов и содержит информацию, необходимую для развертывания Агентов.

Раздел Соответствие стандартам

Раздел содержит результаты проверки узлов (nodes) кластера на соответствие отраслевому стандарту Kubernetes.

Раздел Политики

Раздел позволяет настраивать политики безопасности, применяемые в работе решения.

Подраздел Принятые риски содержит список всех обнаруженных угроз и уязвимостей, риск наличия которых принят пользователем. В подразделе вы можете отменять принятие рисков или устанавливать срок, в течение которого риск считается принятым.

Раздел Администрирование

Раздел позволяет выполнять следующие задачи:

• В подразделе Управление доступом вы можете управлять правами доступа пользователей, определять роли и права доступа, а также разграничивать доступ к ресурсам и функциональным возможностям в рамках областей применения.
• В подразделе Отчеты можно просматривать список сформированных отчетов по образам, а также скачивать и удалять отчеты.
• Подраздел Интеграции дает возможность настраивать интеграции с публичными реестрами образов, со средствами проверки подписей образов, со средствами уведомлений, а также с LDAP-сервером.
• В подразделе События вы можете просматривать список реализованных решением событий, которые могут быть полезны для отслеживания происходящих процессов и анализа потенциальных угроз безопасности.

Раздел Параметры

Раздел позволяет выполнять следующие задачи:

• В подразделе Параметры подключения вы можете настраивать параметры запуска консоли управления Kaspersky Security для контейнеров и управлять параметрами подключения.
• Подраздел Лицензирование дает возможность управлять параметрами лицензирования и просматривать доступную по лицензии функциональность.
• Подраздел О платформе содержит информацию о версии решения, обновлении баз данных уязвимостей и вредоносного ПО. Также вы можете посмотреть условия лицензионных соглашений Kaspersky Security для контейнеров и компонента Защита от файловых угроз и открыть справку Kaspersky Security для контейнеров для получения подробной информации о решении.

Блок с именем текущего пользователя

В блоке отображается информация о пользователе, под учетной записью которого запущена консоль управления Kaspersky Security для контейнеров. С помощью команд контекстного меню в блоке можно перейти на страницу профиля пользователя и выйти из консоли.

[Topic 255368]

Информационная панель

На главной странице Kaspersky Security для контейнеров можно настроить информационную панель для получения актуальных аналитических данных об объектах, которые обрабатываются решением. Настройка осуществляется с помощью фильтров, что позволяет отсортировать информацию по объектам и периоду.

Аналитические данные отображаются с помощью виджетов или специализированных инструментов, которые показывают аналитическую информацию.

Информационная панель Kaspersky Security для контейнеров открывается при входе в учетную запись или при нажатии на область с логотипом и названием решения над главным меню.

[Topic 255372]

Применение фильтров

Kaspersky Security для контейнеров предоставляет возможность настроить информационную панель с помощью следующих фильтров:

• Фильтр по периоду:
  • за весь период работы решения;
  • за год;
  • за квартал;
  • за месяц;
  • за неделю;
  • за вчерашний день;
  • за заданный вами период.

  Для любого выбранного вами периода отсчет времени начинается с текущего дня. По умолчанию отображается информация за неделю.

• Фильтр по ресурсам:
  • все образы;
  • все образы вне кластеров;
  • все образы в кластерах;
  • образы конкретного кластера;
  • образы CI/CD.

  По умолчанию отображается информация по всем образам.

[Topic 255371]

Виджеты в информационной панели

Kaspersky Security для контейнеров представляет аналитические данные в информационной панели с помощью виджетов, которые организованы в группы по типу данных. В Kaspersky Security для контейнеров доступны следующие группы виджетов и виджеты:

• Соответствие образа требованиям политик безопасности. Решение отображает следующую информацию:
  • Общее количество образов.
  • Количество образов со статусом Соответствует.
  • Количество образов со статусом Не соответствует.
• Оценка риска образов. Виджет представляет следующую информацию по статусам объектов:
  • Общее количество образов.
  • Количество образов со статусом Критический.
  • Количество образов со статусом Высокий.
  • Количество образов со статусом Средний.
  • Количество образов со статусом Низкий.
  • Количество образов со статусом Незначительный.
  • Количество образов со статусом Ок.
• Топ 10 контрольных показателей, по которым объекты наиболее часто не проходят проверку узлов кластера на соответствие отраслевым стандартам Kubernetes:
  • 10 контрольных показателей на узлах (nodes) кластеров, по которым наиболее часто не проходит проверка.
  • Количество узлов кластеров, которые не прошли проверку по указанному контрольному показателю.
• Топ 10 реестров по количеству образов с максимально высокой оценкой риска.
• Уязвимости:
  • Топ 10 обнаруженных уязвимостей с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих указанную уязвимость.
  • Топ 10 образов с максимальным количеством выявленных уязвимостей с уровнями критичности Критический и Высокий.
• Вредоносное ПО:
  • Топ 10 самого часто обнаруживаемого вредоносного ПО и количество образов, содержащих это вредоносное ПО.
  • Топ 10 образов с максимальным количеством найденного вредоносного ПО.
• Конфиденциальные данные:
  • Топ 10 обнаруженных конфиденциальных данных с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
  • Топ 10 образов с максимальным количеством найденных конфиденциальных данных с уровнями критичности Критический и Высокий.
• Ошибки конфигурации:
  • Топ 10 обнаруженных ошибок конфигурации с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
  • Топ 10 образов с максимальным количеством найденных ошибок конфигурации с уровнями критичности Критический и Высокий.

  В списках объектов с указанием уровня критичности сортировка осуществляется со снижением уровня критичности (на первых позициях списка представлены объекты с максимально высоким уровнем критичности).

[Topic 267266]

Профиль пользователя

Чтобы перейти на страницу с профилем пользователя:

1. В главном меню нажмите на блок с именем текущего пользователя.
2. Выберите Мой профиль.

На странице Мой профиль в Kaspersky Security для контейнеров отображается основная информация об активной учетной записи пользователя. Эта информация разделена на следующие блоки:

• Общая информация – показаны имя пользователя и отображаемое в веб-интерфейсе имя пользователя, контактный адрес электронной почты, а также перечень ролей, назначенных пользователю.

  В этом блоке вы также можете изменить пароль для входа в консоль управления, нажав на кнопку Изменить пароль.

• Токен API – представлена информация о токене для подключения и получения доступа к решению через API. Значение действующего токена API скрыто маской, и вы можете просмотреть его, нажав на значок демаскировки (), расположенный справа от токена. Скрыть значение токена маской можно, нажав на значок маскировки ().

  В этом блоке вы также можете скопировать значение действующего токена с помощью кнопки Копировать и при необходимости сгенерировать новый токен API, нажав на кнопку Повторно создать токен.

• Права – перечислены все права, назначенные пользователю.

[Topic 263603]

Способы настройки отображения данных

Для таблиц в интерфейсе Kaspersky Security для контейнеров предусмотрены следующие способы настройки отображения данных:

• Фильтрация. Поля фильтра расположены над таблицами данных. Состав полей фильтра и способы управления фильтром зависят от специфики данных, отображаемых в разделе.

  В некоторых разделах для открытия полей фильтра требуется нажать на значок фильтра ().

• Сортировка по возрастания или убыванию. В некоторых разделах вы можете сортировать список данных по выбранному столбцу с помощью значка сортировки () в заголовке столбца.
• Поиск. Вы можете выполнять поиск по отображаемым данным с помощью поля Поиск, расположенного над таблицей и обозначенного значком поиска ().
• Меню. В некоторых таблицах вы можете выполнять действия с объектами с помощью команд из меню в строках. Чтобы открыть меню для выбранного объекта, требуется нажать на значок меню () в строке объекта.
• Выбор. В некоторых таблицах вы можете выбирать элементы, установив флажок в поле (). Чтобы снять флажок и отменить выбор, требуется повторно нажать на флажок в этом поле.
• Удаление. Вы можете удалять объекты в решении с помощью значка удаления () или ссылки Удалить, которая появляется при выборе объектов.
• Развертывание и свертывание списков. В некоторых таблицах с помощью значка развертывания () вы можете развернуть строку объекта для просмотра его составляющих. Чтобы свернуть элементы таблицы, требуется нажать на значок свертывания ().

[Topic 250749]

Лицензирование решения

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky Security для контейнеров.

[Topic 251945]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения во время установки Kaspersky Security для контейнеров.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку приложения и не должны использовать приложение.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы) может быть недоступна в приложении на территории США.

[Topic 251954]

О лицензии

Лицензия – это ограниченное по времени право на использование Kaspersky Security для контейнеров, предоставляемое вам на основании Лицензионного соглашения.

Лицензия включает в себя право на использование приложения в соответствии с условиями Лицензионного соглашения, а также на получение технической поддержки. Список доступных функций и срок использования приложения зависят от типа лицензии, по которой было активировано приложение.

В Kaspersky Security для контейнеров предусмотрены следующие типы лицензий:

• NFR (not for resale / не для перепродажи) – бесплатная лицензия на определенный период, предназначенная для ознакомления с приложением и тестовых развертываний приложения.
• Коммерческая – платная лицензия, предоставляемая при приобретении приложения.

Функциональность решения, доступная по лицензии, зависит от вида лицензии. В Kaspersky Security для контейнеров предусмотрены следующие виды лицензии:

• Стандартная лицензия – предоставляет доступ к функциональным возможностям по интеграции с реестрами образов и платформами, сканированию для выявления угроз безопасности, оценке рисков и мониторингу статуса объектов.
• Расширенная лицензия – в дополнение к доступным в рамках стандартной лицензии функциональным возможностям предоставляет доступ к компонентам для мониторинга, контроля и анализа объектов, а также выявления ошибок конфигурации и защиты от угроз безопасности.

По истечении срока действия лицензии приложение продолжает работу, но с ограниченной функциональностью. Чтобы использовать Kaspersky Security для контейнеров в режиме полной функциональности, вам нужно приобрести коммерческую лицензию или продлить срок действия коммерческой лицензии.

[Topic 251955]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• номер лицензии или заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о приложении, которое можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 251956]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.

[Topic 251958]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.

Чтобы активировать решение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 251957]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Security для контейнеров. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 253551]

Процедура активации приложения

Активация приложения – это процедура введения в действие лицензии, дающей право на использование Kaspersky Security для контейнеров в течение срока действия лицензии.

Вы можете активировать приложение с помощью кода активации или файла ключа, предоставленных вам при покупке решения.

Активация с использованием кода активации применяется при установке решения в открытом контуре корпоративной сети с доступом в интернет. Активация с применением файла ключа используется при установке Kaspersky Security для контейнеров как в открытом контуре корпоративной сети, так и в закрытом контуре корпоративной сети без возможности подключения к интернет.

Чтобы активировать приложение с помощью кода активации:

1. В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
2. В появившемся окне способов добавления лицензионного ключа выберите Ввести код активации.
3. В поле Код активации введите код активации и нажмите на кнопку Добавить.

   Приложение активируется и открывается страница просмотра информации о лицензии.

Чтобы активировать приложение при помощи файла ключа:

1. В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
2. В открывшемся окне способов добавления лицензионного ключа выберите Применить файл ключа и нажмите на кнопку Загрузить и добавить.
3. В открывшемся окне выберите файл с расширением key и нажмите на кнопку Открыть.

   Приложение активируется и открывается страница просмотра информации о лицензии.

При активации приложения новый код активации или файл ключа замещают собой ранее введенный код активации или файл ключ.

[Topic 253956]

Просмотр информации о лицензии

Вы можете просмотреть информацию о введенной в действие лицензии в веб-интерфейсе Kaspersky Security для контейнеров в разделе Параметры → Лицензирование.

На странице просмотра информации о лицензии представлены следующие параметры:

• Информация о лицензии. Kaspersky Security для контейнеров отображает следующее:
  • Название компании-партнера "Лаборатории Касперского", у которого вы приобрели лицензию.
  • Срок действия лицензии.

    Срок действия начинается с момента покупки лицензии, а не с момента активации приложения.

• Информация о клиенте. В этом подразделе указываются данные о компании, которая приобрела лицензию:
  • Название компании.
  • Страна, в которой находится компания.
  • Адрес электронной почты представителя клиента.
• Период, оставшийся до истечения срока действия лицензии. Решение отображает точную дату и время прекращения действия лицензии.
• Количество узлов (nodes) – максимально разрешенное в рамках лицензии количество узлов и количество задействованных узлов.
• Количество сканирований образов в месяц – максимально разрешенное в рамках лицензии количество сканирований образов и проведенных сканирований. Месяцем считаются последние 30 дней (текущий день - 30 дней).
• Функциональность в рамках лицензии. Решение отображает список функциональных возможностей, которые доступны вам в рамках приобретенной вами лицензии.

[Topic 254015]

Продление срока действия лицензии

Когда срок действия лицензии подходит к концу, Kaspersky Security для контейнеров отображает следующие уведомления:

• О приближении к окончанию срока действия лицензии с указанием оставшегося срока действия. Вы получаете такое уведомление за 30, 14 и 7 дней до окончания срока действия лицензии.
• Об окончании срока действия лицензии и переходе решения в режим ограниченной функциональности. Такое уведомление направляется в день, когда срок действия лицензии истекает.

В режиме ограниченной функциональности возможности Kaspersky Security для контейнеров ограничиваются:

• Не производятся новые сканирования образов.
• В веб-интерфейсе не отображаются новые узлы (nodes), которые были добавлены в ранее созданные кластера после окончания срока действия лицензии.
• Добавление новых кластеров на мониторинг невозможно.
• Не производится обновление баз данных уязвимостей.

Вы можете продлить срок действия лицензии, применив новый код активации или добавив новый файл ключа. Чтобы продлить срок действия лицензии, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 255742]

Удаление лицензионного ключа

Чтобы удалить лицензионный ключ:

1. В разделе Параметры → Лицензирование нажмите на кнопку Удалить лицензионный ключ.
2. Подтвердите удаление, нажав на кнопку Удалить.

[Topic 250750]

Предоставление данных

Этот раздел содержит информацию о данных, которые решение Kaspersky Security для контейнеров может сохранять на устройстве и передавать в "Лабораторию Касперского" в ходе своей работы.

Если для активации решения Kaspersky Security для контейнеров вы использовали код активации, вы соглашаетесь в автоматическом режиме предоставлять в "Лабораторию Касперского" информацию в рамках процесса регулярного подтверждения статуса лицензионного ключа. Для подтверждения статуса лицензионного ключа решение Kaspersky Security для контейнеров периодически обращается на серверы активации "Лаборатории Касперского" и передает в "Лабораторию Касперского" следующую информацию:

• идентификатор регионального центра активации;
• заголовок лицензии на использование решения;
• тип контрольной суммы и контрольную сумму лицензионного ключа;
• дату и время создания лицензионного ключа;
• дату и время истечения срока действия лицензии на использование решения;
• идентификатор лицензии на использование решения;
• идентификатор информационной модели, примененной при предоставлении лицензии на использование решения;
• текущий статус лицензионного ключа;
• тип лицензии, с помощью которой активировано решение;
• уникальный идентификатор устройства;
• название семейства операционной системы на устройстве;
• идентификатор установки решения (PCID);
• идентификатор, локализацию и полную версию решения;
• идентификатор решения, полученный из лицензии;
• набор идентификаторов совместимого ПО;
• идентификатор ребрендинга решения;
• список юридических соглашений, показываемых пользователю решения;
• тип и версию юридического соглашения, условия которого были приняты пользователем в ходе использования решения.

Кроме того, используя код активации, вы соглашаетесь передавать в "Лабораторию Касперского" следующую информацию:

• код активации, введенный пользователем для активации решения;
• дату и время на устройстве пользователя;
• версию, номер сборки, номер обновления и редакцию операционной системы на устройстве;
• признак принятия пользователем условий юридического соглашения в ходе использования решения.

Используя код активации, вы соглашаетесь на автоматическую передачу в "Лабораторию Касперского" данных, перечисленных выше. Если вы не согласны предоставлять эту информацию, для активации Kaspersky Security для контейнеров следует использовать файл ключа.

Если вы используете серверы обновлений "Лаборатории Касперского" для загрузки обновлений, вы соглашаетесь предоставлять в автоматическом режиме следующую информацию:

• идентификатор решения Kaspersky Security для контейнеров, полученный из лицензии;
• полную версию решения;
• идентификатор лицензии на использование решения;
• вид действующей лицензии;
• идентификатор установки решения (PCID);
• идентификатор запуска обновления решения;
• обрабатываемый веб-адрес.

"Лаборатория Касперского" может использовать всю передаваемую информацию для формирования статистической информации о распространении и использовании программного обеспечения "Лаборатории Касперского".

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Более подробная информация об обработке, хранении и уничтожении информации, полученной во время использования решения и переданной в "Лабораторию Касперского", приведена в Лицензионном соглашении и Политике конфиденциальности на веб-сайте "Лаборатории Касперского".

[Topic 252215]

Работа с кластерами

Kaspersky Security для контейнеров предоставляет инструмент для отображения и анализа связей различных ресурсов внутри пространств имен (Namespaces) в кластерах.

Кластер представляет собой набор узлов (nodes), которые запускают помещенные в контейнеры приложения.

Использование кластеров позволяет осуществлять массовое сканирование образов в составе кластеров. При этом автоматически создаются реестры, найденные в кластере при сканировании. Kaspersky Security для контейнеров автоматически учитывает и фиксирует идентификационные данные для доступа к реестрам в составе кластера (имя пользователя, пароль, токен), а также формирует ссылку на этот объект. Таким реестрам присваивается имя в формате <имя кластера>_<название реестра>. При работе с объектами кластера полученные идентификационные данные используются для доступа к реестрам.

В разделе Ресурсы → Активы → Кластеры в виде таблицы отображается список кластеров, на которых установлены Агенты Kaspersky Security для контейнеров. Для каждого кластера указывается количество входящих в его состав пространств имен и оркестратор.

Сканирование и визуальное представление ресурсов кластера доступны только при наличии развернутых Агентов.

[Topic 255534]

Ресурсы кластера

Kaspersky Security для контейнеров проверяет и отображает входящие в кластер объекты и связи между ними для всех кластеров с активными Агентами. Возможные виды объектов представлены в таблице ниже.

Компоненты кластерной инфраструктуры

[Topic 250386]

Просмотр ресурсов кластера

Kaspersky Security для контейнеров предоставляет возможность просмотреть имеющиеся у вас кластеры и быстро получить сводную информацию по определенным группам объектов кластером. С помощью фильтра вы можете задать параметры для отображения объектов. Вы можете искать объекты, например, по названию пространства имен или имени образа.

Чтобы просмотреть ресурсы кластера и схему их взаимодействия:

1. В разделе Ресурсы → Активы → Кластеры перейдите по ссылке на имени кластера в таблице.

   В открывшемся окне просмотра кластера ресурсы представлены на следующих вкладках:

   • Пространства имен.
   • Поды (Pods).
   • Визуальное представление.
2. На вкладке Пространства имен в раскрывающемся списке Пространства имен выберите группу пространств имен для просмотра.

   В открывшейся таблице представлены все пространства имен выбранной группы, входящие в состав кластера. Для каждого из пространств имен указывается следующее:

   • Количество контейнеров в составе пространства имен.
   • Количество просканированных образов.
   • Количество обрабатываемых заданий на сканирование.
   • Количество невыполненных заданий на сканирование.
   • Оценка риска.
   • Выявленные проблемы безопасности.

   По ссылке на названии пространства имен вы можете перейти на страницу просмотра реестра образов в составе выбранного пространства имен.

3. На вкладке Поды (Pods) в раскрывающемся списке Пространства имен выберите группу пространств имен для просмотра:
   • Все пространства имен.
   • Агент. Kaspersky Security для контейнеров отображает объекты в составе кластера по действующему в них Агенту.

   Поиск объекта можно осуществлять с помощью фильтра, где задаются следующие параметры для поиска:

   • Имя образа.
   • Имя пода.
   • Соответствие требованиям политик безопасности.

     Образ получает статус Соответствует, если в нем не выявлено ни одной проблемы безопасности, например уязвимости.

   • Дата последнего сканирования.
   • Обнаруженные риски. В этом случае поиск ведется по объектам, в которых выявлены проблемы безопасности, например найдены уязвимости, вредоносное ПО, признаки конфиденциальных данных или ошибки конфигурации.

   В открывшейся таблице для каждого из пространств имен указывается под (pod), запущенный агент контейнера, образ, приводятся статус соответствия требованиям политик безопасности, оценка риска и выявленные проблемы безопасности.

   По ссылке на имени образа вы можете перейти на страницу его просмотра в реестре образов.

4. На вкладке Визуальное представление нажмите на значок объекта на схеме взаимодействия ресурсов кластера, чтобы открыть окно с информацией о нем.

   Визуальное представление ресурсов кластера формируется, если для этого кластера существуют активные Агенты.

[Topic 263733]

Работа с образами из реестров

Раздел Ресурсы → Активы → Реестры содержит список образов, которые сканирует Kaspersky Security для контейнеров, и результаты сканирования образов. В список попадают образы из реестров, интегрированных с решением. Образы могут добавляются в список автоматически или вручную.

Список образов пуст, пока вы не настроили интеграцию с реестрами и параметры выгрузки и сканирования образов для реестра в разделе Администрирование.

Список образов отображается в виде таблицы, образы сгруппированы по репозиториям.

Вы можете выполнять следующие действия в разделе Ресурсы → Активы → Реестры:

• Искать образы по имени или контрольной сумме образа.

  Поиск осуществляется только по выбранному активному реестру образов. Если образ отсутствует в выбранном реестре, но входит в состав другого реестра, поиск не даст результатов.

• Фильтровать список. Фильтр позволяет отображать в списке образы, соответствующие указанным критериям:
  • только образы из определенных реестров;
  • образы, соответствующие или не соответствующие стандартам;
  • образы, просканированные в определенный промежуток времени;
  • образы, в которых обнаружены указанные риски.
• Запускать повторное сканирование выбранных образов (кнопка Сканировать повторно отображается над таблицей после выбора одного или нескольких образов).
• Формировать отчеты по выбранным образам (кнопка Создать отчет отображается над таблицей после выбора одного или нескольких образов).
• Добавлять образы в список и удалять образы из списка.
• Просматривать подробную информацию о результатах сканирования образа.

[Topic 250388]

Добавление и удаление образов

Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут добавляться в список образов автоматически, в соответствии с настроенными параметрами выгрузки и сканирования образов для каждого реестра. Также вы можете добавлять образы в список образов из реестров вручную. Новые образы ставятся в очередь на сканирование.

Чтобы вручную добавить образы в список:

1. В разделе Ресурсы → Активы → Реестры выполните одно из следующих действий:
   • Выберите в списке репозиторий, откройте меню действий справа от названия репозитория и выберите команду Добавить образы.
   • Нажмите на кнопку Добавить образы над таблицей.
2. Выполните одно из следующих действий:
   • Если вы добавляете образы из выбранного репозитория, в открывшемся окне выберите нужные теги образов и нажмите на кнопку Добавить образы.
   • Если вы добавляете образы с помощью кнопки Добавить образы над таблицей, в открывшемся окне выберите реестр, репозиторий, один или несколько образов и нажмите на кнопку Добавить образы.

Для оптимизации нагрузки на реестры образов список образов в подключенных реестрах формируется каждые 10 минут. После появления нового образа в реестре допускается задержка его отображения в интерфейсе Kaspersky Security для контейнеров на указанный период времени.

Чтобы удалить образы из списка:

1. В разделе Ресурсы → Активы → Реестры выполните одно из следующих действий:
   • Выберите в списке один или несколько образов, которые вы хотите удалить, и запустите удаление по ссылке Удалить, расположенной над таблицей.
   • Выберите в списке репозиторий, все образы которого вы хотите удалить, откройте меню действий в строке с названием репозитория и выберите команду Удалить репозиторий.
2. Подтвердите удаление в открывшемся окне.

[Topic 250389]

Просмотр результатов сканирования образов из реестров

Краткая информация о результатах сканирования всех образов репозитория и каждого отдельного образа отображается в списке образов в разделе Ресурсы → Активы → Реестры.

По ссылке на названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа.

Вкладки, расположенные в верхней части окна, содержат следующую информацию:

• Риск – сводная информация о результатах сканирования. В нижней части страницы отображаются рекомендуемые действия для обеспечения безопасности образа, если в процессе сканирования выявлены угрозы. По кнопке Сканировать повторно можно запустить повторную проверку образа.
• Уязвимости – уязвимости, обнаруженные в образе. По ссылке в названии уязвимости вы можете открыть подробное описание уязвимости, а также узнать, есть ли у нее
  эксплойт

  Программный код, который использует какую-либо уязвимость в системе или программном обеспечении. Эксплойты часто используются для установки вредоносного программного обеспечения на компьютере без ведома пользователя.

  .

  Kaspersky Security для контейнеров получает описание уязвимостей из подключенных баз уязвимостей. Описание представлено на языке, на котором ведется база уязвимостей. Например, описание уязвимостей из NVD выводится на английском языке.
  Классификация уязвимостей в решении соответствует классификации в подключенной базе уязвимостей.

• Слои – слои, которые используются в образе, с указанием найденных уязвимостей. По ссылке в названии слоя вы можете открыть подробное описание найденных в нем уязвимостей.
• Ресурсы – ресурсы (компоненты) с указанием найденных уязвимостей. По ссылке в названии ресурса вы можете открыть подробное описание обнаруженных уязвимостей.
• Вредоносное ПО – обнаруженное в образе вредоносное ПО. По ссылке в названии вредоносного ПО вы можете открыть его подробное описание.
• Конфиденциальные данные – обнаруженные в образе конфиденциальные данные (секреты), например пароли, ключи доступа или токены.
• Ошибки конфигурации – обнаруженные ошибки конфигурации образа, представляющие угрозу. По ссылке в названии ошибки вы можете открыть ее подробное описание.
• Информация – основная информация об образе и история образа.
• История сканирований – результаты последнего сканирования для каждой версии образа. Результаты обновляются при повторном сканировании одной версии образа, либо добавляются в отдельной строке таблицы, если сканируется другая версия образа.

Каждый выявленный риск можно принять.

[Topic 271977]

Об оценке риска

Результатом проверки, которую проводит Kaspersky Security для контейнеров, становится определение оценки риска просканированного объекта. При сканировании в объектах могут быть обнаружены все или некоторые из следующих угроз безопасности:

• Уязвимости.
• Вредоносное ПО.
• Конфиденциальные данные.
• Ошибки конфигурации.

Каждому риску в обнаружениях, исходя из уровня критичности угрозы безопасности, присваивается одна из следующих оценок риска:

• Незначительный.
• Низкий.
• Средний.
• Высокий.
• Критический.

Если угроз безопасности при сканировании не выявлено, такой образ считается неопасным и помечается Ок.

Оценки риска обнаруженных уязвимостей, вредоносного ПО, конфиденциальных данных или ошибок конфигурации соответствуют оценкам, указанным в базах данных угроз безопасности, по которым ведется проверка (например, NVD, БДУ). В таких базах уязвимостей и угроз применяются специальные шкалы оценки критичности угроз безопасности. Например, в NVD применяется шкала оценки Common Vulnerability Scoring System (CVSS).

Объекту присваивается максимально высокий уровень критичности из всех обнаруженных с соответствующей оценкой риска.

Например, при проверке объекта обнаружены следующие угрозы безопасности:

• уязвимости с незначительным уровнем критичности;
• конфиденциальные данные высокого и критического уровней критичности;
• ошибки конфигурации среднего уровня критичности;
• вредоносное ПО с низким уровнем критичности.

Риск в этом случае оценивается как критический в соответствии с максимально высоким уровнем критичности найденных угроз.

[Topic 260972]

Подробная информация о выявленных уязвимостях

Вы можете посмотреть подробную информацию о выявленной в образе уязвимости. Для этого в окне с результатами сканирования образов требуется выбрать вкладку Уязвимости и нажать на ссылку идентификатора записи об уязвимости. Идентификатор представлен в формате CVE-YYYY-X..., где:

• CVE – префикс, свидетельствующий о включении уязвимости в базу данных известных уязвимостей и дефектов безопасности;
• YYYY – указание года, когда было сообщено об уязвимости;
• X... – номер, присвоенный этой уязвимости уполномоченными организациями.

В отдельном окне отображается следующая информация о выявленной уязвимости:

• Идентификатор записи об уязвимости.
• Уровень критичности уязвимости.
• Описание уязвимости и ссылки на дополнительные сведения.
• Установленный ресурс.
• Оценка критичности уязвимости по открытому стандарту оценки уязвимостей
  CVSS

  Common Vulnerability Scoring System – открытый стандарт оценки уязвимостей. В CVSS закреплен набор метрик и формул для оценки критичности уязвимости со значениями от 0 (мин.) до 10 (макс.). CVSS позволяет распределить усилия по реагированию на уязвимости в зависимости от их критичности.

  в базах данных уязвимостей
  NVD

  National Vulnerability Database – национальная база данных уязвимостей. Американский правительственный репозиторий данных управления уязвимостями на основе стандартов, представленных с использованием протокола автоматизации содержимого безопасности.

  ,
  БДУ

  Банк данных угроз безопасности информации – база данных угроз информационной безопасности, разработанная ФСТЭК.

  и
  РЕД ОС

  Российская операционная система общего назначения. В РЕД ОС обеспечивается поиск уязвимостей, которые могут представлять угрозу для функционирования серверов и рабочих станций.

  , а также итоговая совокупная оценка критичности уязвимости.
• Возможность принятия риска в отношении уязвимости при помощи кнопки Принять.
• Информация о проведенном сканировании:
  • Образ, в котором обнаружена уязвимость.
  • Операционная система, в которой проводилось сканирование.
  • Дата первого обнаружения уязвимости.
  • Дата последнего сканирования образа.
  • Выполненные рабочие нагрузки.

[Topic 260988]

Подробная информация об обнаруженном вредоносном ПО

Если во время сканирования в образах обнаруживается вредоносное ПО, решение отображает это на странице с информацией о результатах сканирования образа. Для просмотра подробной информации о выявленном вредоносном объекте в окне с результатами сканирования образов требуется выбрать вкладку Вредоносное ПО.

Для каждого объекта решение формирует хеш MD5 или SHA256 и указывает путь до места его обнаружения.

Подробную информацию об обнаруженных вредоносных объектах можно посмотреть в базах киберугроз, которые сформированы в

Страница с описанием угрозы на веб-портале Kaspersky OpenTIP находится в открытом доступе. Для доступа к Kaspersky TIP требуется ввести учетные данные пользователя этого ресурса.

[Topic 259061]

Настройка интеграции с внешними реестрами образов

Kaspersky Security для контейнеров может сканировать образы из следующих внешних реестров образов:

• Harbor.
• GitLab Registry.
• JFrog Artifactory.
• Sonatype Nexus Repository OSS.
• Yandex Registry.
• Docker Hub.
• Docker Registry.

Чтобы решение могло сканировать образы из внешних реестров, вам нужно настроить его интеграцию с этими реестрами. Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут сканироваться автоматически или вручную, в зависимости от настроенных параметров выгрузки и сканирования образов для каждого реестра.

[Topic 265977]

Минимально достаточные права для интеграции с реестрами

Для осуществления интеграции с внешними реестрами образов учетной записи Kaspersky Security для контейнеров требуется обладать определенным набором прав, который различается в зависимости от типа реестра. Ниже для каждого типа реестра представлен перечень минимально достаточных для интеграции прав учетной записи.

GitLab

Для интеграции решения с реестром учетной записи пользователя GitLab требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: Репортер (Reporter).
• Уровень доступа к проекту: Репортер (Reporter).
• Права, назначенные токену пользователя: read_api, read_registry.

JFrog

Для интеграции решения с реестром учетной записи пользователя JFrog требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: Управление отчетами (Manage Reports).
• Вариант доступа к проекту: Полномочия на обновление профиля (Can Update Profile).
• Права пользователя: право на чтение любого репозитория (репозиторий ANY).

Harbor

Для интеграции решения с реестром учетной записи пользователя Harbor требуется определить значения параметров следующим образом:

• Тип участия в проекте: пользователь. Для этого в столбце Тип участия (Member Type) таблицы в разделе Проекты → Участники требуется указать Пользователь (User).
• Роль пользователя в проекте или группе: пользователь с ограниченными правами. Для этого в столбце Роль (Role) таблицы в разделе Проекты → Участники требуется указать Гость с ограниченными правами (Limited Guest).
• Права пользователя: пользователь без прав администратора. Для этого в столбце Администратор таблицы в разделе Пользователи (Users) требуется выбрать Нет (No).

Nexus

Для интеграции решения с реестром учетной записи пользователя Nexus требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: пользователь.
• Права, назначенные роли пользователя в проекте или группе: nx-apikey-all, nx-repository-view-docker-*-browse, nx-repository-view-docker-*-read.

Docker Hub

Интеграция решения с реестром учетной записи пользователя Docker Hub осуществляется после авторизации с использованием имени пользователя и пароля.

Этот вариант интеграции с реестром Docker Hub применяется только для личного пространства имен.

[Topic 267912]

Работа с публичными реестрами образов без авторизации

В версии 1.1 Kaspersky Security для контейнеров не работает с публичными реестрами образов без авторизации. Например, вы не можете осуществлять проверку образов с помощью решения при анонимном доступе в Docker Hub.

Без процедуры авторизации в публичных реестрах образов вы можете использовать такие реестры образов в кластере, добавлять в Kaspersky Security для контейнеров и вручную назначать определенной области применения. Если область применения включает в себя только один или несколько публичных реестров, в которых вы не авторизованы, и вы попытаетесь добавить образ в разделе Ресурсы → Активы → Реестры, решение отображает ошибку о невозможности добавления образов в связи с отсутствием интеграции с реестрами образов.

[Topic 250403]

Просмотр информации об интеграциях с реестрами

В разделе Администрирование → Интеграции → Реестры образов отображается список всех реестров, интегрированных с Kaspersky Security для контейнеров.

В списке вы можете выполнять следующие действия:

• Добавлять новые интеграции с реестрами. Окно ввода параметров интеграции открывается с помощью кнопки Добавить реестр над списком.
• Просматривать и изменять параметры интеграции с реестром, в том числе параметры выгрузки и сканирования образов. Окно редактирования открывается по ссылке на названии реестра.
• Удалять интеграции с реестром.

[Topic 266472]

Создание интеграции с внешним реестром образов

Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 1.1 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.

Чтобы создать интеграцию с внешним реестром:

1. В разделе Администрирование → Интеграции → Реестры образов нажмите на кнопку Добавить реестр.

   Откроется окно ввода параметров интеграции.

2. Во вкладке Параметры реестра укажите параметры подключения к реестру:
   1. Введите название реестра.
   2. Если требуется, введите описание реестра.
   3. Выберите тип реестра из раскрывающегося списка поддерживаемых типов.
   4. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker из выпадающего списка Метод Repository Path выберите один из следующих методов:
      • Repository path.
      • Поддомен.
      • Порт.
   5. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor или Sonatype Nexus Repository OSS, введите полный веб-адрес реестра. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).

      При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.

   6. Если вы настраиваете интеграцию с реестром типа Gitlab Registry, укажите полные веб-адреса (URL) реестра и API реестра.
   7. Если вы настраиваете интеграцию с реестром типа Docker Hub или JFrog Artifactory, выберите метод аутентификации: с помощью учетной записи или с помощью ключа API. Для реестров типа Sonatype Nexus Repository OSS может использоваться только аутентификация с помощью учетной записи.
   8. Укажите необходимые данные для аутентификации.
3. Перейдите на вкладку Параметры сканирования образов и укажите максимальное время сканирования образов из этого реестра в минутах.

   Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.

4. Настройте параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.

   Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:

   • Сканировать раз в – блок параметров, определяющих периодичность выгрузки образов из реестра для сканирования. Время указывается в соответствии со временем узла, на котором развернут сервер.
   • Сканировать образы повторно – если флажок установлен, ранее выгруженные из реестра образы сканируются повторно при каждом сканировании новых образов.
   • Шаблоны имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.

     Вы можете использовать шаблоны следующих форматов:

     • шаблон по имени и тегу образа – <имя><:тег>;
     • шаблон только по имени образа – <имя>;
     • шаблон только по тегу образа – <:тег>.

     Например:

     • по шаблону alpine будут выгружаться все образы с именем alpine, независимо от тега;
     • по шаблону :4 будут выгружаться все образы с тегом 4, независимо от имени образа;
     • по шаблону alpine:4 будут выгружаться все образы, с именем alpine и с тегом 4.

     При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.

     Чтобы добавить шаблон, введите его в поле и нажмите на кнопку Добавить. Вы можете добавить один или несколько шаблонов.

   • Дополнительные условия для выгрузки образов.
     • Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
     • Образы, созданные за период – выберите этот вариант, если требуется выгружать только образы, созданные за определенный период (за указанное количество последних дней, месяцев или лет). Укажите в полях справа длительность периода и единицу измерения. По умолчанию установлено 60 дней.
     • Последние – выберите этот вариант, если требуется выгружать только образы с последними тегами, считая от даты создания образа. Укажите в поле справа, сколько последних тегов нужно учитывать.
   • Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
   • Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
5. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.

[Topic 250405]

Удаление интеграции с внешним реестром

Чтобы удалить интеграцию с внешним реестром:

1. В разделе Администрирование → Интеграции → Реестры образов выберите интеграцию для удаления, установив флажок в строке с названием реестра. Вы можете выбрать одну или несколько интеграций.
2. В строке с названием интеграции с реестром образов, которую вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

Kaspersky Security для контейнеров не сканирует образы из реестра, интеграция с которым удалена.

[Topic 267228]

Интеграция с CI/CD

Kaspersky Security для контейнеров позволяет проводить сканирование образов контейнеров и IaC, размещенных в системах управления репозиториями кода в рамках

На этапе сборки проекта в системе управления репозиториями можно запустить сканер Kaspersky Security для контейнеров для проверки содержащихся в репозитории объектов на соответствие требованиям включенных политик безопасности. Сканер запускается из реестра с помощью агента, например, GitLab Runner в GitLab. Данные о задании для сканирования и направлении результатов сканирования передаются посредством программного интерфейса приложения (API).

При запуске проверки объектов на этапе сборки проекта необходимо убедиться, что в настройках применимой политики безопасности образов не выбрано Блокировать этап CI/CD. Если эта настройка активирована, решение уведомит вас об ошибке при сканировании.

Результаты сканирования отображаются в таблице в разделе Ресурсы → CI/CD → Сканирование в CI/CD.

Для каждого из представленных в таблице объектов Kaspersky Security для контейнеров отображает следующее:

• Дату и время последнего сканирования.
• Название.
• Оценку уровня риска.
• Обобщенные результаты сканирования с указанием выявленных объектов, относящимся к уязвимостям, вредоносному ПО, конфиденциальным данным и ошибкам конфигурации.
• Тип артефакта.
• Номер и пайплайн сборки, в которой проводилось сканирование образа.

В разделе Ресурсы → CI/CD → Сканирование в CI/CD вы также можете сформировать отчет по образам, которые сканируются в рамках процесса CI/CD.

Отчеты формируются только для объектов с типом артефакта Образ. Для других типов артефактов формирование отчета недоступно.

[Topic 260412]

Проверка образов в процессах CI/CD

С помощью решения вы можете сканировать образы, которые используются в процессах CI/CD. Решение встраивается в CI/CD в виде этапа пайплайн (pipeline), на котором запускается сканер.

Для проверки образов из CI/CD вам нужно настроить интеграцию решения с процессами CI/CD.

В Kaspersky Security для контейнеров осуществляются следующие виды сканирования в CI/CD:

• Сканирование образов, помещенных в архивы в формате TAR. Созданный TAR-архив сохраняется как артефакт сборки, который сканер решения проверяет в следующем пайплайне (pipeline) сборки.
• Сканирование Git-репозитория, которое может проводиться одним из следующих способов:
  • по ветке (отдельному направлению разработки) проекта в Git-репозитории;
  • по коммиту (снимку состояния или контрольной точке на временной шкале проекта).

Результаты сканирования передаются на сервер и отображаются в консоли управления в разделе Ресурсы → CI/CD. В представленной таблице перечислены образы, для которых проводилась проверка, указываются результаты оценки риска и выявленные уязвимости.

По ссылке в названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа. Страница аналогична странице с результатами сканирования образов из реестров.

Kaspersky Security для контейнеров также отображает тип артефакта для каждого объекта. Используются два основных артефакта:

• Файловая система – это репозиторий с содержащимися в нем конфигурационными файлами.
• Образ контейнера – это шаблон, на основе которого реализуется контейнер в среде выполнения.

В таблице для каждого объекта проверки указываются номер сборки и пайплайн (pipeline) сборки. С помощью этих параметров можно определить, на каком этапе в образе произошел сбой.

Для образов из CI/CD недоступно повторное сканирование.

[Topic 263676]

Настройка сканирования образов и конфигурационных файлов

Чтобы выполнять проверку образов или репозиториев (для сканирования конфигурационных файлов), используемых в процессе CI/CD, вам нужно добавить в пайплайн CI/CD отдельный этап, на котором запускается сканер Kaspersky Security для контейнеров. Результаты сканирования передаются на сервер решения и отображаются в консоли управления в разделе Ресурсы → CI/CD.

Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.

Пример настройки интеграции с GitLab CI/CD

В этом примере используется специальный образ сканера со встроенными базами данных уязвимостей, размещенный в реестре образов производителя решения.

Для использования возможности сканирования образов в процессе GitLab CI/CD вам нужно включить использование GitLab Container Registry.

Настройка интеграции состоит из следующих этапов:

1. Авторизация GitLab CI/CD в реестре образов производителя Kaspersky Security для контейнеров.
   1. На рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:

      printf "login:password" | openssl base64 -A

      где login и password – имя и пароль учетной записи в реестре образов производителя Kaspersky Security для контейнеров.

   2. В переменных окружения GitLab CI/CD создайте переменную DOCKER_AUTH_CONFIG (в GitLab репозитории выберите Settings -> CI/CD, нажмите на кнопку Expand, чтобы развернуть блок Variables, затем нажмите на кнопку Add variable).
   3. Укажите содержимое переменной в следующем виде:

      {

      "auths": {

      "repo.cloud.example.com": {

      "auth": "base64hash"

      }

      }

      }

      где base64hash – строка, полученная на этапе 1a.

2. Авторизация запросов из GitLab CI/CD при отправке данных в Kaspersky Security для контейнеров.
   1. Скопируйте токен API на странице Мой профиль.
   2. Укажите скопированное значение токена API в переменной API_TOKEN в конфигурационном файле .gitlab-ci.yml.
3. Добавление этапа сканирования образов в процесс CI/CD.

   Чтобы добавить этап сканирования в пайплайн CI/CD, необходимо добавить в файл .gitlab-ci.yml следующие строки:

   1. Добавьте информацию по образу сканера, содержащего базы уязвимостей и других вредоносных объектов, после этапа сборки кода в следующем виде:

      scan_image:

      stage: scanner

      image:

      name: repo.cloud.example.com/repository/company/scanner:v1.1.1-with-db

      entrypoint: [""]

      pull_policy: always

      Мы рекомендуем указывать always для параметра pull_policy, чтобы получать свежие сборки с обновленными базами уязвимостей и других вредоносных объектов при каждом сканировании.

   2. Укажите тег, идентификатор сборки, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

      SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master

      BUILD_NUMBER: ${CI_JOB_ID}

      BUILD_PIPELINE: ${CI_PIPELINE_ID}

      API_TOKEN: <значение токена API>

      В приведенном примере указан тег master, вы можете указать другой тег.

   3. Если вы настраиваете сканирование для приватного репозитория, для доступа сканера к образу укажите авторизационные данные. Их можно задать в виде переменных.

      COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}

      COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}

   4. При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:

      API_CA_CERT: ${KCS_CA_CERT}

      СА-сертификат Ingress-контроллера указывается в текстовом поле в виде строки в формате .PEM:

      -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----

      Если переменная API_CA_CERT не задана, проверка будет запускаться, но не будет пройдена.

      Использование СА-сертификата Ingress-контроллера позволяет запускаемому в CI/CD сканеру убедиться в подлинности сервера приема данных.

      Если вы используете самоподписанный сертификат или специально хотите пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера, укажите значение переменной для пропуска проверки следующим образом:

      SKIP_API_SERVER_VALIDATION: 'true'

   5. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

      API_BASE_URL: <веб-адрес>

      variables:

      API_BASE_URL: ${API_BASE_URL}

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json

      artifacts:

      paths:

      - artifact-result.json

После настройки интеграции с внешним реестром вы можете проводить сканирование образов в процессе CI/CD, в том числе осуществлять сканирование в режиме SBOM. Результаты сканирования можно посмотреть в разделе Ресурсы → CI/CD, а также получить в форматах .SPDX, .JSON и .HTML.

[Topic 265788]

Определение пути до образов контейнеров

Для начала сканирования решению необходимо определить путь до образов контейнеров, которые требуется проверить. Путь до образов контейнеров может быть указан двумя способами:

• За названием реестра, репозитория и имени образа указывается тег образа. Тег представляет собой изменяемое легкочитаемое описание образа.

  Путь в этом случае выглядит следующим образом: <реестр>/<репозиторий>/<имя образа>:<тег>. Например, http://docker.io/library/nginx:1.20.1.

• За названием реестра, репозитория и имени образа указывается контрольная сумма образа. Контрольная сумма является неизменным внутренним свойством образа, а именно хешем его содержимого (используется хеш-алгоритм SHA256).

  При использовании контрольной суммы путь представляет собой следующее: <реестр>/<репозиторий>/<имя образа><контрольная сумма>. Например, http://docker.io/library/nginx@sha256:af9c...69ce.

Тег может соответствовать различным контрольным суммам, а контрольные суммы уникальны для каждого образа.

В зависимости от способа указания пути до образа перед началом сканирования Kaspersky Security для контейнеров осуществляет одно из следующих действий:

• Преобразовывает тег в доверенную контрольную сумму.
• Проверяет, является ли указанная в пути до образа контрольная сумма доверенной. Контрольная сумма считается доверенной, если обеспечена необходимая степень уверенности в поддержании требуемого режима безопасности в отношении кодируемого с помощью хеш-алгоритма объекта.

В среду выполнения контейнера передаются только доверенные контрольные суммы.

Перед запуском контейнера содержимое образа сравнивается с полученной контрольной суммой. Для признания контрольной суммы доверенной, а образа неискаженным Kaspersky Security для контейнеров проверяет целостность и подлинность подписи образа.

[Topic 260433]

Проведение сканирования образов из CI/CD

Для проведения сканирования образов из CI/CD в конфигурационном файле интеграции с репозиторием сканеру требуется указать переменные окружения API_BASE_URL (веб-адрес хост-сервера API Kaspersky Security для контейнеров) и API_TOKEN (токен для доступа к API Kaspersky Security для контейнеров).

Чтобы провести сканирование образа из TAR-архива:

1. Соберите образ и сохраните его в виде TAR-архива с помощью любого приложения для создания контейнеризированных образов.
2. Выполните команду запуска сканирования в следующем формате:

   /scanner image.tar --file --stdout

   где:

   • <--file> – файл образа для сканирования;
   • <--stdout> – вывод данных в журнал событий безопасности.

   Пример конфигурационного файла со значениями параметров для сканирования TAR-архива

   stages:

   - build_tar

   - scan_tar

   - push_image

   build_tar:

   stage: build_tar

   tags:

   - k8s

   - docker

   image:

   name: gcr.io/kaniko-project/executor:v1.9.0-debug

   entrypoint: [""]

   dependencies:

   - scan_source_branch

   - scan_source_commit

   script:

   - mkdir -p /kaniko/.docker

   - echo "${DOCKER_AUTH_CONFIG}" > /kaniko/.docker/config.json

   - /kaniko/executor

   --context "${CI_PROJECT_DIR}"

   --dockerfile "${CI_PROJECT_DIR}/Dockerfile"

   --destination "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

   --compressed-caching=false

   --build-arg GITLAB_USER=gitlab-ci-token

   --build-arg GITLAB_TOKEN=${CI_JOB_TOKEN}

   --no-push

   --tarPath=image.tar

   artifacts:

   paths:

   - image.tar

   expire_in: 2 hours

   scan_tar:

   stage: scan_tar

   tags:

   - k8s

   - docker

   dependencies:

   - build_tar

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - /scanner image.tar --file --stdout

   artifacts:

   paths:

   - image.tar

   expire_in: 2 hours

   push_image:

   stage: push_image

   tags:

   - k8s

   image:

   name: gcr.io/go-containerregistry/crane:debug

   entrypoint: [""]

   dependencies:

   - scan_tar

   script:

   - mkdir -p $HOME/.docker

   - echo "${DOCKER_AUTH_CONFIG}" > $HOME/.docker/config.json

   - /ko-app/crane push image.tar "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

Чтобы провести сканирование образа из Git-репозитория:

1. В конфигурационном файле Git-репозитория укажите токен для доступа к репозиторию (например, для GitLab требуется указать значение GITLAB_TOKEN).
2. Выполните команду запуска сканирования в следующем формате:

   /scanner [TARGET] [--repo REPO_URL] [--branch BRANCH] [--commit COMMIT] --stdout

   где:

   • <TARGET>– путь к файлу образа для сканирования;
   • <--repo> – веб-адрес (URL) Git-репозитория;
   • <--branch> – ветка репозитория для сканирования;
   • <--commit> – хеш коммита для сканирования;
   • <--stdout> – вывод данных в журнал событий безопасности.

   Пример конфигурационного файла с переменными окружения для сканирования образа из Git-репозитория

   stages:

   - scan_source_branch

   - scan_source_commit

   scan_source_branch:

   stage: scan_source_branch

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   tags:

   - k8s

   - docker

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --branch ${CI_COMMIT_BRANCH} --stdout

   scan_source_commit:

   stage: scan_source_commit

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   tags:

   - k8s

   - docker

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --commit ${CI_COMMIT_SHA} --stdout

[Topic 263762]

Контроль целостности и происхождения образов

При сканировании образов в процессе CI/CD Kaspersky Security для контейнеров обеспечивает защиту от подмены образов на уровне реестров. Целостность и происхождение образов контейнеров, развертываемых в кластере оркестратора, контролируется при помощи проверки подписей образов, начиная с уровня сборки в CI.

Контроль целостности образов осуществляется в два этапа:

• Подписание образов контейнеров после создания. Этот процесс реализуется при помощи внешних приложений для подписи.
• Проверка подписей образов перед развертыванием.

  Решение сохраняет ключ подписи, который создается на основе хеш-функции SHA-256 и используется в качестве кода проверки подлинности подписи. При развертывании в оркестраторе Kaspersky Security для контейнеров запрашивает у сервера подписей подтверждение подлинности подписи.

Kaspersky Security для контейнеров осуществляет проверку подписей образа в рамках следующего процесса:

1. В разделе Администрирование → Интеграции → Модули проверки подписей образов настраиваются параметры интеграции решения с внешними модулями проверки подписей.
2. В разделе Политики → Среда выполнения → Политики создается политика среды выполнения для защиты содержания образа, которая отвечает за проверку подлинности подписей. Проверка цифровых подписей осуществляется на основе настроенных модулей проверки подписей.
3. Оркестратор запускает развертывание образа и при помощи
   динамического контроллера доступа

   Настраиваемый контроллер для доступа в Kubernetes, который помогает применять политики и поддерживает систему управления и контроля.

   делает запрос на развертывание агенту (kube-agent).

   Для направления запроса агенту Kaspersky Security для контейнеров требуется настроить динамический контроллер доступа в конфигурационном файле values.yaml.

4. На основании применимой политики среды выполнения агент проверяет параметры проверки подписи, настроенные в разделе Администрирование → Интеграции → Модули проверки подписей образов.
5. Если проверка подтверждает подлинность и действительность подписи, решение разрешает развертывание образа. В ином случае развертывание запрещается.

[Topic 264539]

Запуск сканера в режиме SBOM

Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме

Преимущества использования SBOM включают в себя:

• Меньший объем ресурсов, необходимых для сканирования образов на уязвимости.
• Экономия времени на сканирование за счет автоматической проверки корректности использования и функционирования компонентов решения.
• Возможность сканирования всех имеющихся в образе уязвимостей без исключения.
• Большая надежность получаемых результатов сканирования.

В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:

• Сканер в CI/CD формирует перечень компонентов образа и направляет сгенерированный артефакт в Kaspersky Security для контейнеров.
• При помощи приложения для обработки заданий на сканирование решение передает принятый SBOM-файл в сканер для сканирования.

Для последующего сканирования Kaspersky Security для контейнеров генерирует SBOM-файл в формате

Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx

где:

<--sbom-json> – индикатор создания SBOM-файла;

<--spdx> – указание на сборку артефакта в формате .SPDX;

<--stdout > example.spdx> – индикатор вывода данных в файл в формате .SPDX.

Чтобы сгенерировать SBOM-файл в формате .JSON при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json

где:

<--sbom-json> – индикатор создания SBOM-файла;

<--stdout > example.json> – индикатор вывода данных в файл в формате .JSON.

Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:

Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.

[Topic 265362]

Получение результатов сканирования в форматах .JSON и .HTML

При использовании Kaspersky Security для контейнеров для сканирования образов в рамках процесса CI/CD вы можете сформировать и сохранить артефакт с результатами сканирования внутри платформы CI/CD. Это может быть сделано с помощью конфигурационного файла внешней системы репозиториев, с которой интегрировано решение. Например, конфигурационного файла .gitlab-ci.yml в GitLab.

Способы формирования артефакта с результатами сканирования:

• При работе сканера с полным сканированием в CI/CD. Файл с результатами сканирования может быть сформирован в форматах .HTML и .JSON.
• При работе сканера через создание SBOM. В этом случае файл с результатами сканирования можно сгенерировать в форматах .SPDX и .JSON.

Чтобы сформировать файл с результатами сканирования в формате .HTML,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > example.html

где:

<--html> – указание на сборку артефакта в формате .HTML;

<--stdout > example.html> – индикатор вывода данных в файл в формате .HTML.

Чтобы сформировать файл с результатами сканирования в формате .JSON при работе сканера с полным сканированием в CI/CD,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > example.json

где:

<--stdout > example.json> – индикатор вывода данных в файл в формате .JSON.

Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:

[Topic 270274]

Запуск сканера в режиме lite SBOM

Kaspersky Security для контейнеров предоставляет возможность запуска сканера для проверки образов на наличие уязвимостей в режиме lite SBOM. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а результаты этого сканирования становятся доступны на этапе CI/CD.

Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.

Для получения результатов вы можете сформировать артефакт для скачивания в формате .SPDX, .HTML или .JSON.

Запуск сканера в GitLab

Чтобы запустить сканер в режиме lite SBOM в GitLab, при настройке сканирования образов в процессе CI/CD измените конфигурационный файл .gitlab-ci.yml следующим образом:

1. Добавьте информацию по образу сканера, запускаемого на этапе сканирования образов в процессе CI/CD в следующем виде:

   scan_image:

   stage: scanner

   image:

   name:repo.cloud.example.com/repository/company/scanner:v.1.1.1-lite

   entrypoint: [""]

   pull_policy: always

2. Укажите тег платформы оркестрации в следующем виде:

   k8s

   В приведенном примере указан тег k8s для обозначения Kubernetes, вы можете указать тег для другой поддерживаемой платформы оркестрации.

3. Укажите такие переменные как идентификатор сборки, данные приватного репозитория, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

   SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master

   COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}

   COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}

   BUILD_NUMBER: ${CI_JOB_ID}

   BUILD_PIPELINE: ${CI_PIPELINE_ID}

   API_TOKEN: <значение токена API>

4. При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:

   API_CA_CERT: ${KCS_CA_CERT}

   Если переменная API_CA_CERT не задана, проверка будет запускаться, но не будет пройдена.

5. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

   API_BASE_URL: <веб-адрес>

6. Укажите команду для создания SBOM-файла при запуске сканера в одном из следующих поддерживаемых форматов:
   • Для создания артефакта в формате .JSON:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json

     artifacts:

     paths:

     - artifact-result.json

   • Для создания артефакта в формате .HTML:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > artifact-result.html

     artifacts:

     paths:

     - artifact-result.html

   • Для создания артефакта в формате .SPDX:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --spdx --stdout > artifact-result.spdx

     artifacts:

     paths:

     - artifact-result.spdx

Пример настройки запуска сканера в режиме lite SBOM и создания артефакта в формате .HTML в GitLab

Запуск сканера в Docker

Чтобы запустить сканер в режиме liteSBOM в Docker:

1. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

   -e API_BASE_URL=https://company.local

2. Укажите значение переменной для пропуска проверки сервера приема данных с помощью СА-сертификата Ingress-контроллера:

   -e SKIP_API_SERVER_VALIDATION=true

3. Укажите токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

   -e API_TOKEN=<значение токена API>

4. Укажите информацию для запуска сканера, содержащего базы уязвимостей и других вредоносных объектов:

   repo.kcs.company.com/images/scanner:v1.1.1-with-db

5. Если необходимо сформировать артефакт для скачивания в формате .SPDX, .HTML или .JSON, укажите следующее:

   --<формат артефакта> --stdout > result.<формат файла>

   Например,

   --html --stdout > result.html

6. Нажмите на клавишу Enter, чтобы запустить сканер.

   Если при вызове сканера появляется ошибка преобразования имени домена Name does not resolve, до переменной API_BASE_URL нужно указать адрес до внутреннего DNS сервера вашей организации. Например,

   --dns 10.0.xx.x

   API_BASE_URL: https://company.local/

Пример настройки запуска сканера в режиме lite SBOM и создания артефакта в формате .JSON в Docker

Результаты сканирования можно получить в указанном вами формате, а также посмотреть в разделе Ресурсы → CI/CD.

[Topic 250391]

Работа с рисками

Для угроз, выявленных Kaspersky Security для контейнеров (уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации), предусмотрена процедура принятия риска. Если риск наличия угрозы принят, в течение указанного промежутка времени эта угроза не учитывается политиками безопасности образов при определении статуса безопасности образа (Соответствует / Не соответствует политикам безопасности). Угроза по-прежнему обнаруживается при сканировании образа, но образ не отмечается как не соответствующий политикам безопасности в результате обнаружения этой угрозы.

Если вы принимаете риск в отношении уязвимости, обнаруженной в образе, такой риск принимается для конкретного реестра образов. Если риск принят в отношении всех уязвимостей в образе, образ считается соответствующим требованиям политик безопасности и получает статус Соответствует.

Если вы изменяете параметры политики безопасности образов, которая применяется в отношении образов, меняется статуса безопасности образа.

По умолчанию риск наличия угрозы принимается на 30 дней. Вы можете продлевать срок, в течение которого риск считается принятым. Вы также можете в любой момент отменить принятие риска. В случае отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа.

Вы можете просматривать список всех принятых рисков в разделе Политики → Принятые риски.

[Topic 259187]

Принятие риска

Вы можете принять выявленные решением риски с уровнями критичности Средний, Низкий и Незначительный. Принятие риска в отношении угроз с уровнями критичности Высокий и Критический невозможно.

Чтобы принять риск:

1. В окне результатов сканирования образа откройте вкладку с информацией о выявленных угрозах нужного типа.
2. В таблице выберите угрозу и запустите принятие риска по ссылке Принять или по команде меню действий Принять риск (в зависимости от выбранной вкладки).
3. В открывшемся окне укажите параметры принятия риска:
   • Выберите, в каком объеме принимается риск:
     • для выбранного образа, в котором риск обнаружен;
     • для всех образов репозитория, в котором находится образ с обнаруженной угрозой;
     • для всех образов, в которых обнаружена или будет обнаружена эта угроза.
   • Если требуется, установите срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образа.
   • Укажите причину принятия риска.
4. Нажмите на кнопку Принять.

Выбранная угроза не влияет на статус безопасности образа, образов репозитория или всех образов в течение указанного количества дней или бессрочно.

Принятый риск можно просмотреть в разделе Политики → Принятые риски.

[Topic 264522]

Просмотр информации о принятых рисках

Список всех принятых рисков отображается в разделе Политики → Принятые риски.

В списке вы можете выполнять следующие действия:

• Выполнять поиск по названию риска, имени репозитория, образа или ресурса, в котором риск обнаружен.
• Фильтровать список по типу риска и наличию исправления от производителя.
• Формировать отчет по принятым рискам с помощью кнопки Сформировать отчет, расположенной над таблицей.
• Сортировать список по дате принятия, названию риска, охвату (действию на все образы или на один образ) и сроку действия. Сортировка осуществляется с помощью значка сортировки ().
• Просматривать подробную информацию о принятии риска и связанной угрозе. Окно с подробной информацией открывается по ссылке на названии риска.

С помощью кнопок в окне с подробной информацией вы можете выполнить следующие действия:

• Установить или продлить срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образов.
• Отменить принятие риска.

Информацию о принятом риске вы также можете посмотреть в списке обнаруженных угроз в результатах сканирования образов. В строке с угрозой, риск наличия которой был принят, отображается время принятия риска, по ссылке доступно окно с подробной информацией о принятии риска и связанной угрозе.

[Topic 250394]

Отмена принятия риска

Чтобы отменить принятие риска:

1. Откройте окно с подробной информацией о принятии риска и связанной угрозе. Окно доступно по ссылке на названии риска в списке принятых рисков или по ссылке в строке с угрозой, риск наличия которой был принят, в списке обнаруженных угроз в результатах сканирования образов.
2. Нажмите на кнопку Отменить принятие риска и подтвердите отмену в открывшемся окне.

В результате отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа или образов, для которых риск был принят.

[Topic 250395]

Проверка на соответствие стандартам

Агенты Kaspersky Security для контейнеров могут проверять узлы (nodes) кластеров Kubernetes на соответствие требованиям отраслевого стандарта информационной безопасности Kubernetes .

Kaspersky Security для контейнеров проводит проверку на соответствие требованиям отраслевого стандарта Kubernetes на версиях Kubernetes 1.15–1.25.

Агент проверяет состояние узла, на котором он установлен, и отправляет данные о результатах проверки на сервер. Информация о результатах проверки отображается в разделе Соответствие стандартам.

В разделе Соответствие стандартам → Отраслевой стандарт Kubernetes вы можете посмотреть результаты проверки узлов кластеров на соответствие отраслевым стандартам Kubernetes. Kaspersky Security для контейнеров отображает сводные данные по количеству проведенных проверок и их статусу. Решение присваивает проверкам один из следующих статусов:

• Пройдено – успешно проведенная проверка.
• С предупреждением – проверка показала, что в ходе исполнения операций или задач возможны проблемы.
• Не пройдено – в рамках проверки выявлено несоответствие стандарту.

Результаты проверки узлов отображаются в виде таблицы, узлы сгруппированы по кластерам.

По ссылке на названии узла вы можете открыть страницу, содержащую подробную информацию о результатах проверки узла.

В верхней части окна отображается сводная информация. В таблице для каждого контрольного показателя стандарта отображается статус соответствия узла этому показателю.

При нажатии на строке контрольного показателя справа от таблицы открывается и закрывается блок с подробной информацией о показателе.

С помощью кнопки Сканировать вы можете запускать проверку узла на соответствие контрольным показателям стандарта.

[Topic 263737]

Настройка и формирование отчетов

Kaspersky Security для контейнеров предоставляет возможность формирования отчетов по результатам проведенного сканирования реестров, кластеров и образов. Список сгенерированных отчетов отображается в разделе Администрирование → Отчеты.

Сформированные решением отчеты отображают следующую информацию:

• События, связанные с логикой работы Kaspersky Security для контейнеров, например результаты проверки образов или анализа узлов (nodes).
• Статистические данные, например перечень образов с выявленными проблемами безопасности.

В Kaspersky Security для контейнеров доступны следующие шаблоны отчетов:

• Сводный отчет по образам.
• Детализированный отчет по образам.
• Отчет по принятым рискам.

В зависимости от применяемого шаблона отчета создание и формирование отчетов осуществляется в разных разделах решения.

Процесс формирования отчетов занимает несколько минут.

Список сформированных отчетов представлен в разделе Администрирование → Отчеты. Отчеты доступны для скачивания в форматах .HTML, .PDF и .CSV.

В версии 1.1 Kaspersky Security для контейнеров отчеты формируются только на английском языке.

[Topic 264258]

Отчеты по образам

В Kaspersky Security для контейнеров вы можете сформировать отчеты по результатам сканирования образов. В зависимости от уровня детализации представленной информации отчеты по образам могут быть сводными и детализированными.

Сводный отчет по образам

Сводный отчет представляет обобщенную информацию по выбранным образам. В нем приводятся названия образов и кластеров, к которым эти образы принадлежат. Сводный отчет содержит данные о соответствии образа требованиям политик безопасности образов, названия политик, в рамках которых проверялся образ, а также статус проверки. Для каждого образа приводятся данные о количестве выявленных рисков, связанных с уязвимостями, вредоносным ПО, конфиденциальными данными и ошибками конфигурации.

Детализированный отчет по образам

В детализированном отчете приводится более подробная информация о выбранных образах, проведенных проверках и выявленных проблемах безопасности. Для каждого образа указываются дата и время последнего сканирования объекта, кластер, в составе которого находится выбранный образ, оценка риска и соответствие требованиям политик безопасности. Kaspersky Security для контейнеров отображает количество объектов по уровням критичности для выявленных уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации.

В блоке с описанием примененных политик безопасности образов решение приводит список политик безопасности образов и указывает, прошел ли этот этап проверки успешно или с ошибкой. В отчете также фиксируется действие, выполненное Kaspersky Security для контейнеров в соответствии с конкретной политикой. В этом случае может отображаться, что был блокирован этап CI/CD, образы могут быть отмечены как несоответствующие требованиям безопасности, либо могут выполняться оба указанных действия.

В блоке Уязвимости приводится перечень выявленных уязвимостей с указанием уровня их критичности, ресурса, где они были обнаружены, а также версии образа, в которой уязвимости были исправлены.

В блоках Вредоносное ПО и Конфиденциальные данные отображаются списки обнаруженных вредоносных объектов и объектов, содержащих конфиденциальные данные. Для каждого объекта указывается уровень критичности и путь для определения места его нахождения.

В блоке Ошибки конфигурации приводится список с указанием названий файлов, в которых выявлены ошибки конфигурации, уровня критичности ошибок конфигурации, и типа файлов (например, файл Docker). Также обозначается найденная проблема и даются рекомендации по ее устранению.

Kaspersky Security для контейнеров получает описание проблем, связанных с ошибками конфигурации, из внутренней базы для анализа конфигурационных файлов, которая включает в себя модули проверки конфигурационных файлов Kubernetes, Dockerfile, Containerfile, Terraform, Cloudformation, Azure ARM Template и Helm Chart. Описание ошибок конфигурации и рекомендации по их устранению представлены на языке, на котором ведутся указанные модули проверки. Например, описание ошибок конфигурации из Kubernetes дается на английском языке.
Обновление этой базы данных производится в рамках выпуска новой версии решения.

[Topic 264537]

Отчет по принятым рискам

В отчете в виде таблицы приводятся данные по принятым рискам с указанием даты и времени их принятия. Вы можете сформировать отчет по всем принятым рискам или по какой-либо созданной с помощью фильтра группе принятых рисков.

Для каждого выбранного вами принятого риска указывается его название в следующем формате:

• Тип риска (уязвимость, вредоносное ПО, конфиденциальные данные или ошибки конфигурации).
• Идентификатор или название риска.
• Уровень критичности риска.

Kaspersky Security для контейнеров приводит имя образа, названия ресурса и репозитория, где был обнаружен конкретный риск, и версию образа, в которой этот риск исправлен. В таблице отчета также отображается следующая информация о принятии риска:

• Объем принятия риска.
• Срок, по истечении которого риск снова будет учитываться при определении статуса безопасности образа.
• Пользователь, принявший риск.

[Topic 264284]

Формирование отчетов

В Kaspersky Security для контейнеров отчеты формируются в разных разделах решения в зависимости от применимого шаблона отчета. Вы можете просмотреть список сгенерированных отчетов в разделе Администрирование → Отчеты.

Чтобы сформировать сводный отчет по образам:

1. Перейдите в один из следующих разделов:
   • Ресурсы → Активы → Реестры для формирования отчета по образам из интегрированных с решением реестров.
   • Ресурсы → CI/CD для формирования отчета по образам, которые сканируются в рамках процесса CI/CD.

     В разделе Ресурсы → CI/CD отчеты формируются только для объектов с типом артефакта образ (container_image). Для других типов артефактов формирование отчета недоступно.

2. В зависимости от выбранного раздела выполните одно из следующих действий:
   • В разделе Ресурсы → Активы → Реестры выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.

     Вы можете выбрать все репозитории и образы, установив флажок в заголовочной части таблицы.

   • В разделе Ресурсы → CI/CD выберите один или несколько образов, для которых вы хотите сформировать отчет.

     Вы можете выбрать все образы во всех репозиториях, установив флажок в заголовочной части таблицы.

3. Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Сводный отчет по образам.
4. Подтвердите формирование отчета в открывшемся окне.

Вы можете скачать сформированный отчет в разделе Администрирование → Отчеты. Отчеты доступны для скачивания в форматах .HTML, .PDF и .CSV.

Чтобы сформировать детализированный отчет по образам:

1. Перейдите в один из следующих разделов:
   • Ресурсы → Активы → Реестры для формирования отчета по образам из интегрированных с решением реестров.
   • Ресурсы → CI/CD для формирования отчета по образам, которые сканируются в рамках процесса CI/CD.

     В разделе Ресурсы → CI/CD отчеты формируются только для объектов с типом артефакта образ (container_image). Для других типов артефактов формирование отчета недоступно.

   • Компоненты → Сканеры → Задания сканеров для создания отчета по образу, проверенному в рамках задания на сканирование.
2. В зависимости от выбранного раздела выполните одно из следующих действий:
   • В разделе Ресурсы → Активы → Реестры выполните указанные далее шаги:
     1. Выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
     2. Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Детализированный отчет по образам.
   • В разделе Ресурсы → CI/CD выполните указанные далее шаги:
     1. Выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
     2. Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Детализированный отчет по образам.
   • В разделе Компоненты → Сканеры → Задания сканеров выполните указанные далее шаги:
     1. В списке заданий сканеров выберите объект сканирования, для которого вы хотите сформировать отчет. Вы можете выбрать только один образ со страницы с подробным описанием результатов сканирования этого образа.
     2. В открывшемся окне с результатами сканирования объекта нажмите на кнопку Сформировать отчет, расположенную справа от заключения о соответствии объекта требованиям политик безопасности.

        Окно результатов сканирования с кнопкой Сформировать отчет открывается только для заданий сканеров со статусом Завершено.

3. Подтвердите формирование отчета в открывшемся окне.

Вы можете скачать сформированный отчет в разделе Администрирование → Отчеты. Отчеты доступны для скачивания в форматах .HTML, .PDF и .CSV.

Чтобы сформировать отчет по принятым рискам:

1. Перейдите в раздел Политики → Принятые риски.

   По умолчанию отчет формируется по всем принятым рискам, которые отображаются в таблице. При необходимости вы можете сформировать отчет для конкретных объектов. Для определения объектов, для которых вы хотите сформировать отчет, выполните одно или несколько следующих действий:

   • В поле Поиск введите название риска, имя репозитория или образа.
   • С помощью раскрывающегося списка Тип риска над таблицей выберите объекты по типу риска.
   • С помощью раскрывающегося списка Исправлено производителем над таблицей выберите объекты по типу риска.
2. Нажмите на кнопку Сформировать отчет, расположенную над таблицей.

Kaspersky Security для контейнеров начнет формирование отчета и предложит вам перейти по ссылке на страницу со списком сформированных отчетов. Вы можете скачать сформированный отчет в разделе Администрирование → Отчеты.

[Topic 264301]

Скачивание и удаление отчетов

Kaspersky Security для контейнеров отображает список сгенерированных отчетов в таблице в разделе Администрирование → Отчеты.

В таблице для каждого сформированного отчета приводятся присваиваемое решением название и шаблон отчета, дата и время создания и статус формирования отчета. Также в таблице вы можете скачать успешно созданный отчет в нужном вам формате или удалить отчет.

Чтобы скачать отчет,

в строке с отчетом нажмите на кнопку с указанием нужного формата: .PDF, .HTML или .CSV.

Чтобы удалить отчет:

1. В строке с названием отчета, который вы хотите удалить, нажмите на значок удаления ().
2. Подтвердите удаление в открывшемся окне.

[Topic 266783]

Настройка политик безопасности

Компоненты Kaspersky Security для контейнеров используют в своей работе следующие политики безопасности:

• Политики сканирования определяют параметры, с которыми выполняется сканирование разных видов ресурсов. В политиках сканирования используются правила обнаружения конфиденциальных данных, а также уязвимостей, вредоносного ПО и ошибок конфигурации.
• Политики безопасности образов определяют действия, которые решение выполняет для обеспечения безопасности, если угрозы, вредоносное ПО, конфиденциальные данные и ошибки конфигурации, обнаруженные при сканировании образа, соответствуют указанным в политике критериям.
• Политики реагирования определяют действия, которые решение выполняет при наступлении определенных событий, заданных в политике. Например, Kaspersky Security для контейнеров может уведомлять пользователя о событии.
• Политики среды выполнения позволяют контролировать и при необходимости ограничивать развертывание и работу контейнеров на кластере в соответствии с требованиями безопасности вашей организации.

Kaspersky Security для контейнеров применяет в работе только включенные политики. Выключенные политики не могут быть задействованы при проведении проверок.

[Topic 266135]

Политики сканирования

Политика сканирования определяет параметры, с которыми выполняется сканирование разных видов ресурсов.

При установке Kaspersky Security для контейнеров по умолчанию создается политика сканирования, которая может применяться ко всем ресурсам и выполняться во всех средах. Она называется глобальной политикой сканирования (default). Этой политике по умолчанию назначается глобальная область применения.

Вы можете включить, выключить и настроить параметры глобальной политики сканирования, если вашей роли назначены права на управление политиками сканирования и просмотр глобальной области применения.

В отношении глобальной политики сканирования невозможно осуществить следующие действия:

• Изменить назначенную глобальную область применения.
• Удалить глобальную политику сканирования.

В разделе Политики → Сканирование в виде таблицы отображается список всех настроенных политик сканирования.

В списке вы можете выполнять следующие действия:

• Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
• Активировать и отключать политики с помощью переключателя Выключено / Включено в столбце Статус таблицы.
• Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.

  В окне редактирования вы также можете включать и выключать политики. Выключенные политики не применяются в работе решения.

• Настраивать правила обнаружения конфиденциальных данных. Для этого необходимо перейти во вкладку Конфиденциальные данные.
• Удалять политики.

[Topic 266137]

Создание политики сканирования

Для создания политики сканирования в Kaspersky Security для контейнеров требуются права на управление параметрами политики сканирования.

Чтобы создать политику сканирования:

1. В разделе Политики → Сканирование нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. С помощью переключателя Выключено / Включено при необходимости отключите создаваемую политику. В этом случае она будет добавлена, но применяться не будет до момента ее активации.

   По умолчанию новая политика сканирования создается в статусе Включено.

3. Введите название политики и, если требуется, ее описание.
4. В поле Область применения из предложенных вариантов выберите область применения для политики сканирования.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

5. В блоке Уязвимости настройте следующие параметры:
   • С помощью переключателя Выключено / Включено настройте проведение проверки с использование баз данных Национального реестра уязвимостей (NVD).
   • С помощью переключателя Выключено / Включено настройте проведение проверки с использование баз данных Банка данных угроз безопасности информации (БДУ).
6. В блоке Вредоносное ПО с помощью переключателя Выключено / Включено настройте проведение проверки на наличие в образе вредоносного ПО в рамках компонента Защита от файловых угроз.
7. В блоке Ошибки конфигурации с помощью переключателя Выключено / Включено настройте проведение проверки на наличие ошибок конфигурации.
8. Нажмите на кнопку Сохранить.

[Topic 266436]

Изменение параметров политики сканирования

Вы можете изменить параметры политики сканирования в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.

Чтобы изменить параметры политики сканирования:

1. В разделе Политики → Сканирование перейдите по ссылке в названии политики.

   Откроется окно редактирования параметров политики.

2. Если требуется, с помощью переключателя Выключить / Включить измените статус политики (включена / выключена).
3. Внесите нужные изменения в параметры политики. Для изменения доступны следующие параметры:
   • Название политики, ее описание и область применения.
   • Параметры проверки на уязвимости. С помощью флажков укажите базу или базы уязвимостей, по которым требуется проверять образы.
   • Параметры проверки на вредоносное ПО. Установите флажок, если требуется проверять образы на наличие вредоносного ПО и других файловых угроз. Для проведения проверки используется компонент Защита от файловых угроз.
   • Параметры проверки на ошибки конфигурации. Установите флажок, если требуется проверять образы на наличие ошибок конфигурации. Проверка выполняется с параметрами по умолчанию, заданными производителем решения.
4. Нажмите на кнопку Сохранить.

[Topic 250398]

Настройка правил обнаружения конфиденциальных данных

В разделе Политики → Сканирование → Конфиденциальные данные отображается список настроенных правил обнаружения конфиденциальных данных (далее также – секретов) во время сканирования образов.

Правила сгруппированы по категориям в зависимости от назначения и области применения секретов, для обнаружения которых правила предназначены. Список категорий определен производителем решения. Категории содержат предустановленные правила.

В списке вы можете выполнять следующие действия:

• Просматривать и изменять параметры правил обнаружения секретов. Окно редактирования открывается по ссылке на идентификаторе правила.
• Добавлять новые правила в выбранную категорию. Окно ввода параметров интеграции открывается с помощью кнопки Добавить правило, расположенной над таблицей. Для добавления правил не относящимся ни к одной из предустановленных категорий, используйте категорию Другие.
• Удалять правила. Чтобы выбрать правило для удаления, установите флажок в строке с правилом. Значок удаления появляется при выборе одного или нескольких правил в списке.

Чтобы изменить настройки правил обнаружения конфиденциальных данных:

1. В таблице в разделе Политики → Сканирование → Политики выберите политику сканирования.
2. В секции Конфиденциальные данные выберите необходимые правила, установив флажки в строках правил.
3. С помощью переключателя Выключить / Включить в столбце Статус в таблице со списком правил политики включите или выключите данный компонент политики.

   Не нажимайте на кнопку Сохранить.

   Kaspersky Security для контейнеров сразу же применяет изменение настроек конфиденциальных данных и отображает соответствующее уведомление. Вы также можете обновить страницу, чтобы увидеть изменения настроек.

[Topic 250399]

Политики безопасности образов

Политика безопасности образов определяет действия, которые Kaspersky Security для контейнеров выполняет для обеспечения безопасности, если угрозы, обнаруженные при сканировании образа, соответствуют указанным в политике критериям.

В разделе Политики → Безопасность образов в виде таблицы отображается список настроенных политик безопасности образов.

В списке вы можете выполнять следующие действия:

• Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
• Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
• Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.
• Удалять политики.

Если вы создаете политику безопасности образов, изменяете ее параметры или удаляете такую политику, то статус соответствия требованиям образов (Соответствует / Не соответствует), в отношении которых применялась политика, пересматривается.

[Topic 266504]

Создание политики безопасности образов

Для создания политики безопасности в Kaspersky Security для контейнеров требуются права на управление параметрами политики безопасности.

Чтобы создать политику безопасности образов:

1. В разделе Политики → Безопасность образов нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. Введите название политики и, если требуется, ее описание.
3. В поле Область применения из предложенных вариантов выберите область применения для политики безопасности образов.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

4. Укажите действия, которые решение будет выполнять в соответствии с этой политикой:
   • Блокировать этап CI/CD – если на этапе проверки образа в пайплайне CI/CD сканер обнаруживает в образе угрозы, соответствующие указанному в политике уровню критичности, этап проверки завершается с ошибкой (failed). Этот результат передается в CI-систему.
   • Отмечать образы как несоответствующие требованиям безопасности – Kaspersky Security для контейнеров отмечает образы, в которых обнаружены угрозы, соответствующие указанным в политике критериям.
5. В блоке Уровень уязвимости настройте следующие параметры:
   • С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности уязвимости.
   • Установите уровень критичности, который присваивается по базам данных уязвимостей. Вы можете выбрать его из раскрывающегося списка Уровень критичности или указать оценку критичности в баллах от 0 до 10.
   • С помощью переключателя Выключено / Включено настройте блокировку в случае наличия конкретных уязвимостей и укажите эти уязвимости в поле Уязвимости.
6. В блоке Вредоносное ПО с помощью переключателя Выключено / Включено настройте проведение проверки на наличие в образе вредоносного ПО.
7. В блоке Ошибки конфигурации настройте следующие параметры:
   • С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности ошибок конфигурации.
   • Установите уровень критичности ошибок конфигурации, выбрав его из раскрывающегося списка Уровень критичности.

     Уровень критичности присваивается по базам данных уязвимостей.

8. В блоке Конфиденциальные данные настройте следующие параметры:
   • С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности конфиденциальных данных.
   • Установите уровень критичности конфиденциальных данных, выбрав его из раскрывающегося списка Уровень критичности.

     Уровень критичности присваивается по базам данных уязвимостей.

9. Нажмите на кнопку Сохранить.

По умолчанию политика создается в статусе Включено.

[Topic 266506]

Изменение параметров политики безопасности образов

Вы можете изменить параметры политики безопасности образов в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.

Чтобы изменить параметры политики безопасности образов:

1. В разделе Политики → Безопасность образов нажмите на название политики в списке существующих политик безопасности образов.

   Откроется окно изменения параметров политики.

2. Внесите изменения в интересующие вас параметры политики:
   • Название политики, ее описание и область применения.
   • Действия решения в соответствии с этой политикой.
   • Необходимые проверки.
   • Уровень критичности обнаруженных в ходе проверок уязвимостей.
   • Идентификационные номера уязвимостей для блокирования.
3. Нажмите на кнопку Сохранить.

[Topic 250400]

Политики реагирования

Политика реагирования определяет действия, которые решение выполняет при наступлении определенных событий, заданных в политике. Например, Kaspersky Security для контейнеров может уведомлять пользователя об обнаружении угроз.

Если вы хотите настроить политики реагирования для уведомления пользователя, вам нужно предварительно настроить интеграцию со средствами уведомления.

В разделе Политики → Реагирование в виде таблицы отображается список настроенных политик реагирования.

В списке вы можете выполнять следующие действия:

• Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
• Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
• Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.

  Если вы выключите политику, Kaspersky Security для контейнеров не будет выполнять действия, указанные в такой политике.

• Осуществлять поиск политик. Чтобы найти политику, в поле поиска над списком политик реагирования нужно указать название политики или его часть.
• Удалять политики.

В этой версии решения политики реагирования определяют только действия, которые Kaspersky Security для контейнеров выполняет для уведомления пользователя в случае наступления определенного события, заданного в политике. Например, в случае обнаружения какого-либо объекта с критической уязвимостью решение может отправлять уведомление пользователю на электронную почту.

[Topic 266507]

Создание политики реагирования

Для создания политики реагирования в Kaspersky Security для контейнеров требуются права на управление параметрами политики реагирования.

Чтобы создать политику реагирования:

1. В разделе Политики → Реагирование нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. Введите название политики и, если требуется, ее описание.
3. В поле Область применения из предложенных вариантов выберите область применения для политики реагирования.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

4. В поле Триггер выберите из раскрывающегося списка событие, при наступлении которого во время проверки решение должно уведомлять пользователя. В качестве события-триггера может быть выбрано одно из следующих событий:
   • Конфиденциальные данные. Уведомление направляется, если при сканировании решение обнаруживает в объекте признаки наличия конфиденциальных данных.
   • Не соответствует. Kaspersky Security для контейнеров уведомляет вас, если в проверяемом объекте обнаружены образы, которые не соответствуют требованиям политик безопасности.
   • Критические уязвимости. Уведомление направляется, если при сканировании в объекте обнаружены уязвимости со статусом Критический.
   • Вредоносное ПО. Уведомление направляется, если при сканировании найдено вредоносное ПО.
   • Окончание срока принятия риска. Kaspersky Security для контейнеров уведомляет вас, если в проверяемом объекте найдены риски, в отношении которых вы ранее осуществили принятие риска, но срок действия периода принятия этого риска истек.
5. Настройте нужное количество способов уведомления:
   1. Выберите Средство уведомления: электронная почта или Telegram.
   2. В поле Название интеграции выберите из раскрывающегося списка название предварительно настроенной интеграции с выбранным средством уведомления.
   3. Чтобы добавить еще один способ уведомления, нажмите на кнопку Добавить и заполните открывшиеся поля, как описано в пунктах a и b.
   4. Если требуется вы можете удалять добавленные способы уведомления с помощью значка, расположенного справа от поля Название интеграции.
6. Нажмите на кнопку Сохранить.

По умолчанию политика создается в статусе Включено.

[Topic 266508]

Изменение параметров политики реагирования

Вы можете изменить параметры политики реагирования в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.

Чтобы изменить параметры политики реагирования:

1. В разделе Политики → Реагирование нажмите на название политики в списке существующих политик реагирования.

   Откроется окно изменения параметров политики.

2. При необходимости внесите изменения в интересующие вас параметры политики:
   • Измените название политики.
   • Добавьте или измените описание политики.
   • Добавьте или измените область применения политики.
   • Измените триггер-событие, выбрав его из раскрывающегося списка.
   • Добавьте средство уведомления, нажав на кнопку Добавить.
   • Удалите средство уведомления, нажав на значок удаления (), расположенный рядом со строкой выбранного средства уведомления.
3. Нажмите Сохранить.

[Topic 264620]

Политики среды выполнения

Политика среды выполнения определяет действия, которые решение выполняет для мониторинга и контроля запуска контейнеров в среде исполнения в соответствии с политиками безопасности. Kaspersky Security для контейнеров осуществляет контроль на основе обнаруженных в образе угроз безопасности, уровня критичности этих угроз и наличия

Контейнеры в среде исполнения могут запускаться из проверенных и еще неизвестных решению образов.

На вкладке Политики в разделе Политики → Среда выполнения в виде таблицы отображается список настроенных политик проверки среды выполнения.

В списке вы можете выполнять следующие действия:

• Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
• Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
• Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.

  Если вы выключите политику, Kaspersky Security для контейнеров не будет выполнять действия, указанные в такой политике.

• Осуществлять поиск политик. Чтобы найти политику, в поле поиска над списком политик реагирования нужно указать название политики или его часть.
• Удалять политики.

Для оптимальной работы политики среды выполнения требуется дополнить профилями среды выполнения для контейнеров, которые определяют правила и ограничения для работы контейнеров в среде выполнения.

[Topic 265799]

Создание политики среды выполнения

Для создания политики среды выполнения в Kaspersky Security для контейнеров требуются права на управление параметрами политики среды выполнения.

Чтобы создать политику среды выполнения:

1. В разделе Политики → Среда выполнения нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

2. Введите название политики и, если требуется, ее описание.
3. В поле Область применения из предложенных вариантов выберите область применения для политики среды выполнения. Поскольку политики среды выполнения используются только в отношении развернутых и/или запускаемых контейнеров, для выбора доступны области применения, содержащие ресурсы по кластерам.

   Области применения, содержащие только ресурсы по реестрам, не доступны для выбора. При необходимости вы можете определить конкретные образы и поды (pods) для создаваемой политики среды выполнения в блоке Профили среды выполнения контейнеров, как указано в п.10.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

4. При необходимости установите флажок Исключения, чтобы определить исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из раскрывающихся списков объекты и укажите их названия, а затем нажмите Добавить.

   Имеющиеся в политике исключения проверяются при развертывании контейнера.

5. В блоке Режим выберите один из следующих режимов применения политики:
   • Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
   • Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.
6. В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
7. В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
8. В блоке Блокирование незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
9. В блоке Блокирование системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из развертывающегося списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из выпадающего списка ALL.
10. В блоке Профили среды выполнения контейнеров с помощью переключателя Выключено / Включено активируйте блокирование процессов внутри контейнеров и сетевых соединений для подов (pods). Для этого выполните следующие действия:
    1. В раскрывающемся списке выберите признак для определения подов, к которым будут применены профили среды выполнения.
    2. В зависимости от выбранного признака выполните следующие действия:
       • Если вы выбрали Метки пода, введите ключ и значение метки пода.

         Вы можете добавить дополнительные метки для выбора подов, нажав на кнопку Добавить метку.

       • Если вы выбрали Шаблон URL образа, введите шаблон веб-адреса реестра образов.

         Если в кластере используются образы из внешнего реестра Docker Hub, решение воспринимает полный и сокращенный пути до образов равными по значению. Например, если вы указываете в кластере адрес образа контейнера docker.io/library/ubuntu:focal, решение будет считать равным ему значение ubuntu:focal.

         Вы можете добавить дополнительные веб-адреса для выбора подов, нажав на кнопку Добавить URL образа.

    3. В поле Профиль среды выполнения укажите один или несколько профилей среды выполнения, которые будут применяться к подам (pods), соответствующим определенным вами признакам.
    4. При необходимости вы добавьте поды (pods) для сопоставления с помощью кнопки Добавить сопоставление подов. Поды (pods) с различными признаками или применяемыми профилями среды выполнения будут сопоставляться в рамках одной политики среды выполнения.
11. В блоке Защита содержания образа с помощью переключателя Выключено / Включено активируйте проверку цифровых подписей, которые подтверждают целостность и происхождение образов в контейнере. Для этого выполните следующие действия:
    1. В поле Шаблон URL реестра образов введите шаблон веб-адреса реестра образов, в котором требуется проводить проверку подписей.
    2. Из раскрывающегося списка выберите Проверять, чтобы активировать проверку, или Не проверять, чтобы заблокировать проверку.
    3. Из раскрывающегося списка выберите один из настроенных модулей проверки подписей образов.
    4. При необходимости добавьте правила проверки подписей с помощью кнопки Добавить правило проверки подписей. Решение будет применять нескольких правил проверки подписей в рамках одной политики среды выполнения.
12. В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокирование запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокирования параметров подов (pods).
13. В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из выпадающего списка Реестры выберите нужные реестры.
14. В блоке Блокирование Томов (Volumes) с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома (Volumes) укажите точки монтирования томов на хостовой системе.

    Значение в поле Тома (Volumes) должно начинаться с косой черты ("/"), поскольку оно представляет собой путь в операционной системе.

15. Нажмите на кнопку Сохранить.

По умолчанию политика создается в статусе Включено.

[Topic 266505]

Изменение параметров политики среды выполнения

Вы можете изменить параметры политики среды выполнения в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.

Чтобы изменить параметры политики среды выполнения:

1. В разделе Политики → Среда выполнения нажмите на название политики в списке существующих политик среды выполнения.

   Откроется окно изменения параметров политики.

2. Измените название политики.
3. Добавьте или измените описание политики.
4. Внесите изменения в интересующие вас блоки политики:
   • Режим.
   • Область.
   • Исключения.
   • Проверка на соответствие лучшим практикам.
   • Предотвращение запуска контейнеров из несоответствующих требованиям образов.
   • Блокировка незарегистрированных образов.
   • Блокировка системных функций.
   • Ограничение по набору полномочий контейнера.
   • Использование разрешенных реестров.
   • Блокировка Томов (Volumes).
5. Нажмите на кнопку Сохранить.

[Topic 266509]

Удаление политик безопасности

Вы можете удалять политики безопасности, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания. Кроме того, для удаления вам требуются права на управление соответствующими типами политик.

Чтобы удалить политику безопасности:

1. Откройте список настроенных политик сканирования, политик безопасности образов, политик реагирования или политик среды выполнения.
2. В строке с названием политики, которую вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

Если в результате ошибок конфигурации политики безопасности заблокировали работоспособность Kaspersky Security для контейнеров, и вы не можете управлять решением с помощью консоли управления, политики безопасности необходимо удалить вручную.

Чтобы удалить политику безопасности вручную и восстановить работоспособность решения:

1. Выполните команду удаления агентов kube-agent и node-agent в следующем формате:

   kubectl delete deployment kube-agent

   kubectl delete daemonset node-agent

2. Удалите все пользовательские ресурсы (customer resources) в целевом кластере с помощью следующей команды:

   kubectl get crd -o name | grep 'kcssecurityprofiles.securityprobe.kcs.com' | xargs kubectl delete

3. Перезапустите все поды Kaspersky Security для контейнеров и получите доступ к консоли управления.
4. Внесите необходимые изменения в политики безопасности.
5. Установите агентов с использованием инструкции в формате .YAML.

[Topic 265312]

Работа с профилями среды выполнения контейнеров

При реализации политик среды выполнения Kaspersky Security для контейнеров может применять заданные вами правила мониторинга процессов и сети. Для этого в соответствующие политики среды выполнения требуется добавить профили среды выполнения, которые представляют собой списки ограничений для работы контейнеров. Профили образов задают параметры безопасного развертывания образов и безопасного поведения приложений, развернутых из образов. Осуществление действий, закрепленных в профилях, позволяет значительно снизить возможности злоумышленника при проникновении внутрь объекта и повысить уровень защиты при работе контейнеров в среде выполнения.

Ограничения в составе профиля среды выполнения описывают следующие параметры:

• Подлежащие блокировке исполняемые файлы.
• Сетевые ограничения на входящие и исходящие соединения.

Список настроенных профилей отображается в виде таблицы на вкладке Профили среды выполнения в разделе Политики → Среда выполнения. В этом разделе вы также можете выполнять следующие действия:

• Создавать новые профили среды выполнения контейнеров. Окно настройки профиля открывается с помощью кнопки Добавить профиль над списком.
• Изменять параметры профиля, нажав на ссылку в названии профиля среды выполнения.
• Удалять профили среды выполнения.

[Topic 264971]

Создание профиля среды выполнения

Чтобы создать профиль среды выполнения контейнера:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Добавить профиль.

   Откроется окно ввода параметров профиля.

2. Введите название профиля среды выполнения и при необходимости его описание.
3. В блоке Ограничение исполняемых файлов контейнера с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
   • Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
   • Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. При этом можно указать маску *, например, /bin/*, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории.

     Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для /bin/* в исключениях можно указать путь /bin/cat. При этом будет запрещен запуск всех исполняемых файлов из директории /bin/, кроме приложения /bin/cat.

     Пример пути к исполняемым файлам

     Указание прямого пути к бинарным исполняемым файлам:

     /bin/bash

     Указание директории с помощью маски *:

     /bin/*

     В этом примере разрешается запуск всех исполняемым файлов из поддиректорий директории /bin/.

     Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.

4. В блоке Ограничение входящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

5. В блоке Ограничение исходящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

6. Нажмите на кнопку Сохранить.

Созданный профиль среды выполнения отображается в разделе Политики → Среда выполнения → Профили среды выполнения.

[Topic 265052]

Примеры настроенных профилей среды выполнения

В таблице ниже приводятся некоторые часто используемые решением образы и параметры настроенных для них ограничений в профилях среды выполнения.

Образы и настроенные в них параметры

[Topic 264972]

Изменение параметров профиля среды выполнения

Чтобы изменить параметры профиля среды выполнения:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на название профиля в списке существующих профилей среды выполнения контейнеров.
2. В открывшемся окне при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
   • Название профиля среды выполнения.
   • Описание профиля среды выполнения.
   • Ограничение исполняемых файлов контейнера.
   • Ограничение входящих сетевых соединений.
   • Ограничение исходящих сетевых соединений.
3. Нажмите на кнопку Сохранить.

Изменения параметров профиля среды выполнения сразу же применяются к запущенному контейнеру и влияют на его работу.

[Topic 264973]

Удаление профиля среды выполнения

Чтобы удалить профиль среды выполнения контейнера:

1. В таблице настроенных профилей среды выполнения в разделе Политики → Среда выполнения → Профили образов нажмите на значок удаления () в строке с названием профиля, который вы хотите удалить.
2. Подтвердите удаление в открывшемся окне.

[Topic 265760]

Настройка интеграции с модулями проверки подписей образов

Kaspersky Security для контейнеров может осуществлять проверку подлинности и действительности цифровых подписей образов. Чтобы использовать функцию этой проверки, вам требуется настроить интеграцию решения с одним или несколькими внешними приложениями для подписи. Особенности подписания контрольной суммы образа, место хранения подписей и особенности защиты подписей зависят от выбранного вами приложения для подписи. Решение поддерживает два настраиваемых внешних модуля проверки подписей:

• Notary v1 – разработанное Docker приложение, которое используется для обеспечения безопасности контейнеров на различных этапах их жизненного цикла, в том числе создания и последующего хранения подписей.
• Cosign – приложение, предназначенное для создания подписей для контейнеров, проверки подписей и размещения подписанных контейнеров в репозиториях. Приложение разработано в рамках проекта
  Sigstore

  Проект, направленный на разработку и предоставление инструментов и услуг для проверки программного обеспечения при помощи цифровых подписей. В рамках Sigstore также ведется общедоступный реестр, подтверждающий подлинность вносимых в образ изменений.

  .

Вы можете настроить интеграцию с модулем проверки подписей в разделе Администрирование → Интеграции → Модули проверки подписей образов.

[Topic 265766]

Просмотр списка интеграций с модулями проверки подписей

Чтобы открыть список настроенных интеграций с модулями проверки подписей образов,

перейдите в раздел Администрирование → Интеграции → Модули проверки подписей образов.

В списке вы можете выполнять следующие действия:

• Добавлять новые интеграции с модулями проверки подписей. Окно ввода параметров интеграции открывается с помощью кнопки Добавить модуль проверки над списком.
• Просматривать и изменять параметры интеграции с модулем проверки подписей образов. Окно редактирования открывается по ссылке на названии модуля проверки.
• Удалять интеграцию с модулем проверки подписей образов.

[Topic 265764]

Создание интеграции с модулем проверки подписей

Чтобы создать интеграцию с модулем проверки подписей образов:

1. В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на кнопку Добавить модуль проверки.

   Откроется окно ввода параметров интеграции.

2. В блоке Общая информация введите название политики и при необходимости ее описание.
3. В блоке Тип выберите один из следующих модулей проверки подписей:
   • Notary v1.
   • Cosign.
4. В зависимости от выбранного модуля проверки подписей укажите параметры для доступа на сервер:
   • Для Notary v1 укажите следующие параметры:
     • Веб-адрес – полный веб-адрес сервера, где хранятся подписи образов.
     • Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.

       Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.

     • Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
     • Делегирование – перечень владельцев подписи, которые принимают участие в процессе подписания.
     • В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.

       При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.

   • Для Cosign укажите следующие параметры:
     • Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.

       Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.

     • Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
     • В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.

       Для Cosign указываются открытые ключи для алгоритмов ECDSA или RSA, предоставленные ресурсом cosign.pub.

       При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.

     • В блоке Требования к подписи укажите минимально необходимое количество подписей и владельцев подписи, которые обязательно должны подписать образ.
5. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с модулем проверки подписей.

Настроенную интеграцию вы можете использовать в политиках среды выполнения для обеспечения защиты содержания образа.

[Topic 265792]

Просмотр и изменение информации об интеграции с модулем проверки подписей

Чтобы просмотреть и изменить параметры интеграции с модулем проверки подписей образов:

1. В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на ссылку на названии интеграции в списке интеграций с модулем проверки подписей.
2. В открывшемся окне при необходимости в зависимости от выбранного модуля проверки подписей измените следующие параметры интеграции:
   • Для Notary v1 вы можете изменить следующие параметры:
     • Название модуля проверки.
     • Описание.
     • Веб-адрес.
     • Секрет для аутентификации на сервере подписей.
     • Сертификат.
     • Делегирование.
     • Имя ключа.
     • Значение ключа.
   • Для Cosign вы можете изменить следующие параметры:
     • Секрет для аутентификации на сервере подписей.
     • Сертификат.
     • Имя ключа.
     • Значение ключа.
     • Порог подписания.
     • Обязательные владельцы подписи.
3. При необходимости добавьте пары ключей, нажав на кнопку Добавить пару ключей.
4. Нажмите на кнопку Сохранить в верхней части окна.

[Topic 265780]

Удаление интеграции с модулем проверки подписей

Чтобы удалить интеграцию с модулем проверки подписей:

1. Откройте список настроенных интеграций с модулем проверки подписи.
2. В строке с названием интеграции, которую вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

[Topic 250406]

Настройка интеграции со средствами уведомления

Kaspersky Security для контейнеров может уведомлять пользователей о событиях в работе решения в соответствии с параметрами политики реагирования. Чтобы использовать функцию уведомления, вам нужно настроить интеграцию решения с одним или несколькими средствами уведомления.

Kaspersky Security для контейнеров может использовать следующие средства уведомления:

• электронная почта;
• система обмена мгновенными сообщениями Telegram.

[Topic 250407]

Просмотр списка интеграций с электронной почтой

Чтобы открыть список настроенных интеграций с электронной почтой,

перейдите в раздел Администрирование → Интеграции → Уведомления и выберите блок Интеграции с электронной почтой.

В списке вы можете выполнять следующие действия:

• Добавлять новые интеграции с электронной почтой. Окно ввода параметров интеграции открывается с помощью кнопки Добавить над списком.
• Просматривать и изменять параметры интеграции с электронной почтой. Окно редактирования открывается по ссылке на названии интеграции.
• Искать интеграцию с электронной почтой. Для поиска введите название интеграции в поле Поиск.
• Удалять интеграцию с электронной почтой.

[Topic 250408]

Создание интеграции с электронной почтой

Чтобы создать интеграцию с электронной почтой:

1. Выполните одно из следующих действий:
   • В разделе Администрирование → Интеграции → Уведомления в блоке Интеграции с электронной почтой нажмите на кнопку Добавить.
   • В разделе Администрирование → Интеграции → Уведомления выберите блок Интеграции с электронной почтой. В открывшемся окне нажмите на кнопку Добавить, расположенную над таблицей.

   Откроется окно ввода параметров интеграции.

2. Укажите следующие параметры в полях формы:
   • Название интеграции. Это название будет отображаться в параметрах политики реагирования.
   • Имя и пароль учетной записи, которая используется для отправки сообщений.
   • Имя сервера SMTP.
   • Способ шифрования электронной почты.
   • Порт, который использует сервер SMTP.
   • Адрес электронной почты отправителя сообщений.
   • Адреса электронной почты получателей сообщений. Вы можете указать в поле один или несколько адресов.
3. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с электронной почтой.

Пример параметров интеграции с электронной почтой

Настроенную интеграцию вы можете использовать в политиках реагирования.

[Topic 254848]

Просмотр информации об интеграции с электронной почтой

Чтобы просмотреть и изменить интеграцию с электронной почтой:

1. В блоке Интеграции с электронной почтой в разделе Администрирование → Интеграции → Уведомления нажмите на ссылку на названии интеграции в списке интеграций.
2. В открывшемся окне редактирования при необходимости измените следующие параметры интеграции:
   • Название.
   • Имя пользователя.
   • Пароль учетной записи, которая используется для отправки сообщений.
   • Имя сервера SMTP.
   • Способ шифрования электронной почты.
   • Порт, который использует сервер SMTP.
   • Адрес электронной почты отправителя сообщений.
   • Адрес электронной почты получателей сообщений.
3. Нажмите Сохранить.

[Topic 250409]

Просмотр списка интеграций с Telegram

Интеграция с Telegram позволяет настроить публикацию сообщений в чате с ботом Telegram.

Чтобы открыть список настроенных интеграций с Telegram, перейдите в раздел Администрирование → Интеграции → Уведомления и выберите блок Интеграции с Telegram.

В списке вы можете выполнять следующие действия:

• Добавлять новые интеграции с Telegram. Окно ввода параметров интеграции открывается с помощью кнопки Добавить над списком.
• Просматривать и изменять параметры интеграции с Telegram. Окно редактирования открывается по ссылке на названии интеграции.
• Удалять интеграцию с Telegram.

[Topic 250410]

Создание интеграции с Telegram

Чтобы создать интеграцию с Telegram:

1. Выполните одно из следующих действий:
   • В разделе Администрирование → Интеграции → Уведомления в блоке Интеграции с Telegram нажмите на кнопку Добавить.
   • В разделе Администрирование → Интеграции → Уведомления выберите блок Интеграции с Telegram. В открывшемся окне нажмите на кнопку Добавить, расположенную над таблицей.

   Откроется окно ввода параметров интеграции.

2. Укажите следующие параметры в полях формы:
   • Название интеграции. Это название будет отображаться в параметрах политики реагирования.
   • Идентификатор чата, в котором будут публиковаться сообщения. Вы можете получить идентификатор следующим образом:
     1. Напишите первое сообщение боту, который будет публиковать сообщения. Идентификатор чата генерируется при первой отправке сообщения.
     2. Введите в адресной строке браузера:

        https://api.telegram.org/bot<токен>/getUpdates,

        где <токен> – токен бота, который будет публиковать сообщения.

     3. В полученном json-ответе найдите значение "id" из объекта "chat" – это идентификатор чата.

     После изменения настроек видимости истории сообщений для новых участников в чате Telegram меняется идентификатор чата. В таком случае требуется изменить настройки интеграции с Telegram и указать новое значение идентификатора чата.

   • Токен бота, который будет публиковать сообщения. Токен вы получаете в результате создания бота по команде /newbot в боте BotFather. Вы также можете получить токен ранее созданного бота по команде /token.
3. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с Telegram.

Пример параметров интеграции с Telegram

Настроенную интеграцию вы можете использовать в политиках реагирования.

[Topic 254829]

Просмотр и изменение информации об интеграции с Telegram

Чтобы просмотреть и изменить интеграцию с Telegram:

1. В блоке Интеграции с Telegram в разделе Администрирование → Интеграции → Уведомления нажмите на ссылку на названии интеграции в списке интеграций.
2. В открывшемся окне редактирования при необходимости измените следующие параметры интеграции:
   • Название.
   • Идентификатор чата.
   • Токен бота.
3. Нажмите Сохранить.

[Topic 250411]

Удаление интеграции со средством уведомления

Чтобы удалить интеграцию с электронной почтой или с Telegram:

1. Откройте список настроенных интеграций с электронной почтой или с Telegram.
2. В строке с названием интеграции, которую вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

Невозможно удалить интеграцию, которая используется в одной или нескольких политиках реагирования.

[Topic 254129]

Настройка интеграции с LDAP-сервером

Kaspersky Security для контейнеров позволяет подключаться к серверам внешних

Соединение с внешней службой каталогов по протоколу LDAP предоставляет вам возможность выполнять следующие задачи:

• настраивать учетные записи пользователей с учетом данных из внешней службы каталогов для работы с Kaspersky Security для контейнеров;
• соотносить роли пользователей в Kaspersky Security для контейнеров с группами пользователей из Active Directory. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс решения со своими доменными учетными данными и получат доступ к функциональности приложения в соответствии с назначенной ролью.

  Рекомендуется предварительно создать в Active Directory группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе Kaspersky Security для контейнеров.
  В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.

[Topic 262715]

Создание интеграции с LDAP-сервером

Чтобы создать интеграцию с LDAP-сервером:

1. В разделе Администрирование → Интеграции → LDAP нажмите на кнопку Добавить сервер.

   Откроется окно ввода параметров LDAP-сервера.

2. Укажите следующие обязательные параметры в полях формы:
   • Веб-адрес (URL) LDAP-сервера вашей компании.

     Веб-адрес LDAP-сервера указывается следующим образом: ldap://<host>:<port>. Например, ldap://ldap.example.com:389.

   • Базовое уникальное имя – в контексте именования LDAP это имя, которое уникальным образом идентифицирует и описывает запись сервера каталогов LDAP.

     Например, базовым уникальным именем для example.com является dc=example, dc=com.

   • Фильтр для авторизации пользователя – в контексте поиска LDAP это фильтр, который формирует запрос на авторизацию пользователя и указывает, с какого места в дереве каталогов Active Directory следует начать поиск пользователя.

     Фильтр для авторизации пользователя требуется указать следующим образом: sAMAccountName=%s,ou=Accounts.

   • Фильтр группы для определения параметров поиска группы в Active Directory.
   • Фильтр пользователя для определения параметров поиска пользователя в Active Directory.
3. В подразделе Основные настройки укажите значения следующих атрибутов и классов объектов:
   • Класс объекта – тип объекта для поиска.
   • Класс организационной единицы – класс объекта LDAP, который определяет объект как контейнерный объект внутри домена.
   • Класс пользователей – класс объекта LDAP, который определяет объект как пользователя.
   • Название организационной единицы – атрибут группы, определяющий ее название.
   • Класс группы – класс, который определяет объект LDAP как группу.
   • Уникальное имя – уникальное отличительное имя записи.
4. В подразделе Настройки пользователя укажите значения следующих атрибутов объектов:
   • Имя пользователя.
   • Фамилия пользователя.
   • Название группы.
   • Логин пользователя.

     При авторизации с учетной записью пользователя логин пользователя может потребоваться указывать вместе с realm в таком формате: <логин пользователя@realm>, например, user@example.com.

   • Пароль пользователя.
   • Член группы.
   • Адрес электронной почты пользователя.
   • Группы, в которые входит пользователь.
5. Нажмите на кнопку Сохранить над формой данных для интеграции с LDAP-сервером.
6. Чтобы проверить корректность заполнения значений, нажмите на кнопку Проверить соединение над формой данных для интеграции с LDAP-сервером.

   Kaspersky Security для контейнеров отобразит уведомление о подключении к LDAP-серверу или о невозможности его установить.

Пример заполнения полей при настройке интеграции с LDAP-сервером

Если сертификат LDAP-сервера меняется, требуется перенастроить интеграцию.

Настроенную интеграцию вы можете использовать при создании и назначении ролей пользователей.

[Topic 254155]

Просмотр и изменение информации об интеграции с LDAP-сервером

Чтобы просмотреть подключение LDAP-сервера,

перейдите в раздел Администрирование → Интеграции → LDAP.

Kaspersky Security для контейнеров отображает веб-адрес подключенного LDAP-сервера над кнопками Проверить соединение, Изменить настройки и Удалить интеграцию.

Чтобы изменить параметры соединения с LDAP-сервером,

в разделе Администрирование → Интеграции → LDAP нажмите на кнопку Изменить параметры.

Kaspersky Security для контейнеров откроет страницу с формой данных для интеграции с LDAP-сервером.

[Topic 254159]

Проверка соединения с LDAP-сервером

Чтобы проверить соединение с LDAP-сервером,

1. Перейдите в раздел Администрирование → Интеграции → LDAP.
2. Выполните одно из следующих действий:
   • Если интеграция с LDAP-сервером создана, нажмите на кнопку Проверить соединение.
   • Если вы создаете интеграцию с LDAP-сервером, нажмите на кнопку Проверить соединение над формой данных для интеграции с LDAP-сервером.

Kaspersky Security для контейнеров отобразит уведомление о соединении с LDAP-сервером или о невозможности его установить.

[Topic 254187]

Получение доступа к группе Active Directory

После интеграции с LDAP-сервером вы можете указать группу Active Directory для каждой роли Kaspersky Security для контейнеров. Пользователи из этой группы, пройдя авторизацию с помощью своих учетных данных, получат доступ к функциональности решения в соответствии с указанной ролью.

[Topic 265983]

Пользователи, роли и области применения

В этом разделе описана работа с пользователями и ролями пользователей и приведены инструкции по их созданию, изменению и удалению. Также в разделе представлены возможности разграничения доступа для ролей пользователей с помощью областей применения.

[Topic 250413]

Управление пользователями

Доступ к Kaspersky Security для контейнеров могут иметь несколько пользователей. Для каждого пользователя создается учетная запись и присваивается одна или несколько ролей пользователя.

Список пользователей Kaspersky Security для контейнеров отображается в таблице в разделе Администрирование → Управление доступом → Пользователи.

Вы можете выполнять следующие действия:

• Добавлять пользователей.
• Просматривать и изменять параметры учетных записей пользователей.
• Сбрасывать пароль для выбранных учетных записей.
• Удалять пользователей.
• Сортировать значения в списке пользователей, нажав значок в соответствующем столбце (отображаемое имя пользователя, имя пользователя, назначенная роль). Сортировка осуществляется в прямом и обратном алфавитном порядке.
• Осуществлять поиск по имени пользователя с помощью поля Поиск по имени пользователя над таблицей.

[Topic 251976]

О ролях пользователей

Роль пользователя в Kaspersky Security для контейнеров представляет собой совокупность прав на выполнение определенных действий в веб-интерфейсе решения. В зависимости от роли пользователи имеют доступ к разным разделам и функциональным возможностям.

В Kaspersky Security для контейнеров используются системные роли со сформированными наборами прав доступа для выполнения типичных задач по защите контейнерных сред, а также пользовательские роли.

При первичной установке решения предлагаются следующие системные роли:

• Администратор Kaspersky Security для контейнеров (Administrator of Kaspersky Container Security) – эта роль предназначена для пользователей, отвечающих за развертывание и сопровождение инфраструктуры и системного программного обеспечения, необходимых для работы решения (например, операционные системы, сервера приложений, базы данных). Эти пользователи управляют учетными записями пользователей, ролями и доступами в Kaspersky Security для контейнеров.

  В веб-интерфейсе эта роль обозначается аббревиатурой KCSADM.

• Администратор информационной безопасности (ИБ) (IS Administrator) – эта роль предназначена для пользователей, отвечающих за создание и управление учетными записями, ролями и доступами пользователей, внесение изменений в настройки, подключение публичных реестров образов, агентов и средств уведомления, а также настройку политик безопасности.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISADM.

• Аудитор ИБ (IS auditor) – эта роль предназначена для пользователей, осуществляющих просмотр ресурсов и списка пользователей решения, а также контроль результатов сканирования и проверок на соответствие стандартам.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISAUD.

• Сотрудник ИБ (IS officer) – эта роль предназначена для пользователей, осуществляющих просмотр и управление политиками безопасности, подключение публичных реестров образов, а также просмотр результатов анализа контейнеров сред выполнения проектов, в которых такие пользователи принимают непосредственное участие.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISOFF.

• Разработчик (Developer) – эта роль предназначена для пользователей, осуществляющих проверку на соответствие стандартам, просмотр результатов сканирования образов из реестров и CI/CD, ресурсов кластера и принятых рисков.

  В веб-интерфейсе эта роль обозначается аббревиатурой DEV.

Вы можете назначать системные роли учетным записям пользователей при создании или изменении учетных записей.

Пользователю могут назначаться несколько ролей пользователя.

Если необходимость в какой-либо системной роли отсутствует, вы можете ее удалить.

Вы не можете удалить последнюю действующую системную роль с правами управления другими ролями.

Если имеющихся системных ролей недостаточно для составления набора прав доступа с требуемыми свойствами, вы можете создать собственные уникальные наборы прав в виде пользовательских ролей.

При создании пользовательских ролей необходимо продумать состав набора прав доступа к взаимосвязанным функциональным возможностям, например:

• Для настройки параметров и просмотра политик реагирования требуется право на просмотр интеграций с системами уведомлений. Если такое право не предоставлено, при настройке политики реагирования Kaspersky Security для контейнеров сообщит об ошибке.
• Права на управление политиками реагирования нужно предоставлять вместе с правами на управление уведомлениями, иначе вы не сможете в настройках политики выбрать средство уведомления.
• Для создания пользователя требуется право на просмотр и управление ролями. Если такое право не предоставлено, созданный пользователь будет видеть только информационную панель.
• Права на управление пользователями нужно предоставлять вместе с правами на управление ролями, иначе вы не сможете назначить роль при создании пользователя.

Вы можете назначать пользовательские роли учетным записям пользователей так же, как и системные роли. Кроме того, вы можете изменять параметры пользовательских ролей и удалять пользовательские роли.

При назначении ролям областей применения необходимо учитывать, что для реализации политики безопасности в рамках определенной области применения требуется назначить эту область применения одной из ваших ролей.

Если вы осуществили интеграцию решения с LDAP-сервером, то Kaspersky Security для контейнеров также принимает и отображает роли и группы пользователей из службы каталогов Active Directory.

[Topic 266510]

Действия в рамках системных ролей

В таблице ниже перечислены основные действия, доступные пользователям с системными ролями в веб-интерфейсе Kaspersky Security для контейнеров после установки решения.

Роли пользователей и доступные им действия

[Topic 266512]

Отображение списка ролей

Kaspersky Security для контейнеров отображает список действующих ролей в разделе Администрирование → Управление доступом → Роли.

В таблице приводятся все действующие системные и пользовательские роли с указанием их идентификатора, названия и количества пользователей, которым роли назначены. Если вы настроили интеграцию с LDAP, в таблице также указываются группы пользователей из Active Directory, соотнесенные с ролями пользователей Kaspersky Security для контейнеров.

[Topic 266001]

Об областях применения

Область применения в Kaspersky Security для контейнеров представляет собой перечень ресурсов, который формируется в зависимости от целей использования решения, например: конкретный кластер, несколько внешних реестров или определенные пространства имен.

Области применения используются в следующих целях:

• Для разграничения доступа к ресурсам, например, для мониторинга работы кластеров, реестров или пространств имен.

  Такое разграничение доступа осуществляется с помощью назначения области применения при создании области применения или изменении ее параметров.

• Для разграничения объектов, к которым применяются политики и проверки.

  Такое разграничение объектов осуществляется с помощью назначения области применения при создании политик безопасности или изменении их параметров.

В Kaspersky Security для контейнеров вы можете создать собственные области применения или назначить пользователям установленную по умолчанию глобальную область применения (default scope).

Глобальная область применения включает в себя доступ ко всем ресурсам решения. Эта область применения создается по умолчанию при установке Kaspersky Security для контейнеров.

Вы не можете изменить параметры глобальной области применения и удалить ее.

Доступ к глобальной области применения предоставляется только пользователю, которому дали соответствующие права. Для назначения глобальной области применения другим пользователям и ролям вам также необходимо иметь права на управление глобальной областью применения.

Если глобальная область применения назначается политике, эта политика будет применяться ко всем ресурсам и выполняться во всех средах.

[Topic 266058]

Области применения и исполнение политик безопасности

В Kaspersky Security для контейнеров области применения указываются для всех политик безопасности. Чтобы обеспечить проверку всех необходимых ресурсов, каждой политике могут быть назначены одна или несколько областей применения. При этом одна и та же область применения может быть указана в нескольких политиках.

Вне зависимости от количества реализуемых в области применения в отношении какого-либо объекта политик (например, при сканировании образа или проверке кластера в среде выполнения) выполняются все политики безопасности.

При одновременном выполнении нескольких политик безопасности и нескольких областей применения действуют следующие правила:

• Для политик сканирования: сканирование проводится с использованием совокупного перечня параметров, полученного при объединении всех задействованных в рамках области применения политик сканирования.
• Для политик безопасности образов: при сканировании образов применяются все действующие в отношении проверяемых ресурсов политики с учетом указанных в них областей применения.
• Для политик реагирования: уведомление пользователя осуществляется при наступлении событий и с использованием средств уведомления, которые указаны во всех политиках реагирования, применимых к ресурсам, указанным в назначенных областях применения.
• Для политик среды выполнения: контролируется и при необходимости блокируется запуск контейнеров в среде выполнения в соответствии со всеми назначенными области применения политиками.

[Topic 266083]

Переключение между областями применения

За одной ролью в Kaspersky Security для контейнеров может быть закреплено несколько областей применения. Вы можете просмотреть список доступных вам областей применения или переключить область применения, чтобы получить доступ к ресурсам, открытым для работы в другой области применения.

При переключении области применения необходимо учитывать следующее:

• Если вы выбираете область применения с ресурсами по реестрам, в разделе Ресурсы → Активы → Кластеры Kaspersky Security для контейнеров не отображает список кластеров, пространств имен и подов. Визуальное представление связей между ресурсами будет отображено полностью, но вы не сможете просмотреть информацию об объекте, находящемся вне доступной вам области применения.
• Если вы выбираете область применения с ресурсами по кластерам, в разделе Ресурсы → Активы → Реестры Kaspersky Security для контейнеров отображает список образов, с которых запущены в работу контейнеры в кластерах.
• В разделе Сканеры вам доступны для просмотра списки всех сканеров и заданий сканеров. При этом вы не сможете просмотреть информацию об объекте сканирования, если он не входит в доступную вам область применения.
• В разделе Соответствие стандартам → Отраслевой стандарт Kubernetes Kaspersky Security для контейнеров отображает список всех узлов в составе кластеров из области применения независимо от уровня детализации кластера в области применения. При этом вы не сможете просмотреть информацию об узле кластера, если он не входит в доступную вам область применения.
• В разделе Политики Kaspersky Security для контейнеров отображает следующее:
  1. Все политики, в которых хотя бы одна роль автора совпадает с вашей ролью.
  2. Все политики, в которых хотя бы одна область применения совпадает с выбранной вами областью применения.
  3. Все политики, которые привязаны к областям применения, назначенным вашим ролям. При этом вы не можете изменять параметры таких политик и удалять их.

Чтобы переключить область применения:

1. Перейдите в один из в следующих разделов:
   • Ресурсы → Активы → Кластеры.
   • Ресурсы → Активы → Реестры.
   • Соответствие стандартам → Отраслевой стандарт Kubernetes.
   • Подразделы раздела Политики: Сканирование, Безопасность образов, Реагирование или Среда выполнения.
2. В раскрывающемся списке доступных областей применения в правой верхней части окна выберите необходимую область применения.

   Вы также можете активировать реализацию всех областей применения, выбрав в списке Все.

[Topic 266008]

Добавление пользователей, ролей и областей применения

Чтобы добавить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи нажмите на кнопку Добавить пользователя над таблицей со списком пользователей.
2. В открывшемся окне укажите следующие параметры:
   • Имя пользователя – уникальное значение, которое необходимо присвоить пользователю для его идентификации Kaspersky Security для контейнеров.

     Имя пользователя может включать в себя только буквы латинского алфавита и цифры. Минимальная длина имени пользователя – 4 знака, максимальная – 254 знаков.

   • Отображаемое имя пользователя (необязательно) – значение, которое показывается в веб-интерфейсе решения. Если этот параметр не указан, в веб-интерфейсе отображается имя пользователя.
   • Адрес электронной почты (необязательно).
3. Введите пароль в поле Пароль.

   К паролю предъявляются следующие требования:

   • Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
   • Минимальная длина пароля – 6 знаков, максимальная – 72 знака. По умолчанию длина пароля составляет 8 знаков.
4. Подтвердите указанный пароль в поле Подтвердить пароль.
5. Установите флажок, если пользователю необходимо сменить пароль при следующем запуске решения.
6. Назначьте роль пользователю, установив флажок для соответствующей роли в списке доступных ролей.

   Назначение роли не является обязательным условием для создания пользователя. Но без указания роли новый пользователь не сможет взаимодействовать с Kaspersky Security для контейнеров.

7. Нажмите Добавить.

Для создания пользователя вам должна быть назначена роль с правами на просмотр и настройку параметров. При отсутствии у вас таких прав созданный пользователь сможет видеть только главную страницу решения.

Чтобы добавить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли нажмите на кнопку Добавить роль над таблицей со списком ролей.
2. В открывшемся окне укажите следующие значения:
   • Идентификатор роли – уникальное значение, которое необходимо присвоить роли для ее идентификации Kaspersky Security для контейнеров.

     Идентификатор роли может включать в себя заглавные буквы латинского алфавита и цифры. В состав идентификатора роли не могут входить специальные символы и пробелы.

   • Название роли – значение, которое отображается в веб-интерфейсе решения.
   • Описание роли (необязательно).
   • Область применения – параметр, который применяется для разграничения доступа к ресурсам.
3. В поле Сопоставление данных Active Directory укажите группы Active Directory, в которые входит пользователь.
4. Установите флажки напротив прав, которые будут доступны для создаваемой роли.
5. Нажмите Добавить.

Чтобы добавить область применения:

1. В разделе Администрирование → Управление доступом → Области применения нажмите на кнопку Добавить область применения над таблицей со списком областей применения.
2. В открывшемся окне укажите название и, если требуется, описание области применения.
3. В блоке Ресурсы выберите ресурсы для области применения:
   • Нажмите на кнопку Добавить ресурсы по реестрам и в раскрывающемся списке выберите реестры для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные репозитории и образы из этих репозиториев.
   • Нажмите на кнопку Добавить ресурсы по кластерам и в раскрывающемся списке выберите оркестраторы для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные кластеры, пространства имен и образы, с которых разворачиваются контейнеры в кластерах.

   Требуется указать хотя бы один ресурс, к мониторингу которого предоставляется доступ.

4. Нажмите Включить объекты в область применения.
5. Сохраните область применения, нажав на кнопку Сохранить.

[Topic 254462]

Сброс пароля для учетных записей пользователей

Чтобы сбросить пароль для учетной записи пользователя,

1. Перейдите в раздел Администрирование → Управление доступом → Пользователи.
2. Выполните одно из следующих действий:
   • В таблице со списком пользователей выберите пользователя, установив флажок в строке учетной записи, и нажмите на ссылку Сбросить пароль над таблицей.
   • В строке учетной записи откройте меню () и выберите Сбросить пароль.

[Topic 266123]

Изменение параметров пользователей, ролей и областей применения

Чтобы изменить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи нажмите на имя пользователя в таблице со списком пользователей.
2. В открывшемся окне внесите необходимые изменения.

   Если вы вносите изменения в учетную запись пользователя с правами администратора, не удаляйте все роли, так как это приведет к потере административного доступа к решению.

3. Нажмите Сохранить.

Чтобы изменить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли нажмите на идентификатор роли в столбце Идентификатор роли таблицы со списком ролей.
2. В открывшемся окне внесите необходимые изменения.
3. Нажмите Сохранить.

   Если вы вносите изменения в роль, после сохранения изменений требуется повторная авторизация всех пользователей, которым назначена эта роль.

   Вы не можете изменить роль, если она является последней ролью с правами на управление учетными записями пользователей, ролями пользователей или глобальной областью применения.

Чтобы изменить область применения:

1. В разделе Администрирование → Управление доступом → Области применения нажмите на название области применения в столбце Название области применения таблицы со списком областей применения.
2. В открывшемся окне внесите необходимые изменения.
3. Нажмите Сохранить.

[Topic 266056]

Удаление пользователей, ролей и областей применения

Чтобы удалить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи выполните одно из следующих действий:
   • Выберите пользователя, установив флажок в строке с учетной записью, и нажмите на ссылку Удалить над таблицей со списком пользователей.

     Вы можете выбрать одну или несколько учетных записей пользователя.

   • В строке учетной записи откройте меню () и выберите Удалить пользователя.
2. В открывшемся окне подтвердите удаление, нажав Удалить.

   Вы не можете удалить учетную запись пользователя, под которой авторизовались в Kaspersky Security для контейнеров.

Чтобы удалить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли в строке роли в таблице со списком ролей нажмите на значок удаления ().
2. В открывшемся окне подтвердите удаление, нажав Удалить.

Вы не можете удалить последнюю действующую системную роль с правами управления другими учетными записями пользователей, ролями пользователей или глобальной областью применения.
Вы также не можете удалить роль, если она назначена какому-либо пользователю.

Чтобы удалить область применения:

1. В разделе Администрирование → Управление доступом → Области применения в строке роли в таблице со списком областей применения нажмите на значок удаления ().
2. В открывшемся окне подтвердите удаление, нажав Удалить.

   Вы не можете удалить глобальную область применения (default scope).
   Вы также не можете удалить область применения, если она назначена хотя бы одной роли пользователя.

[Topic 255363]

Журнал событий безопасности

В разделе Администрирование → События Kaspersky Security для контейнеров отображает произошедшие события, которые могут быть использованы в информационных целях, для отслеживания происходящих процессов, для анализа угроз безопасности и определения причин сбоев в работе решения.

В Kaspersky Security для контейнеров представлены события следующих типов:

• События аудита. В эту группу событий входят данные учета действий пользователя, например, информация о производимых настройках решения, аутентификациях пользователя, изменениях в группах, изменении и удалении информации внутри решения.
• Результаты работы решения. К таким событиям относятся, например, сигналы о срабатывании политики реагирования.
• Записи данных о работе внутренних приложений и служб решения.

Kaspersky Security для контейнеров отображает следующие категории событий безопасности:

• Администрирование – фиксируются все события, связанные с администрированием решения.
• Политики (политики сканирования, политики безопасности образов, политики реагирования, политики среды выполнения) – регистрируются события, связанные с соответствием или несоответствием образа применимым политикам.
• Вредоносное ПО – записываются события, которые происходят при обнаружении вредоносного ПО во время сканирования образов и узлов (nodes).
• Конфиденциальные данные – фиксируются события, связанные с обнаружением конфиденциальных данных во время сканирования (например, проверенные образы, функции, узлы).
• Несоответствие требованиям – регистрируются следующие события:
  • Обнаружение не соответствующих требованиям образов.
  • Не соответствующие требованиям функции и их реализация в среде выполнения.
  • Не соответствующие требованиям узлы и их действия в среде выполнения.

Список событий безопасности отображается за конкретный период. Вы можете выбрать один из представленных вариантов или задать свой временной период. Для любого выбранного вами периода отсчет времени начинается с текущего дня. По умолчанию отображаются события за неделю.

Kaspersky Security для контейнеров отображает события, произошедшие в рамках проверок, в форме таблицы по следующим компонентам:

• Администрирование.
• Обнаружения.
• CI/CD.
• Политики.
• Ресурсы.
• Среда выполнения.
• Сканеры.

В таблице для каждого события указываются дата и время наступления, IP-адрес пользователя, описание и статус. Для некоторых событий, например, событий из категорий Администрирование, Вредоносное ПО и Конфиденциальные данные, приводится имя пользователя. Для Обнаружений дополнительно указывается уровень критичности угрозы безопасности. Для событий по компоненту Сканеры также фиксируются генерируемые решением идентификаторы и статус выполнения заданий на сканирование. Для Среды выполнения указываются режим (Аудит или Блокирование), кластер и развертываемый под (pod).

Журнал событий безопасности Kaspersky Security для контейнеров ведется и хранится в PostgreSQL и не имеет средств защиты данных.

[Topic 255365]

Экспорт событий в SIEM-системы

Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в

Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:

CEF_PROTOCOL=tcp

CEF_HOST=<ip address>

CEF_PORT=<port>

Передаваемое сообщение состоит из следующих компонентов:

1. Заголовок
   Syslog

   Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX и GNU/Linux.

   , в котором указывается дата, время и имя хост-узла.
2. Префикс и номер версии CEF.
3. Поставщик устройства.
4. Название решения.
5. Версия решения.
6. Генерируемый решением уникальный код типа события.
7. Описание события.
8. Оценка критичности события.
9. Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.

Пример сообщения, передаваемого в SIEM-систему

[Topic 265971]

Резервное копирование и восстановление данных

Для резервного копирования базы данных PostgreSQL и восстановления данных можно применять механизмы PostgreSQL. Вы можете использовать их для базы данных PostgreSQL в составе Kaspersky Security для контейнеров или для уже существующей у вас базы данных PostgreSQL.

Создание резервных копий базы данных осуществляется с помощью утилиты pg_dump. Резервная копия включает в себя все основные параметры и объекты базы данных PostgreSQL, даже если база параллельно используется. Имея резервную копию, можно восстановить работу базы данных в кратчайшие сроки.

В случае отсутствия резервной копии сбой может привести к безвозвратной потере информации, которая хранится в базе данных PostgreSQL.

Утилита pg_dump позволяет выгрузить базу данных PostgreSQL в виде скрипта или в одном из архивных форматов, например .TAR.

Пример использования утилиты pg_dump

Для восстановления базы данных PostgreSQL из резервной копии, можно воспользоваться утилитой pg_restore. Она предназначена для восстановления базы данных PostgreSQL из архивного файла, созданного утилитой pg_dump. Утилита pg_restore выполняет команды, необходимые для восстановления того состояния базы данных, в котором база была сохранена.

Пример использования утилиты pg_restore

[Topic 250760]

Обращение в Службу технической поддержки

Если вы не нашли решения вашей проблемы в документации или других источниках информации о программе, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании программы.

"Лаборатория Касперского" предоставляет поддержку этой программы в течение ее жизненного цикла (см. страницу жизненного цикла программ). Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.

Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:

• Посетить сайт Службы технической поддержки.
• Отправить запрос в Службу технической поддержки "Лаборатории Касперского" с портала Kaspersky CompanyAccount.

[Topic 250761]

Источники информации о программе

Страница Kaspersky Security для контейнеров на веб-сайте "Лаборатории Касперского"

На странице Kaspersky Security для контейнеров вы можете получить общую информацию о программе, ее возможностях и особенностях работы.

Обсуждение программ "Лаборатории Касперского" на Форуме

Если ваш вопрос не требует срочного ответа, вы можете обсудить его со специалистами "Лаборатории Касперского" и c другими пользователями на нашем Форуме.

На Форуме вы можете просматривать опубликованные темы, добавлять свои комментарии, создавать новые темы для обсуждения.

[Topic 267648]

Ограничения и предупреждения

Kaspersky Security для контейнеров 1.1 имеет ряд некритичных для работы приложения ограничений:

• Если вам необходимо выполнять много проверок образов на уязвимости, то мы рекомендуем вам отключить в политике сканирования настройку сканирования на ошибки конфигурации, так как эта операция может кратно увеличить затраты ресурсов, особенно при работе с образами больших размеров.
• Отмечается некорректная работа Kaspersky Security для контейнеров при попытке одновременного запуска с другими приложениями для обеспечения контейнерной безопасности. Если процессы другого используемого приложения пытаются вмешиваться и/или встраиваться в работу контейнеров, компонент Защита от файловых угроз может функционировать неправильно. Вы можете временно выключить компонент Защита от файловых угроз в политиках сканирования.

  Мы рекомендуем не использовать Kaspersky Security для контейнеров одновременно с другими приложениями для обеспечения контейнерной безопасности.

• Для использования сетевых политик, поставляемых с Kaspersky Security для контейнеров, необходимо убедиться в следующем:
  1. В пакете Helm Chart для развертывания и установки компонентов решения для параметра networkPolicies.create указано значение true (значение по умолчанию).
  2. Сетевой плагин в кластере, в котором развернуто решение, поддерживает сетевые политики Kubernetes. Если сетевые политики не поддерживаются, Kaspersky Security для контейнеров создаст объекты NetworkPolicies, но они не будут применяться и фильтровать траффик.

     Если объекты NetworkPolicies отсутствуют или не применяются, защищенность решения снижается.

• Kaspersky Security для контейнеров 1.1 поддерживает корректное сканирование только образов архитектуры linux/amd64. При проверке мульти-платформенных образов сканер автоматически будет пытаться применить вариант архитектуры платформы linux/amd64.

[Topic 90]

Глоссарий

CI/CD

Continuous Integration/Continuous Delivery – комбинация непрерывной интеграции и непрерывного развертывания программного обеспечения в процессе разработки.

CNI

Container Networking Interface – проект, посвященный стандартизированному управлению сетевыми интерфейсами в Linux-контейнерах и гибкому расширению их сетевых возможностей. Плагины CNI обеспечивают включение сетевого интерфейса в пространство имен контейнера и осуществляют все необходимые настройки на хост-узле.

CRI

Container Runtime Interface — это интерфейс среды выполнения контейнеров, который оркестратор использует для работы с различными средами выполнения без необходимости перекомпиляции компонентов кластера. Интерфейс CRI определяет основной протокол, на базе которого осуществляется коммуникация между компонентами кластера и средой выполнения контейнеров.

CSI

Container Storage Interface – простой унифицированный интерфейс, который определяет взаимодействие системы хранения данных и платформы оркестрации контейнеров.

CVE

Common Vulnerabilities and Exposures – база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.

CVSS

Common Vulnerability Scoring System – открытый стандарт оценки уязвимостей. В CVSS закреплен набор метрик и формул для оценки критичности уязвимости со значениями от 0 (мин.) до 10 (макс.). CVSS позволяет распределить усилия по реагированию на уязвимости в зависимости от их критичности.

CycloneDX

CycloneDX – это стандарт SBOM, разработанный для контекстов безопасности приложений и анализа их компонентов, обеспечивающий оценку наличия и состояния всех компонентов программного обеспечения.

IaC

Infrastructure as a Code – подход для управления и описания инфраструктуры через конфигурационные файлы, а не через ручное редактирование конфигураций на серверах.

Kaspersky OpenTIP

Находящаяся в открытом доступе информационная система Kaspersky Threat Intelligence Portal АО "Лаборатория Касперского". Содержит информацию о киберугрозах, безопасных объектах и связях между ними.

Kaspersky TIP

Предоставляемая в рамках премиум-доступа информационная система Kaspersky Threat Intelligence Portal АО "Лаборатория Касперского". Предлагает дополнительные инструменты для анализа киберугроз, включая поиск угроз и Kaspersky Cloud Sandbox, аналитические отчеты об APT-угрозах, ПО для финансовых преступлений и угрозах промышленной кибербезопасности, а также цифровой активности конкретной организации.

LDAP

Lightweight Directory Access Protocol – облегченный клиент-серверный протокол доступа к службам каталогов.

NVD

National Vulnerability Database – национальная база данных уязвимостей. Американский правительственный репозиторий данных управления уязвимостями на основе стандартов, представленных с использованием протокола автоматизации содержимого безопасности.

PCI SSC

PCI Security Standards Council – открытое глобальное сообщество, задачи которого включают непрерывное развитие, совершенствование, хранение, распространение и внедрение стандартов безопасности для защиты данных банковских карт.

SBOM

Software Bill of Materials (спецификация программного обеспечения) – это перечень всех компонентов объекта, а также описание зависимости компонентов, способы их проверки и подтверждения подлинности источника.

SIEM

Security information and event management (управление событиями и информацией о безопасности) – класс приложений, предназначенных для получения и анализа информации о событиях безопасности.

Sigstore

Проект, направленный на разработку и предоставление инструментов и услуг для проверки программного обеспечения при помощи цифровых подписей. В рамках Sigstore также ведется общедоступный реестр, подтверждающий подлинность вносимых в образ изменений.

SPDX

Software Package Data Exchange (обмен данными программного пакета) – это открытый международный стандарт безопасности, лицензионного соответствия и других артефактов цепочки поставок программного обеспечения, который используется для передачи информации о происхождении, лицензировании и безопасности программных пакетов и их зависимостей.

Syslog

Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX и GNU/Linux.

БДУ

Банк данных угроз безопасности информации – база данных угроз информационной безопасности, разработанная ФСТЭК.

Динамический контроллер доступа

Настраиваемый контроллер для доступа в Kubernetes, который помогает применять политики и поддерживает систему управления и контроля.

Пайплайн (pipeline)

Последовательность этапов непрерывной разработки и непрерывной доставки ПО (CI/CD), выполняемых в последовательности один за другим.

Под (Pod)

Абстрактный объект Kubernetes, группа из одного или нескольких контейнеров приложений, включающая общие используемые хранилища (тома), сетевые параметры и информацию по запуску приложений. Под является единицей управления для Kubernetes.

Пространство имен (namespace)

Виртуальный кластер внутри кластера Kubernetes, позволяет разграничить ресурсы кластера. В каждом пространстве имен есть свои ресурсы: сервисы, поды, развертывания. В одном пространстве имен они должны иметь уникальные названия, но эти же названия допустимо использовать в других пространствах.

РЕД ОС

Российская операционная система общего назначения. В РЕД ОС обеспечивается поиск уязвимостей, которые могут представлять угрозу для функционирования серверов и рабочих станций.

Узел (node)

Физическая или виртуальная машины, на которой развертываются и запускаются контейнеры с приложениями. Совокупность узлов образует кластер Kubernetes. На кластере выделяются главный узел (master node), который управляет кластером, и рабочие узлы (worker nodes), на которых работают контейнеры.

ФСТЭК

Федеральная служба по техническому и экспортному контролю.

Эксплойт

Программный код, который использует какую-либо уязвимость в системе или программном обеспечении. Эксплойты часто используются для установки вредоносного программного обеспечения на компьютере без ведома пользователя.

[Topic 255979]

Информация о стороннем коде

Информация о стороннем коде содержится в файле legal_notices.txt, который можно скачать в консоли управления по ссылке Условия лицензионного соглашения Kaspersky Security для контейнеров в разделе Параметры → О платформе.

[Topic 250415]

Уведомления о товарных знаках

Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.

Adobe является либо зарегистрированным товарным знаком, либо товарным знаком компании Adobe в США и/или других странах.

Amazon и AWS являются товарными знаками Amazon.com, Inc. или аффилированных лиц компании.

Apple и Safari – товарные знаки Apple Inc.

Ubuntu является зарегистрированным товарным знаком Canonical Ltd.

ClamAV является зарегистрированным товарным знаком или товарным знаком Cisco Systems, Inc. и/или ее аффилированных компаний в США и в определенных других странах.

Словесный знак Grafana и логотип Grafana являются зарегистрированными товарными знаками/знаками обслуживания или товарными знаками/знаками обслуживания Coding Instinct AB в США и других странах и используются с разрешения Coding Instinct. Мы не являемся аффилированной, поддерживаемой или спонсируемой со стороны Coding Instinct или сообщества Grafana компанией.

Docker и логотип Docker являются товарными знаками или зарегистрированными товарными знаками компании Docker, Inc. в США и/или других странах. Docker, Inc. и другие стороны могут также иметь права на товарные знаки, описанные другими терминами, используемыми в настоящем документе.

Dropbox – товарный знак Dropbox, Inc.

Google, Google Chrome, Chromium и Nexus – товарные знаки Google LLC.

S3 – товарный знак International Business Machines Corporation, зарегистрированный во многих юрисдикциях по всему миру.

LinkedIn – товарный знак или зарегистрированный в США и/или других странах товарный знак LinkedIn Corporation и ее аффилированных компаний.

Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.

CVE – зарегистрированный товарный знак MITRE Corporation.

OpenAPI – товарный знак компании The Linux Foundation.

Helm, Kubernetes является зарегистрированным товарным знаком The Linux Foundation в США и других странах.

Microsoft, Active Directory, Excel, Microsoft Edge, Outlook, Windows и Windows Server являются товарными знаками группы компаний Microsoft.

CVE – зарегистрированный товарный знак MITRE Corporation.

Mozilla и Firefox являются товарными знаками Mozilla Foundation в США и других странах.

Oracle – зарегистрированный товарный знак компании Oracle и/или аффилированных компаний.

Red Hat, Red Hat Enterprise Linux, CentOS – товарные знаки или зарегистрированные в США и других странах товарные знаки Red Hat, Inc. или дочерних компаний.

OpenShift является зарегистрированным товарным знаком Red Hat, Inc. в США и других странах.

Debian – зарегистрированный товарный знак Software in the Public Interest, Inc.

Sonatype Nexus являются товарными знаками Sonatype, Inc.

SUSE – зарегистрированный в США и других странах товарный знак SUSE LLC.

TWITCH является товарным знаком Twitch Interactive, Inc. или его аффилированных лиц.

UNIX – товарный знак, зарегистрированный в США и других странах, использование лицензировано X/Open Company Limited.

ClickHouse – товарный знак компании YANDEX LLC.