Содержание
- Справка Kaspersky Security для контейнеров 1.2
- О Платформе контейнерной безопасности Kaspersky Security для контейнеров
- Архитектура решения
- Типовые схемы развертывания
- Подготовка к установке решения
- Установка решения
- Удаление решения
- Обновление решения
- Интерфейс решения
- Лицензирование решения
- Предоставление данных
- Работа с кластерами
- Просмотр списка кластеров
- Пространства имен в кластере
- Поды в кластере
- Визуализация ресурсов кластера
- Настройка интеграции с внешними реестрами образов
- Работа с образами из реестров
- Интеграция с CI/CD
- Проверка образов в процессах CI/CD
- Настройка интеграции с GitLab CI/CD
- Настройка интеграции с Jenkins CI/CD
- Настройка интеграции с TeamCity CI/CD
- Определение пути до образов контейнеров
- Контроль целостности и происхождения образов
- Запуск сканера в режиме SBOM
- Получение результатов сканирования в форматах .JSON и .HTML
- Запуск сканера в режиме lite SBOM
- Работа с рисками
- Проверка на соответствие стандартам
- Настройка и формирование отчетов
- Настройка политик безопасности
- Работа с профилями среды выполнения контейнеров
- Защита от файловых угроз
- Настройка интеграции с модулями проверки подписей образов
- Настройка интеграции со средствами уведомления
- Настройка интеграции с LDAP-сервером
- Пользователи, роли и области применения
- Управление пользователями
- О ролях пользователей
- Действия в рамках системных ролей
- Отображение списка ролей
- Об областях применения
- Области применения и исполнение политик безопасности
- Переключение между областями применения
- Добавление пользователей, ролей и областей применения
- Сброс пароля для учетных записей пользователей
- Изменение параметров пользователей, ролей и областей применения
- Удаление пользователей, ролей и областей применения
- Использование Kaspersky Security для контейнеров OpenAPI
- Журнал событий безопасности
- Экспорт событий в SIEM-системы
- Информация о состоянии компонентов решения
- Обеспечение безопасности и надежности компонентов
- Управление динамикой накопления данных
- Резервное копирование и восстановление данных
- Обращение в Службу технической поддержки
- Источники информации о программе
- Ограничения и предупреждения
- Глоссарий
- Информация о стороннем коде
- Уведомления о товарных знаках
Справка Kaspersky Security для контейнеров 1.2
|
Узнайте о новых функциональных возможностях Kaspersky Security для контейнеров. |
Аппаратные и программные требования Проверьте поддерживаемые платформы оркестрации, CI системы, доступные для работы реестры образов, а также требования к рабочему месту пользователя. |
|
|
Лицензирование Kaspersky Security для контейнеров Узнайте подробнее о типах лицензии, предусмотренных для Kaspersky Security для контейнеров. |
Установка Kaspersky Security для контейнеров Подготовьтесь к установке и установите Kaspersky Security для контейнеров в закрытом или открытом контуре корпоративной сети. |
|
Сканируйте объекты и получайте информацию об обнаруженных уязвимостях, вредоносном ПО, ошибках конфигурации и конфиденциальных данных. |
Воспользуйтесь процедурой принятия риска в отношении угроз, выявленных Kaspersky Security для контейнеров (уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации), чтобы изменить статус безопасности образов. |
||
Настройка политик безопасности Настройте политики сканирования, политики безопасности образов, политики реагирования и политики среды выполнения для проведения проверок в соответствии с вашими требованиями. |
Проверка образов из реестров и интеграция с CI/CD На этапе сборки проекта в системе CI запустите сканер Kaspersky Security для контейнеров для проверки содержащихся в репозитории объектов на соответствие требованиям включенных политик безопасности. |
||
Интеграция со средствами уведомления Настройте интеграции с Telegram и адресами электронной почты для получения уведомлений о событиях безопасности. |
Настройте роли пользователей с использованием данных о группах из Active Directory |
||
Контроль процессов внутри контейнеров С помощью профилей среды выполнения контролируйте процессы и приложения внутри контейнеров. |
|
Узнайте подробнее о регистрации действий пользователя и хранении результатов проверок. |
О Платформе контейнерной безопасности Kaspersky Security для контейнеров
Платформа контейнерной безопасности Kaspersky Security для контейнеров (далее также «решение») позволяет выявлять проблемы безопасности и обеспечивает защиту на всех этапах жизненного цикла контейнерных приложений, начиная с разработки и контроля развертывания до работы в среде выполнения (runtime).
Функциональные возможности решения:
- Интеграция с реестрами образов (Docker Hub, JFrog Artifactory, Sonatype Nexus Repository OSS, GitLab Registry, Harbor) для проверки образов в реестре на наличие известных уязвимостей по базам уязвимостей NVD и БДУ (ФСТЭК), секретов (паролей, ключей доступа, токенов), ошибок конфигураций и вредоносного ПО.
- Встраивание в процесс непрерывной интеграции / непрерывной доставки (CI/CD) в виде этапа пайплайн (pipeline) и проверка IaC на ошибки конфигураций и образов контейнеров на уязвимости, вредоносное ПО и наличие конфиденциальных данных (секретов).
- Проверка узлов (nodes) кластеров на соответствие общим отраслевым стандартам информационной безопасности (Benchmarks).
- Контроль соблюдения настроенных политик безопасности на этапах сборки и эксплуатации приложений, в том числе контроль запуска контейнеров в среде выполнения (runtime).
- Мониторинг ресурсов контролируемых кластеров.
Настройку Kaspersky Security для контейнеров и использование функциональных возможностей решения обеспечивает Консоль управления. Консоль реализована в виде веб-интерфейса, доступного через браузер на движке Chromium (Google Chrome, Microsoft Edge, Apple Safari) или Mozilla Firefox.
Что нового
В Kaspersky Security для контейнеров 1.2 появились следующие возможности и улучшения:
- Встроенные инструменты для выполнения проверок состояния компонентов (механизм Health Check), а именно:
- Визуализация состояния ресурсов кластера.
- Просмотр информации о состоянии компонентов решения.
- Мониторинг heartbeat-сообщений компонентов.
- Автоматизация процессов обслуживания, обеспечения безопасности и надежности компонентов с помощью внедрения инструментов Auto Care, в том числе автоматической очистки:
- Журнала событий безопасности.
- Истории сканирования.
- Визуализация контролируемых кластеров, сетевого взаимодействия и проблем безопасности ресурсов кластеров.
- Поиск и анализ потенциальных файловых угроз для защиты контейнеризированных файлов от вредоносного ПО.
- Поддержка интеграции со следующими CI-системами:
- Формирование отчетов по результатам проверки узлов кластера на соответствие отраслевому стандарту Kubernetes:
- Сводный отчет.
- Детализированный отчет.
- Интеграция Kaspersky Security для контейнеров в реестр Harbor в качестве дополнительного сканера. Данный функционал позволяет запускать сканирование образов из интерфейса администрирования Harbor Registry. Результаты сканирований сохраняются в решении и доступны для дальнейшей работы с ними.
- Создание документации, содержащей описание API-запросов, с использованием Swagger.
- Обеспечение бесперебойного мониторинга инфраструктур до 1000 сетевых узлов.
- Поддержка китайского (упрощенного) языка.
- Функционирование решения в следующих облачных окружениях:
- AWS EKS.
- Microsoft Azure.
В Kaspersky Security для контейнеров 1.2.1 произведены следующие доработки:
- Скорректирован способ аутентификации с помощью LDAP.
- Скорректирована возможность работы в Telegram (отправка сообщений, поиск чатов).
- Исправлена работа фильтров для результатов проверки на соответствие отраслевому стандарту Kubernetes.
- Скорректировано отображение поля Исправлено производителем в отчете по принятым рискам.
- Добавлена возможность работы с уязвимостями в зависимостях Java для CI-агента.
- Скорректирована работа следующих контрольных показателей в политиках среды выполнения: Предотвращение запуска контейнеров из несоответствующих требованиям образов и Блокирование незарегистрированных образов.
- Скорректирована логика удаления областей применения с назначенными им политиками.
- Оптимизирована работа с модулями проверки подписей образов.
- Доработана процедура аутентификации пользователей Kaspersky Security для контейнеров.
- Скорректирован функционал перевыпуска API-токена.
- Скорректировано отображение большого количества тегов при добавлении образов для анализа.
- Скорректировано добавление нового реестра с помощью API (исправлена логика сохранения информации о тегах).
- Доработаны шаблоны отчетов по образам (отображение ссылок на уязвимоcти в образах).
- Скорректирована работа с серверами электронной почты при использовании аутентификации CRAM-MD5.
- Добавлена возможность настройки частоты обращения к реестру образов.
- Доработан веб-интерфейс решения.
В Kaspersky Security для контейнеров 1.2.2 произведены следующие доработки:
- Реализована поддержка Yandex Registry.
- Добавлен универсальный способ поддержки реестров образов с использованием Docker V2 API.
- Скорректирована работа с реестром образов JFrog Artifactory в части поддержки учетных записей с урезанными привилегиями.
- Скорректирован механизм сохранения артефактов в CI/CD.
- Исправлены ошибки работы агентов на старых версиях Kubernetes (версия 4.18).
- Скорректирована работа по сканированию реестра образов по расписанию в случае возникновения ошибок с кодами 4ХХ и 5ХХ.
- Исправлена логика работы при интеграции с помощью поддомена (с использованием отличных от стандартных имен) в реестре образов JFrog Artifactory.
Комплект поставки
О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" https://www.kaspersky.ru или у компаний-партнеров.
В комплект поставки входит пакет Helm Chart с контейнеризированными ресурсами, которые необходимы для развертывания и установки компонентов Kaspersky Security для контейнеров. Контейнеризированные компоненты комплекта поставки представлены в таблице ниже.
Контейнеризированные компоненты комплекта поставки Kaspersky Security для контейнеров
Компонент |
Образ |
Под |
---|---|---|
СУБД ClickHouse |
clickhouse |
kcs-clickhouse |
СУБД PostgreSQL |
postgresql |
kcs-postgres |
Инструмент управления пулом соединений PGBouncer |
pgbouncer |
kcs-pgbouncer |
Модуль основной бизнес-логики решения (Middleware) |
middleware |
kcs-middleware |
Брокер событий (Event Broker) |
event-broker |
kcs-eb |
Модуль обработки заданий на сканирование, сканер-клиент (Image Handler) |
image-handler |
kcs-ih |
Сканер-сервер (Scanner) |
scanner-server |
kcs-scanner |
Модуль лицензирования (Licenses) |
licenses |
kcs-licenses |
Файловое хранилище (Minio) |
minio |
kcs-s3 |
Брокер сообщений (Message Broker) |
nats |
kcs-nats |
Файл-сервер обновлений для закрытых контуров (Updates) |
updates |
kcs-updates |
Интерфейс решения (Panel) |
nginx |
kcs-panel |
Агенты (Agents) |
node-agent |
node-agent |
Также в комплект поставки в составе пакета Helm входит конфигурационный файл values.yaml, который содержит значения параметров для установки и обновления решения.
После скачивания и сохранения в выбранной директории пакета Helm находящиеся в нем образы скачиваются оркестратором из указанного в пакете Helm источника непосредственно на узлы платформы оркестрации.
Информация, необходимая для активации решения, высылается вам по электронной почте.
В начало
Программные и аппаратные требования
Для установки и эксплуатации Kaspersky Security для контейнеров инфраструктура должна удовлетворять следующим требованиям:
- Одна из следующих платформ оркестрации:
- Kubernetes 1.21 или выше.
- OpenShift 4.11 или выше.
- DeckHouse версии 1.52 или 1.53 (CNI: Flannel).
- Наличие CI-системы для проверки образов контейнеров в процессе разработки (например, GitLab CI).
- Установленный менеджер пакетов Helm v3.10.0 или выше.
Для реализации мониторинга среды выполнения с использованием профилей среды выполнения контейнеров узлы оркестратора должны соответствовать следующим требованиям:
- Версия ядра ОС Linux 4.18 или выше.
- Среды выполнения контейнеров (CRI): containerd, CRI-O.
- Плагины Container Network Interface (CNI): Flannel, Calico, Cilium.
Поддерживаемые версии Linux-дистрибутивов и версий ядер ОС Linux для реализации функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров:
- CentOS 8.2.2004 или выше + ядро 4.18.0-193 или выше.
- Ubuntu 18.04.2 или выше + ядро 4.18.0 или выше.
- Debian 10 или выше + ядро 4.19.0 или выше.
- Astra Linux SE 1.7.* + ядро 6.1.50-1-generic.
Если в вашей инфраструктуре присутствуют хост-серверы под управлением других Linux-дистрибутивов, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки проверят совместимость решения и установленных дистрибутивов. Если такая совместимость отсутствует, поддержка указанных дистрибутивов может быть осуществлена в следующих версиях Kaspersky Security для контейнеров.
Kaspersky Security для контейнеров обеспечивает корректную работу при использовании в инфраструктуре Istio service mesh.
При использовании внешних систем управления базами данных Kaspersky Security для контейнеров поддерживает возможность работы с СУБД PostgreSQL 11.*, 13.*, 14.*
Kaspersky Security для контейнеров поддерживает возможность интеграции со следующими реестрами образов:
- GitLab 14.2 или выше.
- Docker Hub V2 API или выше.
- JFrog Artifactory 7.55 или выше.
- Sonatype Nexus Repository OSS 3.43 или выше.
- Harbor 2.x.
Требования к образам (ОС, версия, проверяемые пакеты):
- AlmaLinux, версии 8, 9. Проверяются пакеты, установленные через dnf/yum/rpm.
- Alpine Linux, версии 2.2 - 2.7, 3.0 - 3.20, Edge. Проверяются пакеты, установленные через apk.
- Amazon Linux, версии 1, 2, 2023. Проверяются пакеты, установленные через dnf/yum/rpm.
- Astra Linux SE, версии 1.6.х, 1.7.х. Проверяются пакеты, установленные через apt/dpkg.
- CBL-Mariner, версии 1.0, 2.0. Проверяются пакеты, установленные через dnf/yum/rpm.
- CentOS, версии 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
- Chainguard, все версии. Проверяются пакеты, установленные через apk.
- Debian GNU/Linux, версии 7, 8, 9, 10, 11, 12. Проверяются пакеты, установленные через apt/dpkg.
- openSUSE Leap, версии 42, 15. Проверяются пакеты, установленные через zypper/rpm.
- Oracle Linux, версии 5, 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
- Photon OS, версии 1.0, 2.0, 3.0, 4.0. Проверяются пакеты, установленные через tdnf/yum/rpm.
- Red Hat Enterprise Linux, версии 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
- RedOS, версии 7.1, 7.2, 7.3.х, 8.0. Проверяются пакеты, установленные через dnf/yum/rpm.
- Rocky Linux, версии 8, 9. Проверяются пакеты, установленные через dnf/yum/rpm.
- SUSE Enterprise Linux, версии 11, 12, 15. Проверяются пакеты, установленные через zypper/rpm.
- Ubuntu, все версии, которые поддерживаются Canonical. Проверяются пакеты, установленные через apt/dpkg.
- Wolfi Linux, все версии. Проверяются пакеты, установленные через apk.
- ОС с установленной программой командной строки Conda. Проверяются пакеты, установленные через conda.
При конфигурации Kaspersky Security для контейнеров в кластере с тремя рабочими узлами (worker nodes), тремя сканирующими подами (kcs-ih) и максимальным размером подлежащих сканированию образов до 10 ГБ к рабочему узлу кластера предъявляются следующие требования:
- Количество процессорных ядер – 10 и более.
- Объем оперативной памяти – 18 ГБ и более.
- Объем свободного дискового пространства – 40 ГБ.
- Пропускная способность каналов связи между компонентами кластера – не менее 1 Гбит/c.
Для работы агентов в кластере на каждом рабочем узле необходимо предоставить указанные ниже дополнительные вычислительные ресурсы:
- Количество процессорных ядер – 2.
- Объем оперативной памяти – 3 ГБ.
- Объем свободного дискового пространства – 15 ГБ.
В кластере, где установлено решение, требуется выделить 1 ГБ свободного дискового пространства на Persistent Volume для ClickHouse на каждый контролируемый узел.
Указанные требования применимы только к развертыванию Kaspersky Security для контейнеров и не учитывают другую нагрузку ресурсов клиента.
Рабочее место пользователя Kaspersky Security для контейнеров должно соответствовать следующим требованиям:
- При использовании схемы развертывания в открытом контуре корпоративной сети – постоянное подключение к сети интернет.
- Наличие доступа к странице консоли управления Kaspersky Security для контейнеров (адрес внутри корпоративного контура клиента, указанный при установке решения).
- Минимальная пропускная способность каналов связи – не менее 10 Мбит/c;
- Наличие одного из следующих браузеров:
- Google Chrome 73 или выше.
- Microsoft Edge 79 или выше.
- Mozilla Firefox 63 или выше.
- Apple Safari 12.1 или выше.
- Opera 60 или выше.
Масштабирование
Kaspersky Security для контейнеров поддерживает масштабирование количества сканирующих подов, чтобы обеспечить сканирование входящего объема образов. Масштабирование может осуществляться как в сторону увеличения, так и в сторону уменьшения количества сканирующих подов в любой момент в процессе работы решения.
При добавлении каждого сканирующего пода системные ресурсы увеличиваются следующим образом:
- Количество ядер процессоров узлов – на 2.
- Объем оперативной памяти на узлах – на 4 ГБ.
- Объем свободного места на жестком диске узла – на 15 ГБ.
Если нужно проверить образы размером более 10 ГБ, на каждый дополнительный 1 ГБ ресурсы kcs-ih для каждого сканирующего пода требуется увеличить следующим образом:
- Объем оперативной памяти на узлах – на 300 МБ.
- Объем свободного места на жестком диске узла – на 1 ГБ.
Если в рамках стандартного режима работы сканирование образов на ошибки в файлах конфигураций не проводится, увеличение оперативной памяти на сканирующих подах необязательно.
Для ускорения обработки результатов сканирования большого количества объемных объектов, вы можете увеличить количество ресурсов, направленных на обработку заданий, с помощью обновления переменных в пакете Helm.
Чтобы увеличить количество ресурсов для обработки заданий на сканирование:
- Откройте пакет Helm и в блоке
default
для параметраkcs-middleware
в переменнойscanWorkers
укажите нужное вам количество обработчиков. - В переменных
requests
иlimits
укажите объем оперативной памяти, который определяется по следующей формуле:memory = X * scanWorkers/2
, гдеmemory
– объем оперативной памяти, который выделяется для обработки заданий на сканирование;X
– исходное значение переменной, обозначающей объем оперативной памяти;scanWorkers
– количество обработчиков, указанных в п.1.Значение выражения
scanWorkers/2
не должно быть равно нулю. - В переменных
requests
иlimits
укажите ресурсы процессора, которые рассчитываются по следующей формуле:cpu = X*scanWorkers
, гдеcpu
– ресурсы процессора, выделяемые для обработки заданий на сканирование;X
– исходное значение переменной, обозначающей ресурсы процессора;scanWorkers
– количество обработчиков.
Пример увеличения количества ресурсов для обработки заданий на сканирование
В начало
Системные пакеты базовых образов
В качестве базовых образов Kaspersky Security для контейнеров используют образы следующих операционных систем:
- Alpine 3.18.4.
- Ubuntu 23.10.
- Oracle Linux 9.2.
Для управления процессами установки, удаления, настройки и обновления различных компонентов ПО используются системы управления пакетами (далее также «менеджер пакетов»). В базовых операционных системах Kaspersky Security для контейнеров используются следующие системы управления пакетами:
- В Alpine – apk.
- В Ubuntu – apt.
- В Oracle Linux – rpm.
Чтобы получить информацию об установленных системных пакетах,
с помощью штатных средств оркестратора для доступа в запущенный контейнер и в зависимости от используемого менеджера пакетов введите следующую bash-команду:
- Для apk:
apk -q list | grep "installed"
. - Для apt:
apt list --installed
. - Для rpm:
yum list installed
.
Сканируемые пакеты прикладного ПО
Kaspersky Security для контейнеров поддерживает следующие сканируемые пакеты прикладного ПО на указанных языках программирования:
- Ruby:
- gemspec (сканируется образ).
- Gemfile.lock (сканируется репозиторий в CI/CD).
- Python:
- egg package, wheel package, conda package (сканируется образ).
- Pipfile.lock, poetry.lock, requirements.txt (сканируется репозиторий в CI/CD).
- PHP:
- installed.json (сканируется образ).
- composer.lock (сканируется репозиторий в CI/CD).
- Node.js:
- package.json (сканируется образ).
- package-lock.json, yarn.lock, pnpm-lock.yaml (сканируется репозиторий в CI/CD).
- .NET: packages.lock.json, packages.config, .deps.json, Packages.props (сканируются образ и репозиторий в CI/CD).
- Java:
- *.jar, *.war, *.par and *.ear (сканируется образ).
- pom.xml, *gradle.lockfile, *.sbt.lock (сканируется репозиторий в CI/CD).
- Go:
- Бинарные файлы (сканируется образ).
- go.mod (сканируется репозиторий в CI/CD).
- Rust:
- Бинарные файлы, проверяемые Cargo (сканируется образ).
- Cargo.lock (сканируются образ и репозиторий в CI/CD).
- C/C++: conan.lock (сканируется репозиторий в CI/CD).
- Elixir: mix.lock (сканируется репозиторий в CI/CD).
- Dart: pubspec.lock (сканируется репозиторий в CI/CD).
- Swift: Podfile.lock, Package.resolved (сканируется репозиторий в CI/CD).
- Julia: Manifest.toml (сканируются образ и репозиторий в CI/CD).
Работа в облачных средах
Kaspersky Security для контейнеров может работать в различных облачных средах. Для получения более подробной информации о запуске решения в облачных средах обращайтесь к вашему менеджеру предпродажной поддержки.
В начало
Архитектура решения
Компоненты Kaspersky Security для контейнеров разворачиваются на основе образов, входящих в комплект поставки. В таблице ниже представлено соответствие полученных образов и компонентов решения.
Компоненты Kaspersky Security для контейнеров
Компонент |
Образ |
Функция компонента |
---|---|---|
СУБД ClickHouse |
clickhouse |
Управление базами данных Clickhouse для хранения и обработки информационных сообщений, поступающих от агентов. |
СУБД PostgreSQL |
postgresql |
Управление базами данных с помощью инструментов анализа и оптимизации разбора запросов и механизмов обработки запросов. |
Инструмент управления пулом соединений PGBouncer |
pgbouncer |
Управление пулом соединений c PostgreSQL. |
Модуль основной бизнес-логики решения |
middleware |
Обеспечение реализации бизнес-логики обработки данных серверной составляющей решения и предоставление REST API для графического интерфейса Kaspersky Security для контейнеров. |
Брокер событий |
event-broker |
Обеспечение связи между различными элементами распределенной системы решения. |
Модуль обработки заданий на сканирование, сканер-клиент |
image-handler |
Обработка заданий на сканирование с использованием сканеров уязвимостей и вредоносного ПО: запуск выполнения заданий на сканирование, сканирование объектов, агрегация и публикация результатов сканирования. |
Сканер-сервер |
scanner-server |
Управление сервером сканирования для хранения базы данных уязвимостей и кеша слоев образов, а также для работы модуля обработки заданий на сканирование. |
Модуль лицензирования |
licenses |
Управление функциональными возможностями, доступными по лицензии. |
Файловое хранилище |
minio |
Управление хранилищем для хранения и дистрибуции пользователям файлов, которые формируются в результате работы решения. |
Брокер сообщений |
nats |
Определение очередности запросов для обмена данными в виде сообщений. |
Файл-сервер обновлений для закрытых контуров |
updates |
Поставка обновлений при развертывании решения. |
Интерфейс решения |
nginx |
Функционирование графического пользовательского интерфейса Kaspersky Security для контейнеров. |
Агенты |
node-agent kube-agent |
Обеспечение безопасности на узлах в соответствии с настроенным политиками безопасности и интеграция с оркестратором. |
Основными компонентами решения являются:
- Модуль основной бизнес-логики Kaspersky Security для контейнеров.
- Агенты Kaspersky Security для контейнеров.
- Сканер Kaspersky Security для контейнеров.
Общая схема архитектуры Kaspersky Security для контейнеров
Kaspersky Security для контейнеров может разворачиваться в открытом или закрытом контуре корпоративной сети.
Модуль основной бизнес-логики решения
Модуль основной бизнес-логики решения Kaspersky Security для контейнеров выполняет следующие функции:
- предоставляет интерфейс для интерактивного управления решением (консоль управления);
- обеспечивает интеграцию со сторонними программными компонентами (SIEM, CI, реестры образов, LDAP, Telegram, электронная почта) и получение от них информации;
- координирует работу других компонентов решения;
- обеспечивает создание политик безопасности и управление ими;
- обеспечивает отображение результатов работы решения.
Агенты
Агенты Kaspersky Security для контейнеров (далее также "агенты") – это компонент решения, который запускается в виде контейнеризированного приложения и обеспечивает безопасность на узлах в соответствии с настроенным политиками безопасности, в частности:
- контролирует безопасность среды выполнения контейнеров, запущенных на узлах;
- контролирует сетевое взаимодействие подов (pods) и приложений внутри контейнеров;
- интегрируется с платформой оркестрации и обеспечивает поток информации, необходимый для анализа конфигурации оркестратора и его компонентов;
- контролирует запуск контейнеров из доверенных образов с целью не допускать запуска непроверенных образов.
Агенты устанавливаются на все узлы кластеров, а также на все кластеры, которые требуется защищать. Соответственно, Kaspersky Security для контейнеров оперирует двумя типами агентов: агенты защиты кластера (csp-kube-agent) и агенты защиты узлов (csp-node-agent). В совокупности они формируют группы агентов. Для каждого кластера создается своя группа агентов. В рамках одной установки решения может быть создано множество групп агентов.
При отсутствии агентов в кластере часть функциональных возможностей решения остается недоступной (например, политики среды выполнения, мониторинг ресурсов).
В начало
Сканер
Сканер – программный компонент Kaspersky Security для контейнеров для сканирования объектов в реальном времени для оценки безопасности и выявления известных уязвимостей, вредоносного ПО, признаков конфиденциальных данных и ошибок конфигурации. Сканер позволяет проводить проверки безопасности на основе действующих политик безопасности.
Kaspersky Security для контейнеров задействует следующие виды сканеров:
- сканер уязвимостей по базе данных общеизвестных уязвимостей информационной безопасности (CVE);
- сканер для выявления файловых угроз в составе компонента Защита от файловых угроз;
- сканер конфигурационных файлов;
- сканер конфиденциальной информации (секретов).
О сканировании объектов
Kaspersky Security для контейнеров осуществляет проверку развернутых в решении объектов во время сканирования.
Сканирование – поиск и анализ угроз и рисков безопасности в отношении объектов решения. Сканирование объектов требуется проводить регулярно, чтобы оперативно отслеживать появляющиеся угрозы безопасности.
В рамках сканирования Kaspersky Security для контейнеров выявляет следующие угрозы безопасности:
- Уязвимости.
- Вредоносное ПО.
- Ошибки конфигурации.
- Наличие конфиденциальных данных.
- Несоответствие требованиям политик безопасности.
Процесс сканирования
Сканер получает задания на проверку с помощью модуля для обработки заданий на сканирование. Модуль для обработки заданий на сканирование (Image handler) разворачивается в инфраструктуре Kaspersky Security для контейнеров и обеспечивает передачу заданий на сканирование в сканер и получение результатов сканирований из сканера.
При передаче заданий на сканирование определяется текущий статус сканера:
- Свободен – сканер не обрабатывает объекты и в ответ на запрос может принять задание от приложения для обработки заданий на сканирование.
- Занят – сканер обрабатывает задание на сканирование. Новое задание от приложения для обработки заданий на сканирование помещается в очередь.
Очередь заданий на сканирование представляет собой совокупность заданий, переданных на сканирование в следующих случаях:
- при запуске сканирования реестров образов вручную;
- при автоматическом запуске сканирования реестров образов;
- при массовом сканировании объектов кластера.
Задания в очереди на сканирование получают следующие статусы:
- Ожидает – присваивается по умолчанию при создании задания.
- Выполняется – задание обрабатывается приложением для обработки заданий на сканирование.
- Обработка результатов – решение обрабатывает результаты сканирования задания для их отображения в интерфейсе.
- Ошибка – задание на сканирование не выполнено.
- Завершено – получен результат сканирования задания.
Задания на сканирование из очереди передаются в модуль для обработки заданий на сканирование в порядке их поступления. Затем задание поступает в сканер со статусом Свободен и проверяется на наличие проблем безопасности. Результаты сканирования передаются обратно в модуль для обработки заданий на сканирование. Задание считается завершенным, если получены результаты сканирования. Если сканирование задания проводилось три и более раз, но результаты получены не были, задание получает статус Ошибка.
При сканировании большого количества объемных объектов решение может медленнее предоставлять результаты сканирования в интерфейсе. Ожидание результатов может длиться несколько минут. В это время задания на сканирование отображаются в разделе Сканеры со статусом Обработка результатов.
Если вы хотите ускорить обработку результатов сканирования, вы можете увеличить количество ресурсов, направленных на обработку заданий, с помощью обновления переменных в Helm Chart (подробнее см. Масштабирование).
При появлении ошибки решение показывает сообщение об ошибке, которое состоит из кода и текста сообщения (например, HNDL-004: scan time out
).
Сообщения об ошибке отображаются на английском языке. Значения сообщений приводятся в примере ниже.
Пример возможных сообщений об ошибке при выполнении заданий на сканирование
После сканирования решение отображает результаты проверки. Если в объекте обнаружены угрозы, Kaspersky Security для контейнеров предлагает выполнить в отношении него одно из следующих действий:
- Удалить угрозу безопасности.
- Принять риск.
Типовые схемы развертывания
Для Kaspersky Security для контейнеров предусмотрены следующие схемы развертывания:
- Развертывание в открытом контуре корпоративной сети (разрешен доступ в интернет из кластера Kubernetes):
- Образы, из которых разворачиваются компоненты Kaspersky Security для контейнеров, расположены в публичном репозитории.
- После установки компоненты решения обращаются к базам уязвимостей, расположенным в интернете.
- Обновление баз выполняется с помощью сервера обновлений "Лаборатории Касперского", доступного через интернет.
Открытым контуром корпоративной сети может считаться закрытый контур корпоративной сети с доступом к серверам, включенным в список разрешенных серверов.
- Развертывание в закрытом контуре корпоративной сети (запрещен доступ в интернет из кластера Kubernetes):
- Для размещения образов, из которых разворачиваются компоненты решения, используется внутренний репозиторий.
- Дополнительно устанавливается компонент kcs-updates, который представляет собой специальный образ, содержащий необходимые для работы решения базы уязвимостей и стандарты безопасности.
- После установки компоненты решения обращаются к базам уязвимостей и стандартам безопасности, расположенным в специальном образе kcs-updates внутри корпоративной сети.
- Сервер обновлений, обеспечивающий обновление баз данных угроз, разворачивается в качестве отдельного компонента внутри корпоративной сети.
В закрытом контуре корпоративной сети также возможен сценарий развертывания с использованием прокси-сервера.
Мы не рекомендуем развертывать решение с конфигурацией кластерной инфраструктуры, при которой сетевое взаимодействие между хост-серверами (узлами) осуществляется в открытой сети Интернет. При использовании указанной конфигурации сетевое взаимодействие в кластере может подвергаться критическим рискам нарушения сетевой безопасности.
Развертывание в открытом контуре корпоративной сети
При развертывании в открытом контуре корпоративной сети объектам Kaspersky Security для контейнеров разрешен доступ в интернет из кластера. Базы данных решения обновляются из внешних баз, содержащих обновления баз уязвимостей и вредоносного ПО.
Архитектура решения при развертывании в открытом контуре корпоративной сети
В начало
Развертывание в закрытом контуре корпоративной сети
При развертывании в закрытом контуре корпоративной сети объектам Kaspersky Security для контейнеров запрещен доступ в интернет из кластера. Базы данных решения обновляются путем обновления образов сканера, который запускается из CI/CD, и сканера образов.
Архитектура решения при развертывании в закрытом контуре корпоративной сети
В начало
Подготовка к установке решения
Перед установкой Kaspersky Security для контейнеров необходимо установить все обязательные для корпоративной сети сертификаты и настроить прокси-серверы.
Решение может развертываться в закрытом или открытом контуре корпоративной сети.
Перед установкой Kaspersky Security для контейнеров требуется обеспечить наличие следующих компонентов и доступов:
- Виртуальной или физической машины с доступом в интернет и к кластеру.
- Установленного менеджера пакетов Helm для упаковки, настройки и развертывания приложений и служб в кластерах.
Kaspersky Security для контейнеров поддерживает Helm версии v3.10.0 или выше.
- Доступа в интернет для скачивания пакетов Helm Chart.
- Инструмента управления оркестратором, например, kubectl для Kubernetes или oc для Openshift.
- Доступа к кластеру с помощью файла kubeconfig.
Для установки решения в закрытом контуре корпоративной сети также требуется настроить репозиторий для образов контейнеров, обращающийся к репозиторию производителя Kaspersky Security для контейнеров с учетными данными, предоставленными производителем решения.
Чтобы подготовиться к установке решения в закрытом контуре корпоративной сети:
- Подключите Helm-репозиторий производителя, где находится пакет Helm Chart.
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"
export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
Значения
CHART_URL, CHART_USERNAME, CHART_PASSWORD, VERSION
предоставляются производителем. - Заполните файл с параметрами установки (values.yaml), который входит в комплект поставки решения, в соответствии с комментариями в этом файле.
Мы не рекомендуем указывать данные учетных записей в файле values.yaml для использования при запуске пакета Helm Chart.
В файле values.yaml необходимо указать следующие основные параметры установки:
- Название пространства имен.
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
- Доменное имя Kaspersky Security для контейнеров для входящих соединений.
--set default.domain="kcs.example.domain.ru" \
При включенных сетевых политиках необходимо указать минимум одно пространство имен ингресс-контроллера кластера.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
По умолчанию сетевые политики включены.
- Секреты компонентов решения.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="pass" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.NATS_USER="user" \
--set-string secret.infracreds.envs.NATS_PASSWORD="pass" \
- Секреты доступа в репозиторий установки решения.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Мы рекомендуем не менять состав основных параметров установки.
- Название пространства имен.
- Сохраните файл с параметрами установки и переходите к установке решения.
Установка решения
Компоненты Kaspersky Security для контейнеров поставляются в виде образов в реестре производителя решения и развертываются в виде контейнеров.
Установка Платформы контейнерной безопасности Kaspersky Security для контейнеров состоит из следующих этапов:
- Установка компонентов Модуль основной бизнес-логики и Сканер.
- Первый запуск консоли управления.
- Настройка групп агентов и развертывание агентов на контролируемых узлах кластеров.
После завершения установки нужно подготовить решение к работе:
- Настроить интеграцию с реестрами образов.
- Настроить интеграцию со средствами уведомлений.
- Настроить политики безопасности.
- Настроить профили среды выполнения контейнеров.
- Настроить параметры компонента Защита от файловых угроз.
- Настроить интеграцию с модулями проверки подписей образов.
- Настроить интеграцию с CI/CD.
- Настроить учетные записи пользователей, роли и области применения.
- Настроить интеграцию с LDAP-сервером.
Установка модуля основной бизнес-логики и сканера
Перед установкой решения необходимо проверить целостность данных в подготовленном пакете Helm Chart.
Чтобы проверить целостность данных:
- Скачайте архив с подготовленным пакетом Helm Chart и файл хеша в одну директорию.
- Из этой директории выполните следующую команду:
sha256sum -c kcs-1.2.0.tgz.sha
Целостность данных подтверждается, если отображается следующее сообщение:
kcs-1.2.0.tgz: OK
Перед началом установки (в том числе в AWS EKS или Microsoft Azure) обратите внимание на параметры storageClass
и ingressClass
в блоках default
и ingress.kcs
в конфигурационном файле values.yaml. Эти параметры указываются для кластера и при необходимости их требуется изменить в соответствии с вашей инфраструктурой. Например, для Azure вариантом стандартных параметров является следующее:
default:
storageClass: azurefile
networkPolicies:
ingressControllerNamespaces:
- app-routing-system
ingress:
kcs:
ingressClass: webapprouting.kubernetes.azure.com
Чтобы выполнить установку модуля основной бизнес-логики и сканера Kaspersky Security для контейнеров,
после подготовки конфигурационного файла запустите установку решения:
cd kcs/
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
--set default.domain="kcs.example.domain.ru" \
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set secret.infracreds.envs.MINIO_ROOT_PASSWORD="pass" \
--set secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.NATS_USER="user" \
--set secret.infracreds.envs.NATS_PASSWORD="pass" \
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
В результате установки будут развернуты компоненты решения.
После выполнения установки в командной оболочке останется запись о выполнении команды по установке решения. Вы можете открыть файл с историей команд и удалить эту запись или перед выполнением установки запретить запись истории команд в командной оболочке.
Панель управления будет доступна по адресу, указанному в подсекции envs
раздела переменных окружения для создания объекта ConfigMap для параметра API_URL
:
http://${DOMAIN}
Запуск консоли управления
Чтобы запустить консоль управления Kaspersky Security для контейнеров:
- В браузере перейдите по адресу, заданному для консоли управления при установке Сервера.
Откроется страница авторизации.
- Введите имя и пароль учетной записи, нажмите на кнопку Войти.
При установке решения задается одинаковое значение имени и пароля учетной записи – admin. После запуска консоли управления вы можете изменить имя и пароль учетной записи.
В случае трех неправильных попыток ввода пароля пользователь временно блокируется. По умолчанию период блокировки составляет 1 минуту.
- По запросу измените текущий пароль учетной записи: укажите новый пароль, подтвердите его и нажмите на кнопку Изменить.
К паролю предъявляются следующие требования:
- Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
- Минимальная длина пароля – 6 знаков, максимальная – 72 знака.
Откроется главная страница консоли управления.
По умолчанию сеанс работы зарегистрированного пользователя в консоли составляет 9 часов. В разделе Параметры → Параметры подключения вы можете задать свою продолжительность сеанса работы от минимум 1 часа до максимум 168 часов. По истечению установленного времени сеанс работы в консоли завершается.
Вы можете изменить параметры подключения в разделе Параметры → Параметры подключения.
В начало
Просмотр и принятие Лицензионного соглашения
При первом запуске консоли управления в браузере Kaspersky Security для контейнеров предлагает вам ознакомиться с Лицензионным соглашением, которое заключается между вами и АО "Лаборатория Касперского". Для продолжения работы с решением требуется подтвердить, что вы полностью прочитали и принимаете условия Лицензионного соглашения Kaspersky Security для контейнеров.
Чтобы подтвердить принятие условий Лицензионного соглашения,
внизу окна с текстом Лицензионного соглашения нажмите на кнопку Принять.
Откроется страница авторизации для запуска консоли управления.
После установки новой версии решения необходимо повторно принять Лицензионное соглашение.
В начало
Проверка функционирования решения
После установки Kaspersky Security для контейнеров и запуска консоли управления вы можете убедиться, что решение выявляет проблемы безопасности и обеспечивает защиту контейнеризированных объектов.
Чтобы проверить работоспособность Kaspersky Security для контейнеров:
- Активируйте решение с помощью кода активации или файла ключа.
- Настройте интеграцию с реестром образов. Для проверки работоспособности достаточно интеграции с одним реестром.
- При необходимости настройте параметры политики сканирования, которая по умолчанию создается после установки решения.
- Добавьте образ на сканирование и убедитесь, что задание на сканирование отправлено на обработку.
- После окончания сканирования перейдите на страницу с подробной информацией о результатах сканирования образа.
Проведение сканирования образа и получение действительных результатов подтверждают правильное функционирование Kaspersky Security для контейнеров. После этого можно переходить к дальнейшей настройке параметров решения.
В начало
Развертывание агентов
Агенты должны быть установлены на всех узлах кластера, который вы хотите защищать.
На каждый кластер устанавливается отдельная группа агентов.
Чтобы развернуть агентов в кластере:
- В главном меню перейдите в раздел Компоненты → Агенты.
- В рабочей области нажмите на кнопку Добавить группу агентов.
- Заполните поля формы:
- Введите название группы. В качестве названия группы для удобства управления агентами рекомендуется указывать имя кластера, на узлах которого будут развернуты агенты.
- Если требуется, введите описание группы агентов.
- Выберите тип агента.
- Выберите тип операционной системы целевого узла.
- Выберите используемый оркестратор.
- В блоке Реестр введите веб-адрес реестра, где находятся образы, с которых производится установка агентов. Для доступа к реестру требуется указать имя пользователя и пароль, которые используются для этого реестра.
- В блоке Мониторинг состояния узлов с помощью переключателя Выключить / Включить запустите действия по мониторингу и анализу состояния сети, процессов в контейнерах и защиты от файловых угроз для следующих параметров:
- Мониторинг сетевых соединений. Состояние сетевых соединений отслеживается с помощью устройств для фиксации сетевого трафика (сетевых мониторов) и модулей на базе технологии eBPF. При этом учитываются применимые политики среды выполнения и профили среды выполнения контейнеров.
- Мониторинг процессов в контейнерах. Процессы в контейнерах отслеживаются с помощью модулей на базе технологии eBPF, учитывая применимые политики среды выполнения и профили среды выполнения контейнеров.
- Защита от файловых угроз. Для отслеживания обновлений баз данных вредоносного ПО необходимо указать одно из следующих значений:
- URL инструмента обновлений БД вредоносного ПО – веб-адрес сервера обновлений Kaspersky Security для контейнеров.
- Прокси-сервер обновлений БД вредоносного ПО – прокси-сервер HTTP для облачного или локального сервера обновлений.
Если для обновления баз данных вредоносного ПО используется контейнер
kcs-updates
, URL инструмента обновлений баз данных требуется указать следующим образом:<
домен
>/kuu/updates
(например,https://kcs.company.com/kuu/updates
).По умолчанию базы данных компонента Защита от файловых угроз обновляются с помощью облачных серверов "Лаборатории Касперского".
Ненужные действия в рамках процесса мониторинга можно отключить, чтобы избежать нецелесообразной нагрузки на узлы.
- В блоке Данные о развертывании укажите название пространства имен в кластере.
- Нажмите на кнопку Сохранить.
В рабочей области под заполненной формой отобразятся данные, необходимые для продолжения развертывания агентов на кластере.
- Если требуется скопировать сгенерированный автоматически токен для развертывания, нажмите на кнопку Копировать. Токен для развертывания – это идентификатор, который будет использовать агент при подключении к серверу.
- Используйте инструкцию из поля Конфигурация для развертывания агентов на кластере. Например,
kubectl apply -f <
файл
> -n <
пространство имен
>
Вы можете скопировать инструкцию или загрузить ее в виде файла в формате .YAML. После применения инструкции агент будет развернут на всех рабочих узлах кластера.
Если вы меняете следующие параметры:
- TLS-сертификаты решения,
- URL, имя пользователя и пароль для скачивания образов агентов kube-agent и node-agent,
- настройки в блоке Мониторинг состояния узлов,
решение автоматически обновляет инструкцию для развертывания агентов.
Необходимо повторно скопировать или загрузить обновленную инструкцию в виде файла в формате .YAML, а затем применить ее с помощью команды kubectl apply -f <
файл
> -n <
пространство имен
>.
Если этого не сделать, изменения указанных параметров для развертывания агентов не будут применены.
Просмотр и изменение групп агентов
В разделе Компоненты → Агенты в таблице отображаются созданные и развернутые группы агентов. Для каждой из таких групп представлена следующая информация:
- Название группы агентов.
- Количество подключенных агентов в группе.
- Тип подключенных агентов.
- Оркестратор.
- Включенные действия по мониторингу состояния узлов.
Вы можете настроить отображение групп агентов по статусу подключения агентов (Все, Подключен, Отключен, Ожидает) с помощью соответствующих кнопок, расположенных над таблицей.
Нажав на значок развертывания (), каждую группу агентов в таблице можно развернуть, чтобы посмотреть следующую информацию по агентам в ее составе:
- Название агента и статус его подключения.
- Версия узла, на котором развернут агент (главный или рабочий узел).
- Имя пода, с которым связан агент.
- Действия по мониторингу состояния узлов (Процессы в контейнерах, Сетевая активность и Защита от файловых угроз).
- Дата и время последнего подключения агента.
По ссылке на названии агента вы можете раскрыть боковую панель, чтобы посмотреть информацию о состоянии агента.
Чтобы изменить параметры группы агентов:
- В разделе Компоненты → Агенты в таблице со списком групп агентов нажмите на ссылку на названии группы агентов.
- В открывшемся окне измените параметры группы.
- Нажмите на кнопку Сохранить.
Конфигурация работы через прокси-сервер
В версии 1.2 Kaspersky Security для контейнеров предоставляет возможность проксирования запросов из закрытых контуров корпоративной сети во внешнюю информационную среду. Настройка параметров, обеспечивающих взаимодействие через прокси-сервер, осуществляется с помощью следующих переменных окружения в пакете Helm Chart, который входит в комплект поставки решения:
HTTP_PROXY
– прокси-сервер для запросов по протоколу HTTP.HTTPS_PROXY
– прокси-сервер для запросов по протоколу HTTPS.NO_PROXY
– переменная, в которой указываются домены или соответствующие им маски для исключения из проксирования.Если используется
HTTP_PROXY
илиHTTPS_PROXY,
то переменнаяNO_PROXY
формируется в пакете Helm Chart автоматически, в ней указываются все применяемые решением компоненты.Вы можете изменить переменную
NO_PROXY
, если вам требуется указать домены и маски инфраструктуры для работы Kaspersky Security для контейнеров, чтобы исключить их из проксирования.SCANNER_PROXY
– специализированная переменная для указания прокси-сервера, на который направляются запросы сканера компонента Защита от файловых угроз к серверам "Лаборатории Касперского" для актуализации баз данных.LICENSE_PROXY
– специализированная переменная для указания прокси-сервера, на который направляются запросы модуля kcs-licenses к серверам "Лаборатории Касперского" для проверки и актуализации информации о действующей лицензии.
Для указания серверов "Лаборатории Касперского" в списках разрешений прокси-серверов требуется использовать маску *.kaspersky.com
или .kaspersky.com
(в зависимости от поддерживаемых вашим прокси-сервером масок доменных имен).
В таблице ниже представлены компоненты Kaspersky Security для контейнеров, которые могут использовать переменные окружения, а также указаны цели использования таких переменных окружения.
Использование переменных окружения компонентами Kaspersky Security для контейнеров
Компонент |
Переменная окружения |
Цель использования |
---|---|---|
kcs-ih |
|
Получение доступа к внешним реестрам образов, недоступных из пространства имен Kaspersky Security для контейнеров. |
kcs-ih |
|
Обновление баз данных сканера, работающего в компоненте Защита от файловых угроз, с использованием серверов обновлений "Лаборатории Касперского". |
kcs-middleware |
|
Получение доступа к внешним реестрам образов, недоступных из пространства имен "Лаборатории Касперского". |
kcs-scanner |
|
Обновления баз данных сканера уязвимостей с использованием серверов обновлений "Лаборатории Касперского". |
kcs-licenses |
|
Проверка и актуализация информации о действующей лицензии с использованием серверов лицензирования "Лаборатории Касперского". |
Удаление решения
Чтобы удалить модуль основной бизнес-логики Kaspersky Security для контейнеров, выполните одно из следующих действий:
- На рабочей станции с установленным менеджером пакетов Helm, доступом к целевому кластеру и пространству имен, в которое установлено решение, выполните команду:
helm uninstall kcs
Менеджер пакетов Helm не удаляет объекты PVC, PV и секреты. Вам нужно удалить их вручную с помощью команд:
kubectl delete pvc
<имя PVC>
kubectl delete secret
<имя секрета>
kubectl delete pv
<имя PV>
- Если решение установлено в отдельное пространство имен, выполните команду:
kubectl delete ns
<пространство имен>
Чтобы удалить агента Kaspersky Security для контейнеров,
на узле кластера, где установлен агент, выполните команду:
kubectl delete -f
<файл>
-n kcs
где <файл> – имя YAML-файла с конфигурацией, который использовался для развертывания агента.
Если вы удалили всех агентов на узлах какого-либо кластера, рекомендуется удалить группу, в которую входили эти агенты.
Чтобы удалить группу агентов:
- В главном меню Kaspersky Security для контейнеров перейдите в раздел Компоненты → Агенты.
- В строке с названием группы агентов, которую вы хотите удалить, нажмите на значок удаления (
).
- Подтвердите удаление в открывшемся окне.
Обновление решения
Об актуальных версиях приложения вы можете узнать на веб-сайте "АО Лаборатория Касперского" или у компаний-партнеров.
Процесс обновления идентичен процессу установки. В рамках процесса обновления указывается актуальная версия приложения.
В начало
Интерфейс решения
Консоль управления реализована в виде веб-интерфейса и состоит из следующих элементов:
- Главное меню. Разделы и подразделы главного меню обеспечивают доступ к основным функциям решения.
- Рабочая область. Информация и элементы управления в рабочей области зависят от раздела или подраздела, выбранного в главном меню.
Главное меню
В веб-интерфейсе главное меню Kaspersky Security для контейнеров находится в левой панели и состоит из разделов, соответствующих основным функциональным возможностям решения.
Раздел Ресурсы
Раздел содержит результаты контроля всех доступных Kaspersky Security для контейнеров ресурсов: кластеров, реестров, интегрированных с решением, и процессов CI/CD.
Раздел Компоненты
Раздел содержит информацию о состоянии компонентов решения – агентов, сканеров и ядра.
Раздел Соответствие стандартам
Раздел содержит результаты проверки узлов кластеров на соответствие отраслевому стандарту Kubernetes.
Раздел Политики
Раздел позволяет настраивать политики безопасности, применяемые в работе решения.
Подраздел Принятые риски содержит список всех обнаруженных угроз и уязвимостей, риск наличия которых принят пользователем. В подразделе вы можете отменять принятие рисков или устанавливать срок, в течение которого риск считается принятым.
Раздел Администрирование
Раздел позволяет выполнять следующие задачи:
- В подразделе Управление доступом вы можете управлять правами доступа пользователей, определять роли и права доступа, а также разграничивать доступ к ресурсам и функциональным возможностям в рамках областей применения.
- В подразделе Отчеты можно просматривать список сформированных отчетов по образам, а также скачивать и удалять отчеты.
- Подраздел Интеграции дает возможность настраивать интеграции с публичными реестрами образов, со средствами проверки подписей образов, со средствами уведомлений, с LDAP-сервером, а также получать информацию об их состоянии.
- В подразделе События вы можете просматривать список реализованных решением событий, которые могут быть полезны для отслеживания происходящих процессов и анализа потенциальных угроз безопасности.
Раздел Параметры
Раздел позволяет выполнять следующие задачи:
- В подразделе Параметры подключения вы можете настраивать параметры запуска консоли управления Kaspersky Security для контейнеров и управлять параметрами подключения.
- Подраздел Лицензирование дает возможность управлять параметрами лицензирования и просматривать доступную по лицензии функциональность.
- Подраздел О платформе содержит информацию о версии решения, обновлении баз данных уязвимостей и вредоносного ПО. Также вы можете посмотреть условия лицензионного соглашения Kaspersky Security для контейнеров, информацию о стороннем коде, документацию с описанием запросов к API-серверу и открыть справку Kaspersky Security для контейнеров для получения подробного описания решения и его работы.
Блок с именем текущего пользователя
В блоке отображается информация о пользователе, под учетной записью которого запущена консоль управления Kaspersky Security для контейнеров. С помощью команд контекстного меню в блоке можно перейти на страницу профиля пользователя и выйти из консоли.
В начало
Информационная панель
На главной странице Kaspersky Security для контейнеров можно настроить информационную панель для получения актуальных аналитических данных об объектах, которые обрабатываются решением. Настройка осуществляется с помощью фильтров, что позволяет отсортировать информацию по объектам и периоду.
Аналитические данные отображаются с помощью виджетов или специализированных инструментов, которые показывают аналитическую информацию.
Информационная панель Kaspersky Security для контейнеров открывается при входе в учетную запись или при нажатии на область с логотипом и названием решения над главным меню.
Применение фильтров
Kaspersky Security для контейнеров предоставляет возможность настроить информационную панель с помощью следующих фильтров:
- Фильтр по периоду:
- за весь период работы решения;
- за год;
- за квартал;
- за месяц;
- за неделю;
- за вчерашний день;
- за заданный вами период.
Для любого выбранного вами периода отсчет времени начинается с текущего дня. По умолчанию отображается информация за неделю.
- Фильтр по ресурсам:
- все образы;
- все образы вне кластеров;
- все образы в кластерах;
- образы конкретного кластера;
- образы CI/CD.
По умолчанию отображается информация по всем образам.
Виджеты в информационной панели
Kaspersky Security для контейнеров представляет аналитические данные в информационной панели с помощью виджетов, которые организованы в группы по типу данных. В Kaspersky Security для контейнеров доступны следующие группы виджетов и виджеты:
- Соответствие образа требованиям политик безопасности. Решение отображает следующую информацию:
- Общее количество образов.
- Количество образов со статусом Соответствует.
- Количество образов со статусом Не соответствует.
- Оценка риска образов. Виджет представляет следующую информацию по статусам объектов:
- Общее количество образов.
- Количество образов со статусом Критический.
- Количество образов со статусом Высокий.
- Количество образов со статусом Средний.
- Количество образов со статусом Низкий.
- Количество образов со статусом Незначительный.
- Количество образов со статусом Ок.
- Топ 10 контрольных показателей, по которым объекты наиболее часто не проходят проверку узлов кластера на соответствие отраслевому стандарту Kubernetes:
- 10 контрольных показателей на узлах (nodes) кластеров, по которым наиболее часто не проходит проверка.
- Количество узлов кластеров, которые не прошли проверку по указанному контрольному показателю.
- Топ 10 реестров о количестве образов с максимально высокой оценкой риска.
- Уязвимости:
- Топ 10 обнаруженных уязвимостей с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих указанную уязвимость.
Если уязвимость содержит эксплойт, рядом с уровнем критичности отображается значок эксплойта (
). С помощью переключателя Показывать только эксплойт над списком уязвимостей вы можете настроить отображение уязвимостей и решение будет показывать все соответствующие уязвимости или только уязвимости с эксплойтом.
- Топ 10 образов с максимальным количеством выявленных уязвимостей с уровнями критичности Критический и Высокий.
- Топ 10 обнаруженных уязвимостей с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих указанную уязвимость.
- Вредоносное ПО:
- Топ 10 самого часто обнаруживаемого вредоносного ПО и количество образов, содержащих это вредоносное ПО.
- Топ 10 образов с максимальным количеством найденного вредоносного ПО.
- Конфиденциальные данные:
- Топ 10 обнаруженных конфиденциальных данных с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
- Топ 10 образов с максимальным количеством найденных конфиденциальных данных с уровнями критичности Критический и Высокий.
- Ошибки конфигурации:
- Топ 10 обнаруженных ошибок конфигурации с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
- Топ 10 образов с максимальным количеством найденных ошибок конфигурации с уровнями критичности Критический и Высокий.
В списках объектов с указанием уровня критичности сортировка осуществляется со снижением уровня критичности (на первых позициях списка представлены объекты с максимально высоким уровнем критичности).
Профиль пользователя
Чтобы перейти на страницу с профилем пользователя:
- В главном меню нажмите на блок с именем текущего пользователя.
- Выберите Мой профиль.
На странице Мой профиль в Kaspersky Security для контейнеров отображается основная информация об активной учетной записи пользователя. Эта информация разделена на следующие блоки:
- Общая информация – показаны имя пользователя и отображаемое в веб-интерфейсе имя пользователя, контактный адрес электронной почты, а также перечень ролей, назначенных пользователю.
В этом блоке вы также можете изменить пароль для входа в консоль управления, нажав на кнопку Изменить пароль.
- Токен API – представлена информация о токене для подключения и получения доступа к решению через API. Значение действующего токена API скрыто маской, и вы можете просмотреть его, нажав на значок демаскировки (
), расположенный справа от токена. Скрыть значение токена маской можно, нажав на значок маскировки (
).
В этом блоке вы также можете скопировать значение действующего токена с помощью кнопки Копировать и при необходимости сгенерировать новый токен API, нажав на кнопку Повторно создать токен.
- Права – перечислены все права, назначенные пользователю.
Способы настройки отображения данных
Для таблиц в интерфейсе Kaspersky Security для контейнеров предусмотрены следующие способы настройки отображения данных:
- Фильтрация. Поля фильтра расположены над таблицами данных. Состав полей фильтра и способы управления фильтром зависят от специфики данных, отображаемых в разделе.
В некоторых разделах для открытия полей фильтра требуется нажать на значок фильтра (
).
- Сортировка по возрастания или убыванию. В некоторых разделах вы можете сортировать список данных по выбранному столбцу с помощью значка сортировки (
) в заголовке столбца.
- Поиск. Вы можете выполнять поиск по отображаемым данным с помощью поля Поиск, расположенного над таблицей и обозначенного значком поиска (
).
- Меню. В некоторых таблицах вы можете выполнять действия с объектами с помощью команд из меню в строках. Чтобы открыть меню для выбранного объекта, требуется нажать на значок меню (
) в строке объекта.
- Выбор. В некоторых таблицах вы можете выбирать элементы, установив флажок в поле (
). Чтобы снять флажок и отменить выбор, требуется повторно нажать на флажок в этом поле.
- Удаление. Вы можете удалять объекты в решении с помощью значка удаления (
) или ссылки Удалить, которая появляется при выборе объектов.
- Развертывание и свертывание списков. В некоторых таблицах с помощью значка развертывания (
) вы можете развернуть строку объекта для просмотра его составляющих. Чтобы свернуть элементы таблицы, требуется нажать на значок свертывания (
).
Лицензирование решения
Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky Security для контейнеров.
О Лицензионном соглашении
Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.
Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.
Вы можете ознакомиться с условиями Лицензионного соглашения во время установки Kaspersky Security для контейнеров.
Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку приложения и не должны использовать приложение.
Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы) может быть недоступна в приложении на территории США.
В начало
О лицензии
Лицензия – это ограниченное по времени право на использование Kaspersky Security для контейнеров, предоставляемое вам на основании Лицензионного соглашения.
Лицензия включает в себя право на использование приложения в соответствии с условиями Лицензионного соглашения, а также на получение технической поддержки. Список доступных функций и срок использования приложения зависят от типа лицензии, по которой было активировано приложение.
В Kaspersky Security для контейнеров предусмотрены следующие типы лицензий:
- NFR (not for resale / не для перепродажи) – бесплатная лицензия на определенный период, предназначенная для ознакомления с приложением и тестовых развертываний приложения.
- Коммерческая – платная лицензия, предоставляемая при приобретении приложения.
Функциональность решения, доступная по лицензии, зависит от вида лицензии. В Kaspersky Security для контейнеров предусмотрены следующие виды лицензии:
- Стандартная лицензия – предоставляет доступ к функциональным возможностям по интеграции с реестрами образов и платформами, сканированию для выявления угроз безопасности, оценке рисков и мониторингу статуса объектов.
- Расширенная лицензия – в дополнение к доступным в рамках стандартной лицензии функциональным возможностям предоставляет доступ к компонентам для мониторинга, контроля и анализа объектов, а также выявления ошибок конфигурации и защиты от угроз безопасности.
По истечении срока действия лицензии приложение продолжает работу, но с ограниченной функциональностью. Чтобы использовать Kaspersky Security для контейнеров в режиме полной функциональности, вам нужно приобрести коммерческую лицензию или продлить срок действия коммерческой лицензии.
В начало
О лицензионном сертификате
Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.
В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:
- номер лицензии или заказа;
- информация о пользователе, которому предоставляется лицензия;
- информация о приложении, которое можно активировать по предоставляемой лицензии;
- ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
- дата начала срока действия лицензии;
- дата окончания срока действия лицензии или срок действия лицензии;
- тип лицензии.
О лицензионном ключе
Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".
Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации.
Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.
В начало
О файле ключа
Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.
Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.
Чтобы активировать решение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".
Если файл ключа был случайно удален, вы можете его восстановить.
Для восстановления файла ключа вам нужно выполнить одно из следующих действий:
- Обратиться к продавцу лицензии.
- Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.
О коде активации
Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Security для контейнеров. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.
Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".
Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.
В начало
Процедура активации приложения
Активация приложения – это процедура введения в действие лицензии, дающей право на использование Kaspersky Security для контейнеров в течение срока действия лицензии.
Вы можете активировать приложение с помощью кода активации или файла ключа, предоставленных вам при покупке решения.
Активация с использованием кода активации применяется при установке решения в открытом контуре корпоративной сети с доступом в интернет. Активация с применением файла ключа используется при установке Kaspersky Security для контейнеров как в открытом контуре корпоративной сети, так и в закрытом контуре корпоративной сети без возможности подключения к интернет.
Чтобы активировать приложение с помощью кода активации:
- В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
- В появившемся окне способов добавления лицензионного ключа выберите Ввести код активации.
- В поле Код активации введите код активации и нажмите на кнопку Добавить.
Приложение активируется и открывается страница просмотра информации о лицензии.
Чтобы активировать приложение при помощи файла ключа:
- В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
- В открывшемся окне способов добавления лицензионного ключа выберите Применить файл ключа и нажмите на кнопку Загрузить и добавить.
- В открывшемся окне выберите файл с расширением key и нажмите на кнопку Открыть.
Приложение активируется и открывается страница просмотра информации о лицензии.
При активации приложения новый код активации или файл ключа замещают собой ранее введенный код активации или файл ключ.
В начало
Просмотр информации о лицензии
Вы можете просмотреть информацию о введенной в действие лицензии в веб-интерфейсе Kaspersky Security для контейнеров в разделе Параметры → Лицензирование.
На странице просмотра информации о лицензии представлены следующие параметры:
- Информация о лицензии. Kaspersky Security для контейнеров отображает следующее:
- Название компании-партнера "Лаборатории Касперского", у которого вы приобрели лицензию.
- Срок действия лицензии.
Срок действия начинается с момента покупки лицензии, а не с момента активации приложения.
- Информация о клиенте. В этом подразделе указываются данные о компании, которая приобрела лицензию:
- Название компании.
- Страна, в которой находится компания.
- Адрес электронной почты представителя клиента.
- Период, оставшийся до истечения срока действия лицензии. Решение отображает точную дату и время прекращения действия лицензии.
- Количество узлов (nodes) – максимально разрешенное в рамках лицензии количество узлов и количество задействованных узлов.
- Количество сканирований образов в месяц – максимально разрешенное в рамках лицензии количество сканирований образов и проведенных сканирований. Месяцем считаются последние 30 дней (текущий день - 30 дней).
- Функциональность в рамках лицензии. Решение отображает список функциональных возможностей, которые доступны вам в рамках приобретенной вами лицензии.
Продление срока действия лицензии
Когда срок действия лицензии подходит к концу, Kaspersky Security для контейнеров отображает следующие уведомления:
- О приближении к окончанию срока действия лицензии с указанием оставшегося срока действия. Вы получаете такое уведомление за 30, 14 и 7 дней до окончания срока действия лицензии.
- Об окончании срока действия лицензии и переходе решения в режим ограниченной функциональности. Такое уведомление направляется в день, когда срок действия лицензии истекает.
В режиме ограниченной функциональности возможности Kaspersky Security для контейнеров ограничиваются:
- Не производятся новые сканирования образов.
- В веб-интерфейсе не отображаются новые узлы (nodes), которые были добавлены в ранее созданные кластера после окончания срока действия лицензии.
- Добавление новых кластеров на мониторинг невозможно.
- Не производится обновление баз данных уязвимостей.
Вы можете продлить срок действия лицензии, применив новый код активации или добавив новый файл ключа. Чтобы продлить срок действия лицензии, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.
В начало
Удаление лицензионного ключа
Чтобы удалить лицензионный ключ:
- В разделе Параметры → Лицензирование нажмите на кнопку Удалить лицензионный ключ.
- Подтвердите удаление, нажав на кнопку Удалить.
Предоставление данных
Этот раздел содержит информацию о данных, которые решение Kaspersky Security для контейнеров может сохранять на устройстве и передавать в "Лабораторию Касперского" в ходе своей работы.
Если для активации решения Kaspersky Security для контейнеров вы использовали код активации, вы соглашаетесь в автоматическом режиме предоставлять в "Лабораторию Касперского" информацию в рамках процесса регулярного подтверждения статуса лицензионного ключа. Для подтверждения статуса лицензионного ключа решение Kaspersky Security для контейнеров периодически обращается на серверы активации "Лаборатории Касперского" и передает в "Лабораторию Касперского" следующую информацию:
- идентификатор регионального центра активации;
- заголовок лицензии на использование решения;
- тип контрольной суммы и контрольную сумму лицензионного ключа;
- дату и время создания лицензионного ключа;
- дату и время истечения срока действия лицензии на использование решения;
- идентификатор лицензии на использование решения;
- идентификатор информационной модели, примененной при предоставлении лицензии на использование решения;
- текущий статус лицензионного ключа;
- тип лицензии, с помощью которой активировано решение;
- уникальный идентификатор устройства;
- название семейства операционной системы на устройстве;
- идентификатор установки решения (PCID);
- идентификатор, локализацию и полную версию решения;
- идентификатор решения, полученный из лицензии;
- набор идентификаторов совместимого ПО;
- идентификатор ребрендинга решения;
- список юридических соглашений, показываемых пользователю решения;
- тип и версию юридического соглашения, условия которого были приняты пользователем в ходе использования решения.
Кроме того, используя код активации, вы соглашаетесь передавать в "Лабораторию Касперского" следующую информацию:
- код активации, введенный пользователем для активации решения;
- дату и время на устройстве пользователя;
- версию, номер сборки, номер обновления и редакцию операционной системы на устройстве;
- признак принятия пользователем условий юридического соглашения в ходе использования решения.
Используя код активации, вы соглашаетесь на автоматическую передачу в "Лабораторию Касперского" данных, перечисленных выше. Если вы не согласны предоставлять эту информацию, для активации Kaspersky Security для контейнеров следует использовать файл ключа.
Если вы используете серверы обновлений "Лаборатории Касперского" для загрузки обновлений, вы соглашаетесь предоставлять в автоматическом режиме следующую информацию:
- идентификатор решения Kaspersky Security для контейнеров, полученный из лицензии;
- полную версию решения;
- идентификатор лицензии на использование решения;
- вид действующей лицензии;
- идентификатор установки решения (PCID);
- идентификатор запуска обновления решения;
- обрабатываемый веб-адрес.
"Лаборатория Касперского" может использовать всю передаваемую информацию для формирования статистической информации о распространении и использовании программного обеспечения "Лаборатории Касперского".
Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.
Более подробная информация об обработке, хранении и уничтожении информации, полученной во время использования решения и переданной в "Лабораторию Касперского", приведена в Лицензионном соглашении и Политике конфиденциальности на веб-сайте "Лаборатории Касперского".
В начало
Работа с кластерами
Kaspersky Security для контейнеров предоставляет инструмент для отображения и анализа связей различных объектов внутри пространств имен в кластерах.
Кластер представляет собой набор
, которые запускают помещенные в контейнеры приложения.Использование кластеров позволяет осуществлять массовое сканирование образов в составе кластеров. При этом автоматически создаются реестры, найденные в кластере при сканировании. Kaspersky Security для контейнеров автоматически учитывает и фиксирует идентификационные данные для доступа к реестрам в составе кластера (имя пользователя, пароль, токен), а также формирует ссылку на этот объект. Таким реестрам присваивается имя в формате <имя кластера>_<название реестра>
. При работе с объектами кластера полученные идентификационные данные используются для доступа к реестрам.
Kaspersky Security для контейнеров отображает список доступных кластеров в виде таблицы в разделе Ресурсы → Активы → Кластеры.
Просмотр списка кластеров
В разделе Ресурсы → Активы → Кластеры в виде таблицы отображается список кластеров, доступных в Kaspersky Security для контейнеров. Для каждого кластера приводятся следующие данные:
- Имя кластера. По ссылке на имени кластера в столбце Имя кластера вы можете перейти на страницу просмотра пространств имен в составе такого кластера.
- Количество входящих в состав кластера пространств имен.
- Название оркестратора, в котором развернут кластер.
- Информация о максимальной оценке риска. Максимальная оценка риска присваивается кластеру на основе данных об оценках риска образов, входящих в состав такого кластера.
С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:
- По имени кластера – решение дает возможность расположить кластеры в столбце Имя кластера в алфавитном порядке по возрастанию (от А до Я) или по убыванию (от Я до А).
- По количеству пространств имен – с помощью сортировки в столбце Пространства имен вы можете расположить кластеры по убыванию или возрастанию количества пространств имен в них.
- По названию оркестратора – с помощью сортировки в столбце Оркестратор вы можете сгруппировать кластеры по оркестратору, в котором они развернуты.
- По максимальной оценке риска – решение дает возможность расположить кластеры по убыванию или возрастанию максимальной оценки риска, которая отображается в столбце Макс. оценка риска.
Визуальное отображение пространств имен в кластере и связей между ними вы можете посмотреть, нажав на кнопку Посмотреть в столбце Просмотр на графе. Kaspersky Security для контейнеров откроет граф пространства имен выбранного кластера.
Сканирование и визуальное представление ресурсов кластера доступны только при наличии развернутых агентов.
В начало
Пространства имен в кластере
Чтобы просмотреть пространства имен в составе кластера:
- Перейдите во вкладку Таблица в разделе Ресурсы → Активы → Кластеры.
- В столбце Имя кластера таблицы со списком кластеров нажмите на имя кластера.
Kaspersky Security для контейнеров откроет страницу, на которой представлена таблица со списком пространств имен в составе выбранного кластера.
Для каждого из пространств имен в кластере указывается следующее:
- Название пространства имен. По ссылке на названии пространства имен в столбце Пространство имен вы можете перейти на страницу просмотра подов в составе такого пространства имен.
- Количество контейнеров во всех подах выбранного пространства имен.
- Количество просканированных образов. В столбце Просканированные образы эта информация указывается в формате X/Y, например 1/8. Первое значение (X) представляет собой количество просканированных образов, а второе (Y) – общее количество образов в составе пространства имен.
- Количество образов со статусом В очереди. В столбце Обрабатываемые задания на сканирование решение отображает количество образов, входящих в состав заданий, которые поставлены в очередь и ожидают сканирования.
- Количество образов со статусом Ошибка. В столбце Невыполненные задания на сканирование показывается количество образов, сканирование которых завершилось с ошибкой.
- Максимальная оценка риска, присвоенная образам в пространстве имен.
С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:
- По названию пространства имен – решение дает возможность расположить объекты в столбце Пространство имен в алфавитном порядке по возрастанию (от А до Я) или по убыванию (от Я до А).
- По возрастанию или убыванию количества контейнеров в подах выбранного пространства имен.
- По возрастанию или убыванию количества образов со статусом В очереди.
- По возрастанию или убыванию количества образов со статусом Ошибка.
- По максимальной оценке риска – решение дает возможность расположить пространства имен по убыванию или возрастанию максимальной оценки риска, которая отображается в столбце Макс. оценка риска.
Визуальное отображение объектов в составе пространства имен и связей между ними вы можете посмотреть, нажав на кнопку Посмотреть в столбце Просмотр на графе. Kaspersky Security для контейнеров откроет граф приложений выбранного пространства имен.
Чтобы просмотреть визуальное отображение пространств имен в кластере и связей между ними,
перейдите во вкладку Граф в разделе Ресурсы → Активы → Кластеры.
В начало
Поды в кластере
Чтобы просмотреть список подов в составе пространства имен:
- В разделе Ресурсы → Активы → Кластеры откройте таблицу со списком пространств имен в кластере.
- В столбце Пространство имен этой таблицы нажмите на название пространства имен.
Kaspersky Security для контейнеров откроет страницу, на которой представлена таблица со списком подов в составе выбранного кластера.
Для каждого из подов в выбранном вами пространстве имен отображается следующее:
- Имя пода.
- Перечень наименований контейнеров, соответствующих поду.
- Имя образа, из которого развернут контейнер. По ссылке на имени образа вы можете перейти на страницу с результатами сканирования этого образа в разделе Ресурсы → Активы → Реестры.
- Статус соответствия требованиям политик безопасности.
- Оценка риска. Решение отображает оценку риска для образа, указанного в столбце Образ.
- Количество выявленных проблем безопасности (уязвимостей, вредоносного ПО, признаков конфиденциальных и ошибок конфигурации). Для уязвимостей решение отдельно приводит количество проблем безопасности с разделением по уровням критичности.
- Дата и время последнего сканирования объекта.
С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:
- По имени пода, наименованию контейнера или имени образа – решение дает возможность расположить объекты в столбцах Под, Контейнер и Образ в алфавитном порядке по возрастанию или по убыванию.
- По соответствию или не соответствию требованиям политик безопасности. Kaspersky Security для контейнеров может сгруппировать объекты по статусам Соответствует и Не соответствует.
- По оценке риска – решение дает возможность расположить объекты по уровню критичности.
- По дате и времени – Kaspersky Security для контейнеров может отобразить объекты, начиная с самых ранних или самых поздних по дате и времени сканирования.
Визуализация ресурсов кластера
Kaspersky Security для контейнеров дает возможность посмотреть визуальное представление объектов в составе одного или нескольких кластеров, а также связей между объектами в кластере и ресурсами вне кластера или области применения. В зависимости от уровня представления ресурсов кластера решение отображает следующее:
- Граф пространств имен – представлен кластер и входящие в его состав пространства имен.
- Граф приложений выбранного кластера – показывается кластер, входящие в его состав пространства имен, а также приложения раскрываемых пространств имен. Граф приложений можно максимально детализировать, раскрыв объекты до самого низкого уровня.
При работе с графами ресурсов кластера необходимо учитывать следующие особенности отображения объектов:
- Цифра справа вверху от иконки объекта показывает количество объектов более низкого уровня в составе указанного объекта (объектов-потомков).
- Объекты на графе представлены с учетом цветовой градации: с выделением цветом и без цветового выделения. Объект выделяется, если он соответствует параметрам, установленным в отношении оценки риска и соответствия объекта требованиям примененных политик безопасности.
- Группировка объектов на графе осуществляется по следующим принципам:
- выделенные цветом объекты группируются, если количество объектов больше пяти;
- невыделенные объекты группируются, если количество объектов больше двух.
- Объекты на графе могут быть скрыты при необходимости.
Визуальное представление ресурсов кластера формируется, если для этого кластера существуют активные агенты.
В начало
Ресурсы кластера на графе
Kaspersky Security для контейнеров проверяет и отображает входящие в кластер ресурсы и связи между ними. Такая проверка проводится для всех кластеров с активными агентами.
Ресурсы кластера – это сущности или объекты, которые хранятся в оркестраторе и используются для представления состояния кластера. С их помощью можно получить информацию о запущенных контейнеризированных приложениях, месте их запуска (узлах), и доступных для них ресурсах. Также объекты кластера определяют стратегии управления запущенными приложениями (например, повторный запуск или обновление).
В интерфейсе Kaspersky Security для контейнеров объектом самого высокого уровня (объектом-родителем) является кластер. Он включает в себя пространства имен, в которых запускаются приложения. В свою очередь, приложения включают в себя поды и другие объекты.
Кластер представляет собой несколько физических или виртуальных машин (узлов), которые выполняют контейнеризированные приложения. В Kubernetes выделяются следующие виды узлов:
- Мастер-узел – реализует API-объекты и используется для управления кластером и ресурсами в нем.
- Рабочий узел – используется для запуска полезной рабочей нагрузки. В состав кластера входит один или несколько рабочих узлов.
Kaspersky Security для контейнеров отображает кластер на графе с помощью значка кластера ().
В зависимости от требуемого уровня детализации, с которой показываются ресурсы кластера, Kaspersky Security для контейнеров отображает необходимый тип графа: граф пространства имен или граф приложений. В таблице далее представлены все объекты, которые могут входить в состав кластера и показываются на графе.
Объекты в составе кластера
Объект |
Обозначение |
Описание |
---|---|---|
Пространство имен (Namespace) |
Механизм изоляции ресурсов в составе кластера. В состав пространства имен входят различные объекты, необходимые для конкретного рабочего пространства (например, Deployment, Service). Kaspersky Security для контейнеров может группировать пространства имен на графе и отображать такую группу объектов с указанием количества сущностей в ней (например, |
|
Под (Pod) |
Сущность, включающая в себя один или несколько контейнеров с общими сетевыми ресурсами, а также набор правил для запуска входящих в под контейнеров. |
|
Приложение (Application) |
Группа объектов в кластере, которая в Kaspersky Security для контейнеров условно считается одной сущностью. Приложение формируется из следующих объектов:
Отдельные поды не формируют приложение. Они продолжают функционировать в составе пространства имен и на графе показываются отдельно. |
|
Deployment |
Объект, включающий в себя набор правил, которые описывают поды и запуск приложений в них, количество реплик подов, а также порядок их замены в случае изменения характеристик. |
|
DaemonSet |
Объект, отвечающий за создание и запуск подов из одного и того же образа на всех узлах кластера. В Kaspersky Security для контейнеров DaemonSet используется для размещения агента (node-agent) на каждом узле кластера для получения информации и управления процессами в подах. |
|
Ingress |
Объект, который обеспечивает внешний доступ к сервисам в кластере, как правило, с помощью протоколов HTTP и HTTPS. |
|
ReplicaSet |
Объект, который обеспечивает выполнение реплик пода. ReplicaSet поддерживает наличие определенного количества одинаковых подов. |
|
Secret |
Объект для хранения конфиденциальной информации (например, пароля, токена или ключа). Secret позволяет не хранить такие данные в коде приложения. Secret создается отдельно от подов, которые используют такие объекты для хранения конфиденциальной информации. Это снижает риск раскрытия секретов при создании, просмотре и изменении подов. |
|
Service |
Объект, описывающий сетевые возможности приложений в подах. Service объединяет поды в логические группы, перенаправляет к ним трафик, а также балансирует нагрузку между ними. |
|
Endpoints |
Список конечных точек сети, к которым обращается объект Service, чтобы определить, на какие поды можно направлять трафик. |
|
StatefulSet |
Объект рабочей нагрузки, который используется для управления приложениями с отслеживанием и сохранением их состояния. StatefulSet используется в приложениях, которые требуют следующего:
|
|
ConfigMap |
Объект для хранения неконфиденциальной информации в парах типа "ключ-значение". ConfigMap в подах используется как переменная окружения, аргумент командной строки или файл конфигурации в составе тома. Использование ConfigMap позволяет разделить заданные окружением параметры конфигурации и образы в контейнере, чтобы облегчить переносимость используемых приложений. |
|
Persistent volume (PV) |
Специально выделенный постоянный ресурс (том) для хранения данных подов в кластере. PV не зависит от подов, хранит находящуюся в нем информацию и при реализации множественного доступа дает возможность другим подам использовать эту информацию. |
|
Persistent volume claim (PVC) |
Заявка на хранение данных с указанием требований к хранилищу (PV), которую формирует пользователь. Например, в PVC может указываться необходимый объем хранилища и режим доступа к данным в нем (например, одиночный доступ для чтения или множественный доступ для чтения и записи). |
Граф пространств имен
Чтобы посмотреть граф пространств имен выбранного кластера,
в таблице со списком кластеров нажмите на кнопку Посмотреть.
Kaspersky Security для контейнеров показывает кластер с входящими в него пространствами имен.
Kaspersky Security для контейнеров дает возможность посмотреть информацию о кластере и пространствах имен на графе пространств имен на боковой панели или в форме таблицы. На боковой панели информация представляет собой краткую общую информацию об объекте. В таблице более подробно показывается статус проверки объектов в составе кластера на наличие угроз безопасности. Данные на боковой панели и в таблице частично дублируются.
В начало
Просмотр информации об объектах графа в боковой панели
Чтобы посмотреть информацию о кластере в боковой панели:
- Нажмите на левую кнопку мыши на значке кластера (
) или на значке пространства имен (
) на графе пространств имен.
- В открывшемся меню выберите Подробная информация.
В открывшейся боковой панели с подробной информацией в зависимости от объекта Kaspersky Security для контейнеров отображает следующие данные:
- Для кластера:
- Имя кластера.
- Количество пространств имен в составе кластера.
- Платформа оркестрации кластера.
- Максимальная оценка риска, присвоенная объектам в составе кластера.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Для пространства имен:
- Имя пространства имен.
- Количество контейнеров и приложений в пространстве имен.
- Количество просканированных образов в составе пространства имен.
- Количество обрабатываемых и невыполненных заданий на сканирование.
- Максимальная оценка риска, присвоенная объектам в составе кластера.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.
- Для кластера:
Просмотр информации об объектах графа в таблице
Чтобы посмотреть информацию об объектах на графе в форме таблицы:
- Нажмите на левую кнопку мыши на одном из следующих значков на графе пространств имен:
- На значке кластера (
).
- На значке группы пространств имен (
).
- На значке пространства имен (
).
- На значке кластера (
- В открывшемся меню выберите Открыть в таблице.
Решение открывает таблицу с информацией о выбранном объекте или группе объектов внизу рабочей области под графом. В зависимости от объекта в открывшейся таблице Kaspersky Security для контейнеров отображает следующую информацию:
- Для кластера или группы пространств имен:
- Список пространств имен в составе кластера.
- Количество контейнеров в каждом пространстве имен.
- Количество просканированных образов, обрабатываемых и невыполненных заданий на сканирование для каждого пространства имен.
- Максимальная оценка риска, присвоенная объектам в составе кластера.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Для выбранного пространства имен:
- Перечень приложений в составе этого пространства имен и их типы.
- Количество подов и контейнеров в каждом приложении.
- Максимальная оценка риска, присвоенная объектам в составе пространства имен.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Для кластера или группы пространств имен:
Также с помощью таблицы вы можете настроить отображение объектов на графе, чтобы скрыть или показать пространства имен.
В начало
Граф приложений
Чтобы посмотреть граф приложений выбранного кластера:
- Перейдите в раздел Ресурсы → Активы → Кластеры.
- Выполните одно из следующих действий:
- На вкладке Таблица откройте таблицу со списком пространств имен и нажмите на кнопку Посмотреть.
- На вкладке Граф откройте граф пространства и выполните одно из следующих действий:
- Двойным щелчком мыши разверните пространство имен до приложений.
- Нажмите на левую кнопку мыши на значке пространства имен (
) и в открывшемся меню выберите Развернуть на графе.
Kaspersky Security для контейнеров отобразит все приложения в составе выбранного пространства имен.
Каждое приложение можно раскрыть до уровня подов. Вы можете посмотреть подробную информацию о следующих объектах на графе приложений выбранного кластера:
В начало
Просмотр информации о приложении
Чтобы открыть информацию о приложении на графе приложений,
нажмите на левую кнопку мыши на значке приложения () и в открывшемся меню выберите Подробная информация.
Kaspersky Security для контейнеров откроет боковую панель с подробной информацией о приложении.
Решение отображает следующую информацию о приложении:
- Тип объекта и тип приложения (например, Приложение: Deployment).
- Название приложения.
- Максимальная оценка риска. Решение присваивает приложению оценку риска в соответствии с самым высоким уровнем критичности среди всех объектов в составе рассматриваемого приложения.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- На вкладке Контейнеры приводится следующая информация о контейнерах в рассматриваемом поде:
- Название контейнера.
- Имя образа, из которого развернут контейнер.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Максимальная оценка риска, присвоенная контейнерам в поде.
- Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.
- Дата и время последнего сканирования образа, из которого развернут контейнер.
- На вкладке Политики отображается информация о примененных к приложению политиках безопасности образов и политиках среды выполнения.
В блоке Политики безопасности образов представлена следующая информация:
- Статус применения политики (Пройдено/Не пройдено).
- Название политики.
- Указание на имеющиеся угрозы безопасности. В рамках примененной политики результаты проверки могут отображаться следующим образом:
- Проверка проводилась, выявлены угрозы безопасности (
).
- Проверка проводилась, угрозы безопасности не выявлены (
).
- Проверка на наличие этого типа угроз безопасности не проводилась (
).
- Проверка проводилась, выявлены угрозы безопасности (
В блоке Политики среды выполнения представлена следующая информация:
- Название политики.
- Режим применения политики (Аудит/Блокирование).
Нажав на ссылку на названии политики во вкладке Политики, вы можете просмотреть ее детальное описание. На боковой панели отображается следующая информация:
- Тип политики и ее название.
- Описание политики (при наличии).
- Автор политики.
- Режим (для политики среды выполнения).
- Перечень заданных областей применения.
- Действия, которые выполняются при применении политики (для политики безопасности образов).
- Установленные контрольные показатели и их параметры.
Вы можете изменить параметры политики безопасности образов, нажав на кнопку Изменить политику.
Для просмотра детального описания политик необходимо иметь права на их просмотр. Чтобы вносить изменения в параметры политики, необходимы права на управление политиками.
Просмотр информации об объектах в составе приложения
Чтобы открыть информацию об объектах на графе приложений:
- На графе приложений выберите приложение, об объектах которого вы хотите получить информацию, и выполните одно из следующих действий:
- Двойным щелчком мыши разверните приложение до составляющих его объектов.
- Нажмите на левую кнопку мыши на значке приложения (
) и в открывшемся меню выберите Развернуть на графе.
- Выберите интересующий вас объект и двойным щелчком мыши раскройте информацию о нем на боковой панели.
Kaspersky Security для контейнеров откроет боковую панель с подробной информацией о выбранном объекте.
В зависимости от типа объекта приводятся дополнительные сведения о выбранной сущности. В таблице далее описывается состав информации, которую решение отображает по различным объектам в составе приложения.
Информация об объектах в составе приложения
Объект |
Отображаемые данные об объекте |
---|---|
Deployment |
|
DaemonSet |
|
Ingress |
|
Secret |
|
ReplicaSet |
|
Service |
|
Endpoint |
|
StatefulSet |
|
ConfigMap |
|
Persistent volume |
|
Persistent volume claim |
|
Для всех объектов с помощью кнопки .Загрузить файл в формате .yaml вы можете сформировать и загрузить файл с описанием текущего состояния объекта в формате .YAML.
В начало
Просмотр информации о поде
Чтобы открыть информацию о поде,
на графе выберите под, о котором вы хотите получить информацию, и двойным щелчком мыши раскройте информацию о нем на боковой панели.
Kaspersky Security для контейнеров отображает поды на всех типах графов: на графе пространств имен и на графе приложений.
Решение откроет боковую панель с подробной информацией о поде.
Kaspersky Security для контейнеров отображает следующую информацию о поде:
- Тип объекта.
- Максимальная оценка риска среди образов пода.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
- Название пода.
- На вкладке Общая информация приводится следующая информация об объекте:
- Дата и время создания.
- Метки.
- Статус запуска пода.
- Время жизни пода – период между датой и временем на момент просмотра информации о поде и датой и временем создания пода.
- Перечень используемых контейнерами пода портов в следующем формате: <
"название порта" протокол порт
>. Например,"dns" UDP 53
. - Доступные системные функции пода.
- Название PV, которое используется подом.
- Название используемого PVC.
- Название приложения, пространства имен и кластера, внутри которых находится под.
Также на этой вкладке с помощью кнопки Загрузить файл в формате *.yaml вы можете сформировать и загрузить файл с описанием рассматриваемого пода.
- Во вкладке Контейнеры представлена следующая информация по контейнерам в составе пода:
- Название контейнера.
- Название образа, из которого развернут контейнер.
- Статус соответствия развернутого образа требованиям политик безопасности – Соответствует или Не соответствует.
- Максимальная оценка риска развернутого образа.
- Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.
- Дата и время последнего сканирования образа, из которого развернут контейнер.
- Перечень используемых контейнерами пода портов в следующем формате: <
"название порта" протокол порт
>. - Указание на дополнительные свойства контейнера – он является .
- Во вкладке Политики отображается информация о примененных к поду политиках безопасности образов и политиках среды выполнения. Данные о примененных к поду политиках приводятся в двух блоках (Политики безопасности образов и Политики среды выполнения) аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе.
Для просмотра детального описания политик необходимо иметь права на их просмотр. Чтобы вносить изменения в параметры политики, необходимы права на управление политиками.
Просмотр информации об объектах графа приложений в таблице
Чтобы посмотреть информацию об объектах на графе приложений в форме таблицы:
- Выполните одно из следующих действий:
- Нажмите на левую кнопку мыши на значке пространства имен (
) с указанием количества приложений внутри пространства имен на графе.
- Нажмите на левую кнопку мыши на значке группы приложений в составе пространства имен (
).
- Нажмите на левую кнопку мыши на значке пространства имен (
- В открывшемся меню выберите Открыть в таблице.
Решение открывает таблицу с информацией о приложениях внизу рабочей области под графом. Kaspersky Security для контейнеров отображает следующую информацию:
- Название приложений в составе этого пространства имен и их типы (типы объектов-родителей).
- Количество подов и контейнеров в каждом приложении.
- Максимальная оценка риска, присвоенная объектам в составе пространства имен.
- Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
Цветовое выделение объектов на графе
Чтобы выделить объекты на графе:
- Нажмите на кнопку Выделить объекты, расположенную над графом.
Kaspersky Security для контейнеров откроет боковую панель для настройки параметров выделения объектов.
- Установите флажки, чтобы указать значения следующих параметров:
- Оценка риска. Вы можете выбрать один или несколько уровней критичности риска (Критический, Высокий или Средний). Если флажки не устанавливаются, объекты на графе не выделяются цветом.
По умолчанию установлены флажки для значений Критический и Высокий.
- Соответствие требованиям. Если установлен флажок Не соответствует, решение будет выделять цветом объекты, которые не соответствуют требованиям примененных политик безопасности. Если этот флажок не установлен, объекты на графе не будут выделяться цветом вне зависимости от их соответствия или несоответствия стандартам.
По умолчанию указано Не соответствует.
- Оценка риска. Вы можете выбрать один или несколько уровней критичности риска (Критический, Высокий или Средний). Если флажки не устанавливаются, объекты на графе не выделяются цветом.
- Нажмите на кнопку Применить.
Kaspersky Security для контейнеров обновит граф и отобразит объекты с учетом установленных вами значений параметров.
Для каждого пользователя решение сохраняет установленные этим пользователем значения параметров для выделения объектов и применяет их к отображению объектов кластеров, которые этот пользователь откроет позднее.
Настройка видимости объектов на графе
По умолчанию Kaspersky Security для контейнеров отображает на графе все пространства имен в составе кластера. При необходимости вы можете скрыть пространства имен, если они и входящие в них объекты неинтересны вам в рамках конкретной аналитической задачи.
Настройка видимости объектов на графе осуществляется:
- На графе.
- В таблице с информацией об объекте-потомке.
Чтобы скрыть пространство имен с помощью графа:
- Нажмите на левую кнопку мыши на значке объекта на графе.
- В открывшемся меню выберите Скрыть.
Kaspersky Security для контейнеров обновит граф и скроет указанный объект.
Восстановить видимость объекта можно с помощью таблицы с подробной информацией об объекте-родителе или группе объектов.
Чтобы настроить видимость пространства имен с помощью таблицы:
- В таблице с пространствами имен в составе графа выберите один или несколько объектов, для которых вы хотите изменить настройки видимости.
- С помощью расположенных над таблицей кнопок выполните одно из следующих действий:
- Чтобы отобразить объект на графе, нажмите на кнопку Показать на графе.
- Чтобы не показывать объект на графе, нажмите на кнопку Скрыть на графе.
Kaspersky Security для контейнеров обновит граф и отобразит объекты с учетом установленных вами значений параметров. В столбце Отображение данных в таблице приводится информация о том, показан или скрыт объект на графе.
Сетевые соединения на графе
Kaspersky Security для контейнеров отображает на графе сетевые взаимодействия между сущностями, а также предоставляет информацию о возникших сетевых процессах между ресурсами кластера.
Чтобы посмотреть сетевые процессы в кластере:
- В разделе Ресурсы → Активы → Кластеры перейдите во вкладку Граф.
- Нажмите на кнопку Показать сетевые процессы над областью графа.
Решение откроет боковую панель с доступными для отображения типами сетевых процессов.
- С помощью установки флажков выберите один или несколько вариантов показа сетевых процессов на графе. Для выбора доступны следующие варианты показа:
- Показать проверенные процессы. Решение отображает сетевые соединения, который были выявлены в соответствии с примененными политиками среды выполнения в режиме Аудит.
- Показать заблокированные процессы. Решение отображает попытки сетевых соединений, которые были заблокированы в соответствии с примененными политиками среды выполнения в режиме Блокирование.
- Показать остальные процессы. Решение показывает сетевые соединения, которые не попали под действие примененных политик среды выполнения в режимах Аудит и Блокирование.
- Нажмите на кнопку Применить.
Решение обновит граф и отобразит выбранные сетевые процессы.
Принципы отображения сетевых соединений
В отношении отображения сетевых соединений на графе в Kaspersky Security для контейнеров применяются следующие принципы:
- Решение отображает процессы между двумя объектами (группами объектов в составе кластера), либо между объектом (группой объектов) и ресурсами вне кластера. Стрелка на графе начинается от объекта-отправителя и указывает на объект-получатель. Если между парой связанных сетевым соединением объектов осуществляются одинаковые типы сетевых процессов (например, проверенные сетевые процессы) и трафик между ними носит двусторонний характер, решение отображает их с помощью двунаправленной стрелки.
- Если объект-получатель находится за рамками рассматриваемого кластера, соответствующей инфраструктуры или назначенной пользователю области применения, решение указывает его как Ресурсы вне кластера/области.
- Сетевые соединения с группой пространств имен или группой приложений на графе отображаются, если выявлен входящий или исходящий трафик хотя бы с одним объектом внутри такой группы. При развертывании группы до составляющих ее объектов соединение показывается с конкретным ресурсом.
- Если от объекта к другому объекту осуществляется несколько сетевых процессов, решение отображает их с учетом приоритета сетевых процессов. Максимальный приоритет имеют заблокированные процессы, минимальный – другие процессы.
Решение отображает различные виды сетевых процессов следующим образом:
- Заблокированные процессы на графе показываются с помощью красной пунктирной линии с крестиком (
).
- Проверенные процессы на графе представлены с помощью сплошной красной линии со стрелкой (
).
- Остальные процессы на графе отображаются с помощью сплошной черной линии со стрелкой (
).
- Двусторонние сетевые процессы на графе показываются с помощью линии, определяющей один из видов сетевых процессов, со стрелками с двух сторон (
).
- Если навести курсор на линию сетевого соединения на графе, она становится выделенной и меняет цвет (
).
Просмотр информации о сетевых процессах
Kaspersky Security для контейнеров предоставляют информацию о сетевых процессах в краткой и полной форме.
Чтобы посмотреть краткую информацию о сетевых процессах,
наведите курсор мыши на интересующее вас сетевое соединение.
Решение отобразит всплывающую подсказку с количеством неуникальных соединений для каждого типа сетевого процесса (для заблокированных, проверенных и остальных процессов).
Чтобы посмотреть полную информацию о сетевых процессах,
нажмите на левую кнопку мыши на интересующем вас соединении.
Решение откроет боковую панель с информацией о сетевых процессах для выбранного соединения.
В боковой панели представлены данные о сетевых процессах, полученные в течение 15 минут до вызова панели. Информация по сетевым процессам приводится в форме таблиц во вкладках Проверенные процессы, Заблокированные процессы, Остальные процессы. Рядом с названием вкладок указывается количество найденных соединений.
Таблицы имеют одинаковую структуру и содержат следующие данные:
- В столбце Источник указывается имя пода, который является отправителем сетевого трафика, и IP-адрес пода в формате
<IP-адрес пода:порт исходящего трафика>
. По ссылке в имени пода вы можете открыть подробное описание этого пода. - В столбце Протокол указывается протокол взаимодействия подов.
- В столбце Точка назначения отображается имя пода, который является получателем сетевого трафика, и IP-адрес пода в формате
<IP-адрес пода:порт входящего трафика>
. По ссылке в имени пода вы можете открыть подробное описание этого пода. - В столбце Количество соединений указывается общее количество неуникальных соединений между отправителем и получателем трафика.
- В столбце Последнее соединение показываются дата и время последнего неуникального соединения между отправителем и получателем трафика.
Если объект-отправитель или объект-получатель находится вне рассматриваемого кластера, в столбцах Источник или Точка назначения, соответственно, указывается доменное имя и IP-адрес такого объекта (если решение может их получить).
В начало
Отображение графа с учетом области применения
Отображение ресурсов кластера на графе осуществляется с учетом назначенной роли пользователя области применения. При этом необходимо учитывать следующее:
- Если роли пользователя назначена глобальная область применения, на графе показываются все ресурсы кластера.
- Если роли пользователя назначена область применения с доступом к конкретному образу в составе пространства имен, на графе это пространство имен отображается полностью (показываются все сущности в пространстве имен).
- Если роли пользователя назначена область применения, у которой доступ к конкретным пространствам имен отсутствует, эти пространства имен на графе не отображаются.
Если с учетом назначенной области применения для выбранного кластера невозможно показать ни одного пространства имен, решение информирует об отсутствии данных для отображения.
Настройка интеграции с внешними реестрами образов
Kaspersky Security для контейнеров может сканировать образы из следующих внешних реестров образов:
- Harbor.
- GitLab Registry.
- JFrog Artifactory.
- Sonatype Nexus Repository OSS.
- Yandex Registry.
- Docker Hub.
- Docker Registry.
Чтобы решение могло сканировать образы из внешних реестров, вам нужно настроить его интеграцию с этими реестрами. Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут сканироваться автоматически или вручную, в зависимости от настроенных параметров выгрузки и сканирования образов для каждого реестра.
Минимально достаточные права для интеграции с реестрами
Для осуществления интеграции с внешними реестрами образов учетной записи Kaspersky Security для контейнеров требуется обладать определенным набором прав, который различается в зависимости от типа реестра. Ниже для каждого типа реестра представлен перечень минимально достаточных для интеграции прав учетной записи.
GitLab
Для интеграции решения с реестром учетной записи пользователя GitLab требуется определить значения параметров следующим образом:
- Роль пользователя в проекте или группе: Репортер (Reporter).
- Уровень доступа к проекту: Репортер (Reporter).
- Права, назначенные токену пользователя: read_api, read_registry.
JFrog
Для интеграции решения с реестром учетной записи пользователя JFrog требуется определить значения параметров следующим образом:
- Роль пользователя в проекте или группе: Управление отчетами (Manage Reports).
- Вариант доступа к проекту: Полномочия на обновление профиля (Can Update Profile).
- Права пользователя: право на чтение любого репозитория (репозиторий ANY).
Harbor
Для интеграции решения с реестром учетной записи пользователя Harbor требуется определить значения параметров следующим образом:
- Тип участия в проекте: пользователь. Для этого в столбце Тип участия (Member Type) таблицы в разделе Проекты → Участники требуется указать Пользователь (User).
- Роль пользователя в проекте или группе: пользователь с ограниченными правами. Для этого в столбце Роль (Role) таблицы в разделе Проекты → Участники требуется указать Гость с ограниченными правами (Limited Guest).
- Права пользователя: пользователь без прав администратора. Для этого в столбце Администратор таблицы в разделе Пользователи (Users) требуется выбрать Нет (No).
Nexus
Для интеграции решения с реестром учетной записи пользователя Nexus требуется определить значения параметров следующим образом:
- Роль пользователя в проекте или группе: пользователь.
- Права, назначенные роли пользователя в проекте или группе: nx-apikey-all, nx-repository-view-docker-*-browse, nx-repository-view-docker-*-read.
Docker Hub
Интеграция решения с реестром учетной записи пользователя Docker Hub осуществляется после авторизации с использованием имени пользователя и пароля.
Этот вариант интеграции с реестром Docker Hub применяется только для личного пространства имен.
В начало
Работа с публичными реестрами образов без авторизации
В версии 1.2 Kaspersky Security для контейнеров не работает с публичными реестрами образов без авторизации. Например, вы не можете осуществлять проверку образов с помощью решения при анонимном доступе в Docker Hub.
Без процедуры авторизации в публичных реестрах образов вы можете использовать такие реестры образов в кластере, добавлять в Kaspersky Security для контейнеров и вручную назначать определенной области применения. Если область применения включает в себя только один или несколько публичных реестров, в которых вы не авторизованы, и вы попытаетесь добавить образ в разделе Ресурсы → Активы → Реестры, решение отображает ошибку о невозможности добавления образов в связи с отсутствием интеграции с реестрами образов.
В начало
Создание интеграции с внешним реестром образов
Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 1.2 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.
Чтобы создать интеграцию с внешним реестром:
- В разделе Администрирование → Интеграции → Реестры образов нажмите на кнопку Добавить реестр.
Откроется окно ввода параметров интеграции.
- На вкладке Параметры реестра укажите параметры подключения к реестру:
- Введите название реестра.
- Если требуется, введите описание реестра.
- Выберите тип реестра из раскрывающегося списка поддерживаемых типов. Решение поддерживает следующие типы реестров:
- Harbor (интеграция с использованием Harbor V2 API).
- GitLab Registry (интеграция с использованием GitLab Container Registry API).
- JFrog Artifactory (интеграция с использованием jFrog API).
- Sonatype Nexus Repository OSS (интеграция с использованием Nexus API).
- Yandex Registry (интеграция с использованием Yandex Container Registry API).
- Docker Hub (интеграция с использованием Docker Hub API).
- Docker Registry (интеграция с использованием Docker V2 API).
Доступ к реестру Docker Registry с использованием Docker V2 API можно получить, если вы настраиваете интеграцию с Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (с помощью порта или поддомена) или Yandex Registry. Интеграции с GitLab Registry, Docker Hub и JFrog Artifactory (с помощью Repository Path) не поддерживаются.
- Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker Hub из раскрывающегося списка Метод Repository Path выберите один из следующих методов:
- Repository path.
- Поддомен.
- Порт.
- Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS или Docker Registry, введите полный веб-адрес (URL) реестра, который указывает непосредственно на реестр контейнеров. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).
При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.
- Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry и Sonatype Nexus Repository OSS, введите полный веб-адрес (URL), который указывает на API реестра.
- Выберите метод аутентификации и укажите для него необходимые данные следующим образом:
- Если вы настраиваете интеграцию с реестром типа GitLab Registry, выберите аутентификацию с помощью учетной записи или токена доступа.
- Если вы настраиваете интеграцию с реестром типа Yandex Registry, выберите аутентификацию с помощью ключа API (OAuth-токен Yandex) или с помощью имени пользователя и токена. В качестве имени пользователя укажите oauth при использовании OAuth-токена Yandex или iam при использовании IAM-токена Yandex.
- Для реестров типа Sonatype Nexus Repository OSS и Docker Hub аутентификация возможна только с помощью учетной записи.
- Для реестров типа Harbor аутентификация возможна только с помощью учетной записи пользователя или робота.
- Для реестров типа Docker Registry аутентификация возможна только с помощью имени пользователя и пароля, значения которых предоставляются Docker V2 API.
- Перейдите на вкладку Параметры сканирования образов и укажите максимальное время сканирования образов из этого реестра в минутах.
Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.
- Настройте параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.
Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:
- Сканировать раз в – блок параметров, определяющих периодичность выгрузки образов из реестра для сканирования. Время указывается в соответствии со временем узла, на котором развернут сервер.
- Сканировать образы повторно – если флажок установлен, ранее выгруженные из реестра образы сканируются повторно при каждом сканировании новых образов.
- Шаблоны имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.
Вы можете использовать шаблоны следующих форматов:
- шаблон по имени и тегу образа – <имя><:тег>;
- шаблон только по имени образа – <имя>;
- шаблон только по тегу образа – <:тег>.
Например:
- по шаблону
alpine
будут выгружаться все образы с именем alpine, независимо от тега; - по шаблону
:4
будут выгружаться все образы с тегом 4, независимо от имени образа; - по шаблону
alpine:4
будут выгружаться все образы, с именем alpine и с тегом 4.
При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.
Чтобы добавить шаблон, введите его в поле и нажмите на кнопку Добавить. Вы можете добавить один или несколько шаблонов.
- Дополнительные условия для выгрузки образов.
- Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
- Образы, созданные за период – выберите этот вариант, если требуется выгружать только образы, созданные за определенный период (за указанное количество последних дней, месяцев или лет). Укажите в полях справа длительность периода и единицу измерения. По умолчанию установлено 60 дней.
- Последние – выберите этот вариант, если требуется выгружать только образы с последними тегами, считая от даты создания образа. Укажите в поле справа, сколько последних тегов нужно учитывать.
- Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
- Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
- Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с реестром.
- Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.
Просмотр информации об интеграциях с реестрами
В разделе Администрирование → Интеграции → Реестры образов отображается таблица со списком всех реестров, интегрированных с Kaspersky Security для контейнеров.
В таблице отображаются следующие данные об интегрированных реестрах:
- Название интеграции с реестром образов.
- Описание, если оно указывалось при создании интеграции с реестром образов.
- Тип подключенного реестра – Docker, Harbor, GitLab, JFrog или Nexus.
- Веб-адрес реестра.
- Статус последнего соединения с реестром образов – Успешно или Ошибка. Если указывается Ошибка, решение также отображает краткое описание ошибки при соединении.
В таблице вы можете выполнять следующие действия:
- Добавлять новые интеграции с реестрами. Окно ввода параметров интеграции открывается с помощью кнопки Добавить реестр над таблицей.
- Просматривать и изменять параметры интеграции с реестром, в том числе параметры выгрузки и сканирования образов. Окно редактирования открывается по ссылке на названии реестра.
В этом окне с помощью кнопки Проверить соединение вы также можете посмотреть, устанавливается ли соединение с реестром.
- Удалять интеграции с реестром.
Удаление интеграции с внешним реестром
Чтобы удалить интеграцию с внешним реестром:
- В разделе Администрирование → Интеграции → Реестры образов выберите интеграцию для удаления, установив флажок в строке с названием реестра. Вы можете выбрать одну или несколько интеграций.
- Нажмите на кнопку Удалить, которая расположена над таблицей.
Кнопка Удалить становится активной после выбора одной или нескольких интеграций.
- Подтвердите удаление в открывшемся окне.
Kaspersky Security для контейнеров не сканирует образы из реестра, интеграция с которым удалена.
В начало
Интеграция с Harbor
Интеграция Kaspersky Security для контейнеров с внешним реестром Harbor осуществляется двумя способами:
Harbor рассматривает решение как дополнительный внешний сканер для проверки объектов на наличие в них уязвимостей. Интеграция с Kaspersky Security для контейнеров настраивается с помощью плагина интеграции со сканером для Harbor (Harbor scanner plugin). Решение присваивает такому автоматически созданному реестру образов название Harbor External Integration и отмечает репозиторий, в котором он находится, значком Harbor ().
Такая интеграция остается единственной автоматически созданной интеграцией с Harbor, а присвоенное реестру образов название невозможно изменить.
Для запуска процесса сканирования Harbor необходимо знать конечную точку API-интерфейса Kaspersky Security для контейнеров.
Для создания интеграции по запросу Harbor требуются права на просмотр и настройку сканирования в CI/CD. Если такие права отсутствуют, Harbor не сможет подключить решение в качестве сканера и проводить проверку объектов в рамках процесса CI/CD.
В начало
Создание интеграции по запросу Harbor
Для создания интеграции с реестром по запросу Harbor необходимо иметь учетную запись Harbor с правами администратора, а также права на просмотр и настройку сканирования в CI/CD в Kaspersky Security для контейнеров. Если такие права отсутствуют, Harbor не сможет подключить решение в качестве сканера.
Чтобы создать интеграцию с Harbor по запросу Harbor:
- В главном меню в левой панели в веб-интерфейсе Harbor выберите Administration → Interrogation Services.
- Нажмите на кнопку New Scanner.
- Введите следующую информацию:
- Уникальное имя интеграции с решением для отображения в интерфейсе Harbor.
- При необходимости, описание добавляемого внешнего сканера.
- Адрес конечной точки API-интерфейса Kaspersky Security для контейнеров, который показывается Harbor.
- В раскрывающемся списке Authorization выберите APIKey как способ авторизации при подключении реестра к решению.
- В поле APIKey введите значение токена API.
Если токен API меняется, необходимо указать его новое значение до запуска сканирования Harbor. Если новый токен API не будет добавлен в параметры внешнего сканера в Harbor, сканирование завершится с ошибкой.
- Установите флажок Skip certificate verification, чтобы пропустить проверку сертификата.
- При необходимости нажмите Test Connection, чтобы проверить, что Harbor может подключиться к решению.
- Нажмите Add, чтобы создать интеграцию.
В списке доступных сканеров в разделе Administration → Interrogation Services → Scanners Harbor отображается имя, присвоенное решению в Harbor.
Новый сканер используется для сканирования объектов, если в Harbor он указан как сканер по умолчанию или назначен проекту. Оба варианта требуют дополнительной настройки в Harbor.
После запуска сканирования во внешнем реестре создается интеграция с решением по запросу Harbor. Kaspersky Security для контейнеров отображает созданный реестр Harbor External Integration в списке реестров образов в разделе Администрирование → Интеграции → Реестры образов. Репозиторий, в котором находятся образы из внешнего реестра, отмечен значком Harbor (). Harbor External Integration обновляется после запуска и проведения другого сканирования во внешнем реестре.
В автоматически созданный реестр образов из Harbor невозможно добавить образ с помощью кнопки Добавить образы в консоли управления.
Сканирование Harbor External Integration может инициироваться вручную или запускаться автоматически из внешнего реестра. Вы не можете запустить сканирование или повторное сканирование образов из автоматически созданного реестра образов из Harbor в Kaspersky Security для контейнеров.
Сканирование реестра Harbor External Integration (как и реестра, созданного в рамках стандартной интеграции с Harbor) осуществляется на основе параметров соответствующей политики сканирования.
По окончанию сканирования решение формирует отчет по уязвимостям, найденным при проверке выбранных объектов, и отправляет его в Harbor. Если отправка отчета занимает более пяти секунд (например, из-за качества сетевого подключения), в интерфейсе внешнего реестра отображается ошибка получения результатов сканирования.
В начало
Просмотр и изменение параметров Harbor External Integration
Реестр образов Harbor External Integration отображается в списке реестров, интегрированных с Kaspersky Security для контейнеров, в разделе Администрирование → Интеграции → Реестры образов.
Чтобы изменить параметры Harbor External Integration:
- Выберите реестр Harbor External Integration в списке реестров образов в разделе Администрирование → Интеграции → Реестры образов.
- Укажите значения следующих доступных для изменения параметров:
- Описание на вкладке Параметры реестра.
- Максимальное время сканирования на вкладке Параметры сканирования образов.
Вы не можете изменять другие параметры реестра Harbor External Integration.
- Нажмите Сохранить.
Повторное сканирование
После получения результатов сканирования объекты из реестра Harbor External Integration невозможно отправить на повторное сканирование из Kaspersky Security для контейнеров. Повторное сканирование можно инициировать только из Harbor.
Если вы создаете интеграцию с Harbor из Kaspersky Security для контейнеров и созданный реестр образов аналогичен Harbor External Integration, к повторному сканированию применяются следующие правила:
- Сканирование объектов в созданном в решении реестре не запускает повторное сканирование в Harbor External Integration.
- Сканирование объектов в Harbor External Integration не запускает повторное сканирование в созданном в решении реестре.
Работа с образами из реестров
Раздел Ресурсы → Активы → Реестры содержит список образов, которые сканирует Kaspersky Security для контейнеров, и результаты сканирования образов. В список попадают образы из реестров, интегрированных с решением. Образы могут добавляются в список автоматически или вручную.
Список образов пуст, пока вы не настроили интеграцию с реестрами и параметры выгрузки и сканирования образов для реестра в разделе Администрирование.
Список образов отображается в виде таблицы, образы сгруппированы по репозиториям.
Вы можете выполнять следующие действия в разделе Ресурсы → Активы → Реестры:
- Искать образы по имени или контрольной сумме образа.
Поиск осуществляется только по выбранному активному реестру образов. Если образ отсутствует в выбранном реестре, но входит в состав другого реестра, поиск не даст результатов.
- Фильтровать список. Фильтр позволяет отображать в списке образы, соответствующие указанным критериям:
- только образы из определенных реестров;
- образы, соответствующие или не соответствующие стандартам;
- образы, просканированные в определенный промежуток времени;
- образы, в которых обнаружены указанные риски.
- Запускать повторное сканирование выбранных образов (кнопка Сканировать повторно отображается над таблицей после выбора одного или нескольких образов).
- Формировать отчеты по выбранным образам (кнопка Создать отчет отображается над таблицей после выбора одного или нескольких образов).
- Добавлять образы в список и удалять образы из списка.
- Просматривать подробную информацию о результатах сканирования образа.
Добавление и удаление образов
Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут добавляться в список образов автоматически, в соответствии с настроенными параметрами выгрузки и сканирования образов для каждого реестра. Также вы можете добавлять образы в список образов из реестров вручную. Новые образы ставятся в очередь на сканирование.
Чтобы вручную добавить образы в список:
- В разделе Ресурсы → Активы → Реестры выполните одно из следующих действий:
- Выберите в списке репозиторий, откройте меню действий справа от названия репозитория и выберите команду Добавить образы.
- Нажмите на кнопку Добавить образы над таблицей.
Вы не можете добавлять образы в реестр образов, созданный по запросу внешнего реестра Harbor.
- Выполните одно из следующих действий:
- Если вы добавляете образы из выбранного репозитория, в открывшемся окне выберите нужные теги образов и нажмите на кнопку Добавить образы.
- Если вы добавляете образы с помощью кнопки Добавить образы над таблицей, в открывшемся окне выберите реестр, репозиторий, один или несколько образов и нажмите на кнопку Добавить образы.
Для оптимизации нагрузки на реестры образов список образов в подключенных реестрах формируется каждые 10 минут. После появления нового образа в реестре допускается задержка его отображения в интерфейсе Kaspersky Security для контейнеров на указанный период времени.
Чтобы удалить образы из списка:
- В разделе Ресурсы → Активы → Реестры выполните одно из следующих действий:
- Выберите в списке один или несколько образов, которые вы хотите удалить, и запустите удаление по ссылке Удалить, расположенной над таблицей.
- Выберите в списке репозиторий, все образы которого вы хотите удалить, откройте меню действий в строке с названием репозитория и выберите команду Удалить репозиторий.
- Подтвердите удаление в открывшемся окне.
Просмотр результатов сканирования образов из реестров
Краткая информация о результатах сканирования всех образов репозитория и каждого отдельного образа отображается в списке образов в разделе Ресурсы → Активы → Реестры.
По ссылке на названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа.
Вкладки, расположенные в верхней части окна, содержат следующую информацию:
- Риск – сводная информация о результатах сканирования. В нижней части страницы отображаются рекомендуемые действия для обеспечения безопасности образа, если в процессе сканирования выявлены угрозы. По кнопке Сканировать повторно можно запустить повторную проверку образа.
- Уязвимости – уязвимости, обнаруженные в образе. По ссылке в названии уязвимости вы можете открыть подробное описание уязвимости, а также узнать, есть ли у нее .
Kaspersky Security для контейнеров получает описание уязвимостей из подключенных баз уязвимостей. Описание представлено на языке, на котором ведется база уязвимостей. Например, описание уязвимостей из NVD выводится на английском языке.
Классификация уязвимостей в решении соответствует классификации в подключенной базе уязвимостей. - Слои – слои, которые используются в образе, с указанием найденных уязвимостей. По ссылке в названии слоя вы можете открыть подробное описание найденных в нем уязвимостей.
- Ресурсы – ресурсы (компоненты) с указанием найденных уязвимостей. По ссылке в названии ресурса вы можете открыть подробное описание обнаруженных уязвимостей.
- Вредоносное ПО – обнаруженное в образе вредоносное ПО. По ссылке в названии вредоносного ПО вы можете открыть его подробное описание.
- Конфиденциальные данные – обнаруженные в образе конфиденциальные данные (секреты), например пароли, ключи доступа или токены.
- Ошибки конфигурации – обнаруженные ошибки конфигурации образа, представляющие угрозу. По ссылке в названии ошибки вы можете открыть ее подробное описание.
- Информация – основная информация об образе и история образа.
- История сканирований – результаты последнего сканирования для каждой версии образа. Результаты обновляются при повторном сканировании одной версии образа, либо добавляются в отдельной строке таблицы, если сканируется другая версия образа.
Для каждого образа указывается следующая информация:
- Статус соответствия требованиям политик безопасности.
- Оценка риска с указанием уровня критичности риска.
- Дата и время последнего сканирования.
Количество объектов с уязвимостями, вредоносным ПО, конфиденциальными данными и ошибками конфигурации в составе образа. Для уязвимостей отдельно указывается количество объектов по каждому выявленному уровню критичности риска.
- Результаты проверки образа с применением соответствующих политик безопасности в рамках действующих областей применения.
Если образ входит в состав реестра образов, созданного при интеграции с решением по запросу Harbor, решение указывает на это и помечает образ значком Harbor ().
С помощью кнопки Сформировать отчет вы можете сформировать детализированный отчет по образам. Вы также можете инициировать повторное сканирование образа, нажав на кнопку Сканировать повторно.
Повторное сканирование недоступно для образов, полученных Kaspersky Security для контейнеров из реестра образов, созданного при интеграции с решением по запросу Harbor.
Каждый выявленный риск можно принять.
В начало
Об оценке риска
Результатом проверки, которую проводит Kaspersky Security для контейнеров, становится определение оценки риска просканированного объекта. При сканировании в объектах могут быть обнаружены все или некоторые из следующих угроз безопасности:
- Уязвимости.
- Вредоносное ПО.
- Конфиденциальные данные.
- Ошибки конфигурации.
Каждому риску в обнаружениях, исходя из уровня критичности угрозы безопасности, присваивается одна из следующих оценок риска:
- Незначительный.
- Низкий.
- Средний.
- Высокий.
- Критический.
Если угроз безопасности при сканировании не выявлено, такой образ считается неопасным и помечается Ок.
Оценки риска обнаруженных уязвимостей, вредоносного ПО, конфиденциальных данных или ошибок конфигурации соответствуют оценкам, указанным в базах данных угроз безопасности, по которым ведется проверка (например, NVD, БДУ). В таких базах уязвимостей и угроз применяются специальные шкалы оценки критичности угроз безопасности. Например, в NVD применяется шкала оценки Common Vulnerability Scoring System (CVSS).
Объекту присваивается максимально высокий уровень критичности из всех обнаруженных с соответствующей оценкой риска.
Например, при проверке объекта обнаружены следующие угрозы безопасности:
- уязвимости с незначительным уровнем критичности;
- конфиденциальные данные высокого и критического уровней критичности;
- ошибки конфигурации среднего уровня критичности;
- вредоносное ПО с низким уровнем критичности.
Риск в этом случае оценивается как критический в соответствии с максимально высоким уровнем критичности найденных угроз.
В начало
Подробная информация о выявленных уязвимостях
Чтобы посмотреть подробную информацию о выявленных в образе уязвимостях,
в окне с результатами сканирования образа выберите вкладку Уязвимости.
Список выявленных при сканировании образа уязвимостей представлен в таблице, где для каждой уязвимости приводится следующая информация:
- В столбце Уязвимость указывается идентификатор записи об уязвимости. Идентификатор представлен в формате CVE-YYYY-X..., где:
- CVE – префикс, свидетельствующий о включении уязвимости в базу данных известных уязвимостей и дефектов безопасности;
- YYYY – указание года, когда было сообщено об уязвимости;
- X... – номер, присвоенный этой уязвимости уполномоченными организациями.
- В столбце Уровень критичности указывается уровень критичности уязвимости, исходя из ее оценки риска.
Если уязвимость содержит эксплойт, рядом с уровнем критичности отображается значок эксплойта (
).
- В столбце Ресурс указывается установленный контейнеризированный ресурс, в котором выявлена уязвимость.
Вы можете принять риск в отношении уязвимости с помощью кнопки Принять в столбце Принятие риска.
Чтобы посмотреть подробную информацию о выявленной в образе уязвимости:
- Выполните одно из следующих действий:
- В окне с результатами сканирования образа перейдите на вкладку Уязвимости и нажмите на ссылку идентификатора записи об уязвимости в таблице в столбце Уязвимость.
- В блоке Уязвимости в информационной панели нажмите на ссылку идентификатора записи об уязвимости.
- В открывшейся боковой панели отображается следующая информация о выявленной уязвимости:
- Идентификатор записи об уязвимости.
- Описание уязвимости из базы данных уязвимостей. Описание представлено на языке, на котором ведется база уязвимостей. Например, описание уязвимостей из NVD выводится на английском языке.
- На вкладке Общая информация отображается следующее:
- Уровень критичности уязвимости.
- Установленный ресурс, в котором выявлена уязвимость.
- Оценка критичности уязвимости по открытому стандарту оценки уязвимостей в базах данных уязвимостей , и , а также итоговая совокупная оценка критичности уязвимости.
На этой вкладке вы можете принять риск в отношении уязвимости с помощью кнопки Принять.
Кнопка Принять не отображается и принятие риска невозможно, если боковая панель открыта в информационной панели.
- На вкладке Информация о сканировании отображается следующее:
- Образ, в котором обнаружена уязвимость.
- Операционная система, в которой проводилось сканирование.
- Дата и время первого обнаружения уязвимости.
- Дата и время последнего сканирования образа.
- На вкладке Рабочие нагрузки отображается список выявленных рабочих нагрузок и указывается их количество.
Подробная информация об обнаруженном вредоносном ПО
Если во время сканирования в образах обнаруживается вредоносное ПО, решение отображает это на странице с информацией о результатах сканирования образа. Для просмотра подробной информации о выявленном вредоносном объекте в окне с результатами сканирования образов требуется выбрать вкладку Вредоносное ПО.
Для каждого объекта решение формирует хеш MD5 или SHA256 и указывает путь до места его обнаружения.
Подробную информацию об обнаруженных вредоносных объектах можно посмотреть в базах киберугроз, которые сформированы в
и . Для просмотра требуется нажать на ссылки на Kaspersky OpenTIP и Kaspersky TIP.Страница с описанием угрозы на веб-портале Kaspersky OpenTIP находится в открытом доступе. Для доступа к Kaspersky TIP требуется ввести учетные данные пользователя этого ресурса.
В начало
Cканирование Java-пакетов в образах
Kaspersky Security для контейнеров предоставляет возможность сканировать Java-пакеты в составе образов в реестрах. Для этого решение использует базы данных уязвимостей Java-пакетов.
Сканирование Java-пакетов доступно в версии Kaspersky Security для контейнеров v1.2.1 и выше. Если у вас установлена более ранняя версия, для реализации этой функциональной возможности требуется обновить решение до версии v1.2.1.
Вы можете настроить сканирование Java-пакетов с помощью переменной окружения ENABLE_JAVA_VULN
в файле values.yaml. Если ENABLE_JAVA_VULN = true
, решение осуществляет сканирование с использованием баз данных уязвимостей Java-пакетов. Если ENABLE_JAVA_VULN = false
, сканирование Java-пакетов не проводится.
По умолчанию для ENABLE_JAVA_VULN
установлено значение false
.
Компонент kcs-updates версии v1.2.1 в комплекте поставки содержит базы данных уязвимостей Java-пакетов. При использовании этого компонента достаточно убедиться, что переменные окружения в файле values.yaml заданы следующим образом:
ENABLE_JAVA_VULN = true
KCS_UPDATES_TAG=v1.2.1
KCS_UPDATES=true
Если возможность сканирования Java-пакетов активирована (ENABLE_JAVA_VULN = true
), компонент решения kcs-scanner загружает базы данных уязвимостей Java-пакетов и уведомляет об этом компоненты kcs-middleware и kcs-ih. После этого компонент kcs-ih получает от kcs-scanner файлы базы данных, осуществляет ее сборку и валидацию, а затем применяет в процессе сканирования.
Уязвимости, найденные по базе данных уязвимостей Java-пакетов, отображаются в результатах сканирования образов из реестров.
Kaspersky Security для контейнеров может также осуществлять сканирование Java-пакетов в образах во внешних реестрах и в процессе CI/CD с использованием внешнего сканера. При этом необходимо использовать сборку сканера с тегом v1.2.1-with-db-java, которая содержит в себе предустановленную базу данных по уязвимостям Java. Настройка и использование указанной сборки осуществляются аналогично сборке v1.2.1-with-db.
В начало
Интеграция с CI/CD
Kaspersky Security для контейнеров позволяет проводить сканирование образов контейнеров и IaC, размещенных в системах управления репозиториями кода в рамках
, на уязвимости, вредоносное ПО, ошибки конфигурации и наличие конфиденциальных данных.На этапе сборки проекта в системе управления репозиториями можно запустить сканер Kaspersky Security для контейнеров для проверки содержащихся в репозитории объектов на соответствие требованиям включенных политик безопасности. Сканер запускается из реестра с помощью агента, например, GitLab Runner в GitLab. Данные о задании для сканирования и направлении результатов сканирования передаются посредством программного интерфейса приложения (API).
При запуске проверки объектов на этапе сборки проекта необходимо убедиться, что в настройках применимой политики безопасности образов не выбрано Блокировать этап CI/CD. Если эта настройка активирована, решение уведомит вас об ошибке при сканировании.
Результаты сканирования отображаются в таблице в разделе Ресурсы → CI/CD → Сканирование в CI/CD.
Для каждого из представленных в таблице объектов Kaspersky Security для контейнеров отображает следующее:
- Дату и время последнего сканирования.
- Название.
- Оценку уровня риска.
- Обобщенные результаты сканирования с указанием выявленных объектов, относящимся к уязвимостям, вредоносному ПО, конфиденциальным данным и ошибкам конфигурации.
- Тип артефакта.
- Номер и пайплайн сборки, в которой проводилось сканирование образа.
В разделе Ресурсы → CI/CD → Сканирование в CI/CD вы также можете сформировать отчет по образам, которые сканируются в рамках процесса CI/CD.
Отчеты формируются только для объектов с типом артефакта Образ. Для других типов артефактов формирование отчета недоступно.
Проверка образов в процессах CI/CD
С помощью решения вы можете сканировать образы, которые используются в процессах CI/CD. Для проверки образов из CI/CD вам требуется настроить интеграцию решения с процессами CI/CD.
Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.
Чтобы выполнять проверку образов или репозиториев (для сканирования конфигурационных файлов), используемых в процессе CI/CD, вам нужно добавить в пайплайн CI/CD отдельный этап, на котором запускается сканер Kaspersky Security для контейнеров.
Для проведения сканирования образов из CI/CD в конфигурационном файле интеграции с репозиторием сканеру требуется указать переменные окружения API_BASE_URL
(веб-адрес хост-сервера API Kaspersky Security для контейнеров) и API_TOKEN
(токен для доступа к API Kaspersky Security для контейнеров). Также необходимо указать API_CA_CERT
(сертификат для проверки хост-сервера API решения) или SKIP_API_SERVER_VALIDATION=true
для пропуска такой проверки.
Результаты сканирования передаются на сервер и отображаются в консоли управления в разделе Ресурсы → CI/CD. В представленной таблице перечислены образы, для которых проводилась проверка, указываются результаты оценки риска и выявленные уязвимости.
По ссылке в названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа. Страница аналогична странице с результатами сканирования образов из реестров.
Kaspersky Security для контейнеров также отображает тип артефакта для каждого объекта. Используются два основных артефакта:
- Файловая система – это репозиторий с содержащимися в нем конфигурационными файлами.
- Образ контейнера – это шаблон, на основе которого реализуется контейнер в среде выполнения.
Для каждого объекта проверки можно указывать номер сборки (BUILD_NUMBER
) и
BUILD_PIPELINE
). С помощью этих параметров можно определить, на каком этапе в объекте произошел сбой.
Для образов из CI/CD недоступно повторное сканирование.
В Kaspersky Security для контейнеров осуществляются следующие виды сканирования в CI/CD:
- Сканирование образов из реестра образов. Решение осуществляет проверку после успешной сборки и сохранения образа в реестр образов.
- Сканирование образов, помещенных в архивы в формате TAR. Созданный TAR-архив сохраняется как артефакт сборки, который сканер решения проверяет в следующем пайплайне сборки.
- Сканирование Git-репозитория, которое может проводиться одним из следующих способов:
- по ветке (отдельному направлению разработки) проекта в Git-репозитории;
- по коммиту (снимку состояния или контрольной точке на временной шкале проекта).
Чтобы провести сканирование образа из реестра образов,
выполните команду запуска сканирования в следующем формате:
/scanner [TARGET] --stdout
где:
<TARGET> –
полный адрес образа в реестре;<--stdout> –
вывод данных в журнал событий безопасности.
Для доступа к реестру необходимо установить в переменных окружения логин COMPANY_EXT_REGISTRY_USERNAME
и пароль (токен) COMPANY_EXT_REGISTRY_PASSWORD
.
Примеры сканирования образов в GitLab CI/CD и Jenkins CI/CD.
Чтобы провести сканирование образа из TAR-архива:
- Соберите образ и сохраните его в виде TAR-архива с помощью любого приложения для создания контейнеризированных образов.
- Выполните команду запуска сканирования в следующем формате:
/scanner [TARGET] --file --stdout
где:
<TARGET>
– путь к файлу образа для сканирования;<--file> –
флаг, указывающий на сканирование файлаTARGET
;<--stdout> –
вывод данных в журнал событий безопасности.
Пример конфигурационного файла со значениями параметров для сканирования TAR-архива
Чтобы провести сканирование Git-репозитория:
- В конфигурационном файле Git-репозитория в переменных окружения укажите токен для доступа к репозиторию (
GITHUB_TOKEN
илиGITLAB_TOKEN
). - Выполните команду запуска сканирования в следующем формате:
/scanner [TARGET] --repo [--branch BRANCH] [--commit COMMIT] --stdout
где:
<TARGET>–
веб-адрес (URL) Git-репозитория;<--repo>
–
флаг, указывающий на сканирование файлаTARGET
;<--branch BRANCH>
–
ветка репозитория для сканирования;<--commit COMMIT>
–
хеш коммита для сканирования;<--stdout> –
вывод данных в журнал событий безопасности.
Пример конфигурационного файла с переменными окружения для сканирования образа из Git-репозитория
Результаты сканирования можно посмотреть в разделе Ресурсы → CI/CD, а также получить в форматах .SPDX, .JSON и .HTML.
В начало
Настройка интеграции с GitLab CI/CD
В этом примере используется специальный образ сканера со встроенными базами данных уязвимостей, размещенный в реестре образов производителя решения.
Для использования возможности сканирования образов в процессе GitLab CI/CD вам нужно включить использование GitLab Container Registry.
Настройка интеграции состоит из следующих этапов:
- Авторизация GitLab CI/CD в реестре образов производителя Kaspersky Security для контейнеров.
- На рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:
printf "login:password" | openssl base64 -A
где login и password – имя и пароль учетной записи в реестре образов производителя Kaspersky Security для контейнеров.
- В переменных окружения GitLab CI/CD создайте переменную DOCKER_AUTH_CONFIG (в GitLab репозитории выберите Settings -> CI/CD, нажмите на кнопку Expand, чтобы развернуть блок Variables, затем нажмите на кнопку Add variable).
- Укажите содержимое переменной в следующем виде:
{
"auths": {
"repo.cloud.example.com": {
"auth": "base64hash"
}
}
}
где base64hash – строка, полученная на этапе 1a.
- На рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:
- Авторизация запросов из GitLab CI/CD при отправке данных в Kaspersky Security для контейнеров.
- Скопируйте токен API на странице Мой профиль.
- Укажите скопированное значение токена API в переменной API_TOKEN в конфигурационном файле .gitlab-ci.yml.
- Добавление этапа сканирования образов в процесс CI/CD.
Чтобы добавить этап сканирования в пайплайн CI/CD, необходимо добавить в файл .gitlab-ci.yml следующие строки:
- Добавьте информацию по образу сканера, содержащего базы уязвимостей и других вредоносных объектов, после этапа сборки кода в следующем виде:
scan_image:
stage: scanner
image:
name: repo.cloud.example.com/repository/company/scanner:v1.2-with-db
entrypoint: [""]
pull_policy: always
Мы рекомендуем указывать always для параметра
pull_policy
, чтобы получать свежие сборки с обновленными базами уязвимостей и других вредоносных объектов при каждом сканировании. - Укажите тег, идентификатор сборки, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:
SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master
BUILD_NUMBER: ${CI_JOB_ID}
BUILD_PIPELINE: ${CI_PIPELINE_ID}
API_TOKEN:
<значение токена API>
В приведенном примере указан тег
master
, вы можете указать другой тег. - Если вы настраиваете сканирование для приватного репозитория, для доступа сканера к образу укажите авторизационные данные. Их можно задать в виде переменных.
COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}
COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}
- При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:
API_CA_CERT: ${KCS_CA_CERT}
СА-сертификат Ingress-контроллера указывается в текстовом поле в виде строки в формате .PEM:
-----BEGIN CERTIFICATE-----\n...
<данные сертификата>
...\n-----END CERTIFICATE-----Если переменная
API_CA_CERT
не задана, проверка будет запускаться, но не будет пройдена.Использование СА-сертификата Ingress-контроллера позволяет запускаемому в CI/CD сканеру убедиться в подлинности сервера приема данных.
Если вы используете самоподписанный сертификат или специально хотите пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера, укажите значение переменной для пропуска проверки следующим образом:
SKIP_API_SERVER_VALIDATION: 'true'
- Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:
API_BASE_URL:
<веб-адрес>
variables:
API_BASE_URL: ${API_BASE_URL}
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json
artifacts:
paths:
- artifact-result.json
- Добавьте информацию по образу сканера, содержащего базы уязвимостей и других вредоносных объектов, после этапа сборки кода в следующем виде:
После настройки интеграции с внешним реестром вы можете проводить сканирование образов в процессе CI/CD, в том числе осуществлять сканирование в режиме SBOM. Результаты сканирования можно посмотреть в разделе Ресурсы → CI/CD, а также получить в форматах .SPDX, .JSON и .HTML.
В начало
Настройка интеграции с Jenkins CI/CD
Настройка интеграции с Jenkins CI/CD состоит из следующих этапов:
- Авторизация Jenkins CI/CD в реестре образов производителя Kaspersky Security для контейнеров. Для этого на рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:
printf "login:password" | openssl base64 -A
где login и password – имя и пароль учетной записи в реестре образов производителя Kaspersky Security для контейнеров.
- Авторизация API Kaspersky Security для контейнеров. Для авторизации требуется выполнить следующие действия:
- Скопируйте токен API на странице Мой профиль.
- Укажите скопированное значение токена API в переменной API_TOKEN в конфигурационном файле Jenkinsfile.
- Проверка подлинности сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера. Для проведения проверки в конфигурационном файле Jenkinsfile укажите одну из следующих переменных:
-e API_CA_CERT=${KCS_CA_CERT}
– проверка будет проведена, и запускаемый в CI/CD сканер сможет убедиться в подлинности сервера приема данных.-e SKIP_API_SERVER_VALIDATION=true
– проверка сервера приема данных с помощью СА-сертификата Ingress-контроллера проводиться не будет.
- Создание переменных окружения Jenkins.
Чтобы создать переменные окружения, необходимо добавить в файл Jenkinsfile следующие строки:
- Добавьте информацию по реестру контейнеров, где находится сканер в следующем виде:
LOGIN
– имя учетной записи в реестре сканераPASS
– пароль для реестра сканера - Если вы настраиваете сканирование для приватного репозитория, для доступа сканера к образу укажите следующие авторизационные данные:
COMPANY_EXT_REGISTRY_USERNAME
– имя учетной записи в реестре сканируемого образаCOMPANY_EXT_REGISTRY_PASSWORD
– пароль для реестра сканируемого образа
- Добавьте информацию по реестру контейнеров, где находится сканер в следующем виде:
- Добавление информации для запуска сканера. Информация для запуска сканера, содержащего базы уязвимостей и других вредоносных объектов, добавляется в конфигурационный файл Jenkinsfile в виде декларативного или скриптового пайплайна.
Пример информации для запуска сканера в виде декларативного пайплайна
Пример информации для запуска сканера в виде скриптового пайплайна
- Формирование артефакта для скачивания.
Для получения результатов сканирования вы можете сформировать артефакт для скачивания в формате .HTML или .JSON. Формат артефакта вы можете указать в строке
--stdout
, например:pipeline {
agent any
stages {
stage('run scanner') {
steps {
sh 'docker login -u ${LOGIN} -p ${PASS} company.example.com'
sh 'docker run -e API_BASE_URL=https://kcs.int.company.com -e SKIP_API_SERVER_VALIDATION=true -e API_TOKEN=${API_TOKEN} -e COMPANY_EXT_REGISTRY_USERNAME=${COMPANY_EXT_REGISTRY_USERNAME} -e COMPANY_EXT_REGISTRY_PASSWORD=${COMPANY_EXT_REGISTRY_PASSWORD} company.example.com:5050/company/kcs/scanner:v1.2.1-lite jfrog.company.com/demo-kcs/bad:bad-project-test --html --stdout > result.html'
}
}
stage('archive') {
steps {
archiveArtifacts artifacts: 'result.html'
}
}
}
}
Если необходимо сформировать артефакт в формате .JSON, строку
--html --stdout > result.html'
из приведенного выше примера требуется указать следующим образом:--json --stdout > result.json'
,и в строке
archiveArtifacts artifacts:
необходимо указать название файла в заданном вами формате: 'result.json'.Результаты сканирования можно получить в указанном вами формате, а также посмотреть в разделе Ресурсы → CI/CD.
Настройка интеграции с TeamCity CI/CD
Чтобы настроить интеграцию с TeamCity CI/CD:
- Скопируйте токен API на странице Мой профиль для авторизации API Kaspersky Security для контейнеров в TeamCity.
- В меню настройки параметров в веб-интерфейсе TeamCity выберите Build Configuration Home → Parameters.
- С помощью кнопки Add new parameters добавьте значения следующих переменных окружения:
API_TOKEN
– укажите скопированное значение токена API Kaspersky Security для контейнеров.API_BASE_URL
– укажите URL Kaspersky Security для контейнеров.RUST_BACKTRACE
– при необходимости укажите значениеfull
для использования обратной трассировки.SKIP_API_SERVER_VALIDATION
– укажите значениеtrue
, если используется самоподписанный сертификат или необходимо пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера.
- Перейдите в раздел Build Configuration Home → Build Step: Command Line и с помощью кнопки Add build step добавьте этап сборки.
- В открывшемся окне укажите следующие параметры этапа сборки:
- В раскрывающемся списке Runner type выберите Command Line.
- В раскрывающемся списке Run выберите Custom script.
- В поле Custom script укажите путь к контейнеру для сканирования (например,
/bin/sh /entrypoint.sh nginx:latest
).
- В блоке Docker Settings укажите следующие параметры:
- В поле Run step within Docker container укажите адрес сканера в реестре Docker. Например,
company.gitlab.cloud.net:5050/companydev/example/scanner:v1.2.0-with-db
. - В поле Additional docker run arguments повысьте значение привилегий до
--privileged
.
- В поле Run step within Docker container укажите адрес сканера в реестре Docker. Например,
- Нажмите на кнопку Save, чтобы сохранить параметры.
- Нажмите на кнопку Run в верхнем правом углу страницы, чтобы запустить сборку.
- При необходимости скачайте артефакт с результатами сканирования, который доступен на вкладке Artifacts на странице с результатами проверки сборки в веб-интерфейсе TeamCity.
Определение пути до образов контейнеров
Для начала сканирования решению необходимо определить путь до образов контейнеров, которые требуется проверить. Путь до образов контейнеров может быть указан двумя способами:
- За названием реестра, репозитория и имени образа указывается тег образа. Тег представляет собой изменяемое легкочитаемое описание образа.
Путь в этом случае выглядит следующим образом:
<реестр>/<репозиторий>/<имя образа>:<тег>
. Например, http://docker.io/library/nginx:1.20.1. - За названием реестра, репозитория и имени образа указывается контрольная сумма образа. Контрольная сумма является неизменным внутренним свойством образа, а именно хешем его содержимого (используется хеш-алгоритм SHA256).
При использовании контрольной суммы путь представляет собой следующее:
<реестр>/<репозиторий>/<имя образа><контрольная сумма>
. Например, http://docker.io/library/nginx@sha256:af9c...69ce.
Тег может соответствовать различным контрольным суммам, а контрольные суммы уникальны для каждого образа.
В зависимости от способа указания пути до образа перед началом сканирования Kaspersky Security для контейнеров осуществляет одно из следующих действий:
- Преобразовывает тег в доверенную контрольную сумму.
- Проверяет, является ли указанная в пути до образа контрольная сумма доверенной. Контрольная сумма считается доверенной, если обеспечена необходимая степень уверенности в поддержании требуемого режима безопасности в отношении кодируемого с помощью хеш-алгоритма объекта.
В среду выполнения контейнера передаются только доверенные контрольные суммы.
Перед запуском контейнера содержимое образа сравнивается с полученной контрольной суммой. Для признания контрольной суммы доверенной, а образа неискаженным Kaspersky Security для контейнеров проверяет целостность и подлинность подписи образа.
В начало
Контроль целостности и происхождения образов
При сканировании образов в процессе CI/CD Kaspersky Security для контейнеров обеспечивает защиту от подмены образов на уровне реестров. Целостность и происхождение образов контейнеров, развертываемых в кластере оркестратора, контролируется при помощи проверки подписей образов, начиная с уровня сборки в CI.
Контроль целостности образов осуществляется в два этапа:
- Подписание образов контейнеров после создания. Этот процесс реализуется при помощи внешних приложений для подписи.
- Проверка подписей образов перед развертыванием.
Решение сохраняет ключ подписи, который создается на основе хеш-функции SHA-256 и используется в качестве кода проверки подлинности подписи. При развертывании в оркестраторе Kaspersky Security для контейнеров запрашивает у сервера подписей подтверждение подлинности подписи.
Kaspersky Security для контейнеров осуществляет проверку подписей образа в рамках следующего процесса:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов настраиваются параметры интеграции решения с внешними модулями проверки подписей.
- В разделе Политики → Среда выполнения → Политики создается политика среды выполнения для защиты содержания образа, которая отвечает за проверку подлинности подписей. Проверка цифровых подписей осуществляется на основе настроенных модулей проверки подписей.
- Оркестратор запускает развертывание образа и при помощи делает запрос на развертывание агенту (kube-agent).
Для направления запроса агенту Kaspersky Security для контейнеров требуется настроить динамический контроллер доступа в конфигурационном файле values.yaml.
- На основании применимой политики среды выполнения агент проверяет параметры проверки подписи, настроенные в разделе Администрирование → Интеграции → Модули проверки подписей образов.
- Если проверка подтверждает подлинность и действительность подписи, решение разрешает развертывание образа. В ином случае развертывание запрещается.
Запуск сканера в режиме SBOM
Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме
. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а не TAR-архива.Преимущества использования SBOM включают в себя:
- Меньший объем ресурсов, необходимых для сканирования образов на уязвимости.
- Экономия времени на сканирование за счет автоматической проверки корректности использования и функционирования компонентов решения.
- Возможность сканирования всех имеющихся в образе уязвимостей без исключения.
- Большая надежность получаемых результатов сканирования.
В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:
- Сканер в CI/CD формирует перечень компонентов образа и направляет сгенерированный артефакт в Kaspersky Security для контейнеров.
- При помощи приложения для обработки заданий на сканирование решение передает принятый SBOM-файл в сканер для сканирования.
Для последующего сканирования Kaspersky Security для контейнеров генерирует SBOM-файл в формате
. Также вы можете сформировать артефакт для скачивания в рамках процесса CI/CD в формате .Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --spdx --stdout > example.spdx
где:
<--sbom-json>
– индикатор создания SBOM-файла;
<--spdx>
– указание на сборку артефакта в формате .SPDX;
<--stdout > example.spdx>
– индикатор вывода данных в файл в формате .SPDX.
Чтобы сгенерировать SBOM-файл в формате .JSON при работе сканера через создание SBOM,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom-json --stdout > example.json
где:
<--sbom-json>
– индикатор создания SBOM-файла;
<--stdout > example.json>
– индикатор вывода данных в файл в формате .JSON.
Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:
Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.
В начало
Получение результатов сканирования в форматах .JSON и .HTML
При использовании Kaspersky Security для контейнеров для сканирования образов в рамках процесса CI/CD вы можете сформировать и сохранить артефакт с результатами сканирования внутри платформы CI/CD. Это может быть сделано с помощью конфигурационного файла внешней системы репозиториев, с которой интегрировано решение. Например, конфигурационного файла .gitlab-ci.yml в GitLab.
Способы формирования артефакта с результатами сканирования:
- При работе сканера с полным сканированием в CI/CD. Файл с результатами сканирования может быть сформирован в форматах .HTML и .JSON.
- При работе сканера через создание SBOM. В этом случае файл с результатами сканирования можно сгенерировать в форматах .SPDX и .JSON.
Чтобы сформировать файл с результатами сканирования в формате .HTML,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > example.html
где:
<--html>
– указание на сборку артефакта в формате .HTML;
<--stdout > example.html>
– индикатор вывода данных в файл в формате .HTML.
Чтобы сформировать файл с результатами сканирования в формате .JSON при работе сканера с полным сканированием в CI/CD,
в конфигурационном файле .gitlab-ci.yml укажите следующую команду:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > example.json
где:
<--stdout > example.json>
– индикатор вывода данных в файл в формате .JSON.
Полученный при этом файл (например, example.json) указывается как артефакт: artifacts: paths:
Запуск сканера в режиме lite SBOM
Kaspersky Security для контейнеров предоставляет возможность запуска сканера для проверки образов на наличие уязвимостей в режиме lite SBOM. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а результаты этого сканирования становятся доступны на этапе CI/CD.
Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.
Для получения результатов вы можете сформировать артефакт для скачивания в формате .SPDX, .HTML или .JSON.
Запуск сканера в GitLab
Чтобы запустить сканер в режиме lite SBOM в GitLab, при настройке сканирования образов в процессе CI/CD измените конфигурационный файл .gitlab-ci.yml следующим образом:
- Добавьте информацию по образу сканера, запускаемого на этапе сканирования образов в процессе CI/CD в следующем виде:
scan_image:
stage: scanner
image:
name:repo.cloud.example.com/repository/company/scanner:v.1.2-lite
entrypoint: [""]
pull_policy: always
- Укажите тег платформы оркестрации в следующем виде:
k8s
В приведенном примере указан тег
k8s
для обозначения Kubernetes, вы можете указать тег для другой поддерживаемой платформы оркестрации. - Укажите такие переменные как идентификатор сборки, данные приватного репозитория, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:
SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master
COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}
COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}
BUILD_NUMBER: ${CI_JOB_ID}
BUILD_PIPELINE: ${CI_PIPELINE_ID}
API_TOKEN:
<значение токена API>
- При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:
API_CA_CERT: ${KCS_CA_CERT}
Если переменная
API_CA_CERT
не задана, проверка будет запускаться, но не будет пройдена. - Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:
API_BASE_URL:
<веб-адрес>
- Укажите команду для создания SBOM-файла при запуске сканера в одном из следующих поддерживаемых форматов:
- Для создания артефакта в формате .JSON:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json
artifacts:
paths:
- artifact-result.json
- Для создания артефакта в формате .HTML:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > artifact-result.html
artifacts:
paths:
- artifact-result.html
- Для создания артефакта в формате .SPDX:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --spdx --stdout > artifact-result.spdx
artifacts:
paths:
- artifact-result.spdx
- Для создания артефакта в формате .JSON:
Пример настройки запуска сканера в режиме lite SBOM и создания артефакта в формате .HTML в GitLab
Запуск сканера в Docker
Чтобы запустить сканер в режиме lite SBOM в Docker:
- Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:
-e API_BASE_URL=https://company.local
- Укажите значение переменной для пропуска проверки сервера приема данных с помощью СА-сертификата Ingress-контроллера:
-e SKIP_API_SERVER_VALIDATION=true
- Укажите токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:
-e API_TOKEN=
<значение токена API>
- Укажите информацию для запуска сканера:
repo.kcs.company.com/images/scanner:
v1.2-lite
- Если необходимо сформировать артефакт для скачивания в формате .SPDX, .HTML или .JSON, укажите следующее:
--
<формат артефакта>
--stdout > result.<формат файла>
Например,
- Нажмите на клавишу Enter, чтобы запустить сканер.
Если при вызове сканера появляется ошибка преобразования имени домена
Name does not resolve
, до переменнойAPI_BASE_URL
нужно указать адрес до внутреннего DNS сервера вашей организации. Например,--dns 10.0.xx.x
API_BASE_URL: https://company.local/
Пример настройки запуска сканера в режиме lite SBOM и создания артефакта в формате .JSON в Docker
Результаты сканирования можно получить в указанном вами формате, а также посмотреть в разделе Ресурсы → CI/CD.
В начало
Работа с рисками
Для угроз, выявленных Kaspersky Security для контейнеров (уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации), предусмотрена процедура принятия риска. Если риск наличия угрозы принят, в течение указанного промежутка времени эта угроза не учитывается политиками безопасности образов при определении статуса безопасности образа (Соответствует / Не соответствует политикам безопасности). Угроза по-прежнему обнаруживается при сканировании образа, но образ не отмечается как не соответствующий политикам безопасности в результате обнаружения этой угрозы.
Если вы принимаете риск в отношении уязвимости, обнаруженной в образе, такой риск принимается для конкретного реестра образов. Если риск принят в отношении всех уязвимостей в образе, образ считается соответствующим требованиям политик безопасности и получает статус Соответствует.
Если вы изменяете параметры политики безопасности образов, которая применяется в отношении образов, меняется статуса безопасности образа.
По умолчанию риск наличия угрозы принимается на 30 дней. Вы можете продлевать срок, в течение которого риск считается принятым. Вы также можете в любой момент отменить принятие риска. В случае отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа.
Вы можете просматривать список всех принятых рисков в разделе Политики → Принятые риски.
Принятие риска
Вы можете принять выявленные решением риски с учетом следующего:
- Для уязвимостей, ошибок конфигурации и конфиденциальных данных можно принять риски со всеми уровнями критичности.
- Для вредоносного ПО можно принять риски с уровнями критичности Средний, Низкий и Незначительный.
Принятие риска в отношении вредоносного ПО с уровнями критичности Высокий и Критический невозможно.
Чтобы принять риск:
- В окне результатов сканирования образа откройте вкладку с информацией о выявленных угрозах нужного типа.
- В таблице выберите угрозу и запустите принятие риска по ссылке Принять или по команде меню действий Принять риск (в зависимости от выбранной вкладки).
- В открывшемся окне укажите параметры принятия риска:
- Выберите, в каком объеме принимается риск:
- для выбранного образа, в котором риск обнаружен;
- для всех образов репозитория, в котором находится образ с обнаруженной угрозой;
- для всех образов, в которых обнаружена или будет обнаружена эта угроза.
- Если требуется, установите срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образа.
- Укажите причину принятия риска.
- Выберите, в каком объеме принимается риск:
- Нажмите на кнопку Принять.
Выбранная угроза не влияет на статус безопасности образа, образов репозитория или всех образов в течение указанного количества дней или бессрочно.
Принятый риск можно просмотреть в разделе Политики → Принятые риски.
В начало
Просмотр информации о принятых рисках
Список всех принятых рисков отображается в разделе Политики → Принятые риски.
В списке вы можете выполнять следующие действия:
- Выполнять поиск по названию риска, имени репозитория, образа или ресурса, в котором риск обнаружен.
- Фильтровать список по типу риска и наличию исправления от производителя.
- Формировать отчет по принятым рискам с помощью кнопки Сформировать отчет, расположенной над таблицей.
- Сортировать список по дате принятия, названию риска, охвату (действию на все образы или на один образ) и сроку действия. Сортировка осуществляется с помощью значка сортировки (
).
- Просматривать подробную информацию о принятии риска и связанной угрозе. Окно с подробной информацией открывается по ссылке на названии риска.
С помощью кнопок в окне с подробной информацией вы можете выполнить следующие действия:
- Установить или продлить срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образов.
- Отменить принятие риска.
Информацию о принятом риске вы также можете посмотреть в списке обнаруженных угроз в результатах сканирования образов. В строке с угрозой, риск наличия которой был принят, отображается время принятия риска, по ссылке доступно окно с подробной информацией о принятии риска и связанной угрозе.
В начало
Отмена принятия риска
Чтобы отменить принятие риска:
- Откройте окно с подробной информацией о принятии риска и связанной угрозе. Окно доступно по ссылке на названии риска в списке принятых рисков или по ссылке в строке с угрозой, риск наличия которой был принят, в списке обнаруженных угроз в результатах сканирования образов.
- Нажмите на кнопку Отменить принятие риска и подтвердите отмену в открывшемся окне.
В результате отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа или образов, для которых риск был принят.
В начало
Проверка на соответствие стандартам
Агенты Kaspersky Security для контейнеров могут проверять узлы (nodes) кластеров Kubernetes на соответствие требованиям отраслевого стандарта информационной безопасности Kubernetes .
Kaspersky Security для контейнеров проводит проверку на соответствие требованиям отраслевого стандарта Kubernetes на версиях Kubernetes 1.15–1.25.
Агент проверяет состояние узла, на котором он установлен, и отправляет данные о результатах проверки на сервер. Информация о результатах проверки отображается в разделе Соответствие стандартам.
В разделе Соответствие стандартам → Отраслевой стандарт Kubernetes вы можете посмотреть результаты проверки узлов кластеров на соответствие отраслевым стандартам Kubernetes. Результаты проверки узлов отображаются в виде таблицы. По умолчанию Kaspersky Security для контейнеров показывает список с результатами последней проверки всех узлов из всех кластеров. Узлы в списке не сгруппированы, с помощью фильтра вы можете сформировать список объектов по названию кластера.
Над таблицей с результатами проверки расположен блок Статус проверки, где для каждого статуса показывается количество контрольных показателей, которым такой статус был присвоен при проверке. Решение отображает эту информацию для следующих статусов проверки:
- Пройдено – успешно проведенная проверка.
- С предупреждением – проверка показала, что в ходе исполнения операций или задач возможны проблемы.
- Не пройдено – в рамках проверки выявлено несоответствие стандарту.
Вы можете выбрать, узлы с какими статусами необходимо показать по результатам проверки. Для этого в блоке Статус проверки выберите кнопку со статусом, который не нужно отображать. После этого в таблице с результатами проверки останутся только узлы, контрольные показатели в которых при проверке получили в том числе и этот статус.
Kaspersky Security для контейнеров предоставляет возможность сформировать отчет по результатам проведенной проверки на соответствие требованиям отраслевого стандарта Kubernetes. В зависимости от необходимого вам уровня детализации можно сгенерировать сводный или детализированный отчет по соответствию отраслевому стандарту Kubernetes. Список сформированных отчетов отображается в разделе Администрирование → Отчеты.
По ссылке на имени узла вы можете открыть страницу, содержащую подробную информацию о результатах проверки узла.
В верхней части окна отображается сводная информация. В таблице для каждого контрольного показателя стандарта отображается статус соответствия узла этому показателю.
С помощью кнопки Сканировать повторно вы можете запускать проверку узла на соответствие контрольным показателям стандарта.
В начало
Настройка и формирование отчетов
Kaspersky Security для контейнеров предоставляет возможность формирования отчетов по результатам проведенного сканирования реестров, кластеров и образов. Список сгенерированных отчетов отображается в разделе Администрирование → Отчеты.
Сформированные решением отчеты отображают следующую информацию:
- События, связанные с логикой работы Kaspersky Security для контейнеров, например результаты проверки образов или анализа узлов (nodes).
- Статистические данные, например перечень образов с выявленными проблемами безопасности.
В Kaspersky Security для контейнеров доступны следующие шаблоны отчетов:
- Сводный отчет по образам.
- Детализированный отчет по образам.
- Отчет по принятым рискам.
- Сводный отчет по соответствию отраслевому стандарту Kubernetes.
- Детализированный отчет по соответствию отраслевому стандарту Kubernetes.
В зависимости от применяемого шаблона отчета создание и формирование отчетов осуществляется в разных разделах решения.
Процесс формирования отчетов занимает несколько минут.
Список сформированных отчетов представлен в разделе Администрирование → Отчеты. Отчеты доступны для скачивания в форматах .HTML, .PDF и .CSV.
В Kaspersky Security для контейнеров отчеты формируются только на английском языке.
Отчеты по образам
В Kaspersky Security для контейнеров вы можете сформировать отчеты по результатам сканирования образов. В зависимости от уровня детализации представленной информации отчеты по образам могут быть сводными и детализированными.
Сводный отчет по образам
Сводный отчет представляет обобщенную информацию по выбранным образам. В нем приводятся названия образов и кластеров, к которым эти образы принадлежат. Сводный отчет содержит данные о соответствии образа требованиям политик безопасности образов, названия политик, в рамках которых проверялся образ, а также статус проверки. Для каждого образа приводятся данные о количестве выявленных рисков, связанных с уязвимостями, вредоносным ПО, конфиденциальными данными и ошибками конфигурации.
Детализированный отчет по образам
В детализированном отчете приводится более подробная информация о выбранных образах, проведенных проверках и выявленных проблемах безопасности. Для каждого образа указываются дата и время последнего сканирования объекта, кластер, в составе которого находится выбранный образ, оценка риска и соответствие требованиям политик безопасности. Kaspersky Security для контейнеров отображает количество объектов по уровням критичности для выявленных уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации.
В блоке с описанием примененных политик безопасности образов решение приводит список политик безопасности образов и указывает, прошел ли этот этап проверки успешно или с ошибкой. В отчете также фиксируется действие, выполненное Kaspersky Security для контейнеров в соответствии с конкретной политикой. В этом случае может отображаться, что был блокирован этап CI/CD, образы могут быть отмечены как несоответствующие требованиям безопасности, либо могут выполняться оба указанных действия.
В блоке Уязвимости приводится перечень выявленных уязвимостей с указанием уровня их критичности, ресурса, где они были обнаружены, а также версии образа, в которой уязвимости были исправлены.
В блоках Вредоносное ПО и Конфиденциальные данные отображаются списки обнаруженных вредоносных объектов и объектов, содержащих конфиденциальные данные. Для каждого объекта указывается уровень критичности и путь для определения места его нахождения.
В блоке Ошибки конфигурации приводится список с указанием названий файлов, в которых выявлены ошибки конфигурации, уровня критичности ошибок конфигурации, и типа файлов (например, файл Docker). Также обозначается найденная проблема и даются рекомендации по ее устранению.
Kaspersky Security для контейнеров получает описание проблем, связанных с ошибками конфигурации, из внутренней базы для анализа конфигурационных файлов, которая включает в себя модули проверки конфигурационных файлов Kubernetes, Dockerfile, Containerfile, Terraform, Cloudformation, Azure ARM Template и Helm Chart. Описание ошибок конфигурации и рекомендации по их устранению представлены на языке, на котором ведутся указанные модули проверки. Например, описание ошибок конфигурации из Kubernetes дается на английском языке.
Обновление этой базы данных производится в рамках выпуска новой версии решения.
Отчет по принятым рискам
В отчете в виде таблицы приводятся данные по принятым рискам с указанием даты и времени их принятия. Вы можете сформировать отчет по всем принятым рискам или по какой-либо созданной с помощью фильтра группе принятых рисков.
Для каждого выбранного вами принятого риска указывается его название в следующем формате:
- Тип риска (уязвимость, вредоносное ПО, конфиденциальные данные или ошибки конфигурации).
- Идентификатор или название риска.
- Уровень критичности риска.
Kaspersky Security для контейнеров приводит имя образа, названия ресурса и репозитория, где был обнаружен конкретный риск, и версию образа, в которой этот риск исправлен. В таблице отчета также отображается следующая информация о принятии риска:
- Объем принятия риска.
- Срок, по истечении которого риск снова будет учитываться при определении статуса безопасности образа.
- Пользователь, принявший риск.
Отчеты по соответствию отраслевому стандарту Kubernetes
В Kaspersky Security для контейнеров вы можете сформировать отчеты по результатам проверки объектов на соответствие требованиям отраслевого стандарта Kubernetes.
По умолчанию отчеты формируются для узлов со всеми статусами проверки – Пройдено, С предупреждением и Не пройдено. Если вам необходимо сгенерировать отчет для узлов с конкретным статусом проверки, в блоке Статус проверки, расположенном над таблицей с результатами проверки, нажмите на соответствующую кнопку статуса. Kaspersky Security для контейнеров обновит отображение результатов проверки, и отчет будет сформирован для узлов с интересующим вас статусом.
В зависимости от уровня детализации представленной информации отчеты могут быть сводными и детализированными.
Сводный отчет по соответствию отраслевому стандарту Kubernetes
Сводный отчет представляет обобщенную информацию по выбранным кластерам. В нем приводятся названия узлов с заданными статусами проверки, а также дата и время последней проведенной проверки каждого узла. В отчете для всех узлов отображается информация о количестве контрольных показателей отраслевого стандарта Kubernetes с выбранными статусами, которые выявлены при проверке объектов.
Детализированный отчет по соответствию отраслевому стандарту Kubernetes
В детализированном отчете приводится более подробная информация об узлах выбранного кластера или о конкретном узле кластера. Это зависит от того, из какого подраздела решения вы формируете отчет:
- Из таблицы со списком кластеров создается детализированный отчет об узлах выбранного кластера.
- На странице с детальным описанием узла формируется отчет об этом узле.
Для каждого узла в составе кластера, выбранного для формирования отчета, указываются дата и время последней проведенной проверки, количество контрольных показателей отраслевого стандарта Kubernetes с присвоенными им статусами проверки, а также перечисляются контрольные показатели, которым в рамках проверки были присвоены выбранные перед формированием отчета статусы.
Контрольные показатели отраслевого стандарта Kubernetes представляют собой базовые показатели конфигурации и рекомендации для безопасной настройки решений и приложений, призванные усилить защиту от киберугроз. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других событий безопасности путем ограничения потенциальных рисков.
Пример контрольных показателей отраслевого стандарта Kubernetes
В начало
Формирование отчетов
В Kaspersky Security для контейнеров отчеты формируются в разных разделах решения в зависимости от применимого шаблона отчета.
Процесс формирования отчетов занимает несколько минут.
Вы можете просмотреть список сгенерированных отчетов в разделе Администрирование → Отчеты. В этом разделе сформированные отчеты также доступны для скачивания в форматах .HTML, .PDF и .CSV.
В начало
Формирование отчетов по образам
Чтобы сформировать сводный отчет по образам:
- Перейдите в один из следующих разделов:
- Ресурсы → Активы → Реестры для формирования отчета по образам из интегрированных с решением реестров.
- Ресурсы → CI/CD для формирования отчета по образам, которые сканируются в рамках процесса CI/CD.
В разделе Ресурсы → CI/CD отчеты формируются только для объектов с типом артефакта образ (
container_image
илиimage
). Для других типов артефактов формирование отчета недоступно.
- В зависимости от выбранного раздела выполните одно из следующих действий:
- В разделе Ресурсы → Активы → Реестры выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
Вы можете выбрать все репозитории и образы, установив флажок в заголовочной части таблицы.
- В разделе Ресурсы → CI/CD выберите один или несколько образов, для которых вы хотите сформировать отчет.
Вы можете выбрать все образы во всех репозиториях, установив флажок в заголовочной части таблицы.
- В разделе Ресурсы → Активы → Реестры выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Сводный отчет по образам.
- Подтвердите формирование отчета в открывшемся окне.
Чтобы сформировать детализированный отчет по образам:
- Перейдите в один из следующих разделов:
- Ресурсы → Активы → Реестры для формирования отчета по образам из интегрированных с решением реестров.
- Ресурсы → CI/CD для формирования отчета по образам, которые сканируются в рамках процесса CI/CD.
В разделе Ресурсы → CI/CD отчеты формируются только для объектов с типом артефакта образ (
container_image
илиimage
). Для других типов артефактов формирование отчета недоступно. - Компоненты → Сканеры → Задания сканеров для создания отчета по образу, проверенному в рамках задания на сканирование.
- В зависимости от выбранного раздела выполните одно из следующих действий:
- В разделе Ресурсы → Активы → Реестры выполните указанные далее шаги:
- Выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Детализированный отчет по образам.
- В разделе Ресурсы → CI/CD выполните указанные далее шаги:
- Выберите репозиторий или один либо несколько образов, для которых вы хотите сформировать отчет.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Детализированный отчет по образам.
- В разделе Компоненты → Сканеры → Задания сканеров выполните указанные далее шаги:
- В списке заданий сканеров выберите объект сканирования, для которого вы хотите сформировать отчет. Вы можете выбрать только один образ со страницы с подробным описанием результатов сканирования этого образа.
- В открывшемся окне с результатами сканирования объекта нажмите на кнопку Сформировать отчет, расположенную справа от заключения о соответствии объекта требованиям политик безопасности.
Окно результатов сканирования с кнопкой Сформировать отчет открывается только для заданий сканеров со статусом Завершено.
- В разделе Ресурсы → Активы → Реестры выполните указанные далее шаги:
- Подтвердите формирование отчета в открывшемся окне.
Формирование отчета по принятым рискам
Чтобы сформировать отчет по принятым рискам:
- Перейдите в раздел Политики → Принятые риски.
По умолчанию отчет формируется по всем принятым рискам, которые отображаются в таблице. При необходимости вы можете сформировать отчет для конкретных объектов. Для определения объектов, для которых вы хотите сформировать отчет, выполните одно или несколько следующих действий:
- В поле Поиск введите название риска, имя репозитория или образа.
- С помощью раскрывающегося списка Тип риска над таблицей выберите объекты по типу риска.
- С помощью раскрывающегося списка Исправлено производителем над таблицей выберите объекты по типу риска.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей.
Kaspersky Security для контейнеров начнет формирование отчета и предложит вам перейти по ссылке на страницу со списком сформированных отчетов.
Формирование отчета по соответствию отраслевому стандарту Kubernetes
Чтобы сформировать сводный отчет по соответствию отраслевому стандарту Kubernetes:
- Перейдите в раздел Соответствие стандартам → Отраслевой стандарт Kubernetes.
- В поле Кластер выберите один или несколько кластеров, для которых вы хотите сформировать отчет.
Вы можете сформировать отчет по всем кластерам, выбрав Все в раскрывающемся списке в поле Кластер.
- Над таблицей в блоке Статус проверки выберите те статусы проверки, для которых вы хотите сформировать отчет: Пройдено, С предупреждением, Не пройдено.
По умолчанию выбраны все статусы.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей, и в раскрывающемся списке выберите Сводный отчет.
- Подтвердите формирование отчета в открывшемся окне. Вы можете скачать сформированный отчет в форматах .HTML, .PDF и .CSV в разделе Администрирование → Отчеты.
Чтобы сформировать детализированный отчет по соответствию отраслевому стандарту Kubernetes:
- Перейдите в раздел Соответствие стандартам → Отраслевой стандарт Kubernetes.
- Над таблицей в блоке Статус проверки выберите те статусы проверки, для которых вы хотите сформировать отчет: Пройдено, С предупреждением, Не пройдено.
По умолчанию выбраны все статусы.
- Выполните одно из следующих действий:
- В поле Кластер выберите кластер, для которого вы хотите сформировать отчет, и выполните следующее:
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей.
- В раскрывающемся списке выберите Детализированный отчет.
- В таблице с результатами проверки нажмите на название кластера и выполните следующее:
- Нажмите на название узла в составе выбранного кластера.
Kaspersky Security для контейнеров отобразит имеющиеся данные по контрольным показателям отраслевого стандарта Kubernetes, которые были выявлены для этого узла в ходе проверки.
- Нажмите на кнопку Сформировать отчет, расположенную над таблицей.
- Нажмите на название узла в составе выбранного кластера.
- В поле Кластер выберите кластер, для которого вы хотите сформировать отчет, и выполните следующее:
- Подтвердите формирование отчета в открывшемся окне. Вы можете скачать сформированный отчет в форматах .HTML, .PDF и .CSV в разделе Администрирование → Отчеты.
Детализированный отчет по соответствию отраслевому стандарту Kubernetes формируется только для одного кластера. При этом он содержит информацию по всем узлам в составе этого кластера.
Если вам необходим детализированный отчет по нескольким кластерам, для каждого из них такой отчет нужно формировать отдельно.
Скачивание и удаление отчетов
Kaspersky Security для контейнеров отображает список сгенерированных отчетов в таблице в разделе Администрирование → Отчеты.
В таблице для каждого сформированного отчета приводятся присваиваемое решением название и шаблон отчета, дата и время создания и статус формирования отчета. Также в таблице вы можете скачать успешно созданный отчет в нужном вам формате или удалить отчет.
Чтобы скачать отчет,
в строке с отчетом нажмите на кнопку с указанием нужного формата: .PDF, .HTML или .CSV.
Чтобы удалить отчет:
- В строке с названием отчета, который вы хотите удалить, нажмите на значок удаления (
).
- Подтвердите удаление в открывшемся окне.
Настройка политик безопасности
Компоненты Kaspersky Security для контейнеров используют в своей работе следующие политики безопасности:
- Политики сканирования определяют параметры, с которыми выполняется сканирование разных видов ресурсов. В политиках сканирования используются правила обнаружения конфиденциальных данных, а также уязвимостей, вредоносного ПО и ошибок конфигурации.
- Политики безопасности образов определяют действия, которые решение выполняет для обеспечения безопасности, если угрозы, вредоносное ПО, конфиденциальные данные и ошибки конфигурации, обнаруженные при сканировании образа, соответствуют указанным в политике критериям.
- Политики реагирования определяют действия, которые решение выполняет при наступлении определенных событий, заданных в политике. Например, Kaspersky Security для контейнеров может уведомлять пользователя о событии.
- Политики среды выполнения позволяют контролировать и при необходимости ограничивать развертывание и работу контейнеров на кластере в соответствии с требованиями безопасности вашей организации.
Kaspersky Security для контейнеров применяет в работе только включенные политики. Выключенные политики не могут быть задействованы при проведении проверок.
Политики сканирования
Политика сканирования определяет параметры, с которыми выполняется сканирование разных видов ресурсов.
При установке Kaspersky Security для контейнеров по умолчанию создается политика сканирования, которая может применяться ко всем ресурсам и выполняться во всех средах. Она называется глобальной политикой сканирования (default). Этой политике по умолчанию назначается глобальная область применения.
Вы можете включить, выключить и настроить параметры глобальной политики сканирования, если вашей роли назначены права на управление политиками сканирования и просмотр глобальной области применения.
В отношении глобальной политики сканирования невозможно осуществить следующие действия:
- Изменить назначенную глобальную область применения.
- Удалить глобальную политику сканирования.
В разделе Политики → Сканирование в виде таблицы отображается список всех настроенных политик сканирования.
В списке вы можете выполнять следующие действия:
- Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
- Активировать и отключать политики с помощью переключателя Выключено / Включено в столбце Статус таблицы.
- Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
В окне редактирования вы также можете включать и выключать политики. Выключенные политики не применяются в работе решения.
- Настраивать правила обнаружения конфиденциальных данных. Для этого необходимо перейти во вкладку Конфиденциальные данные.
- Удалять политики.
Создание политики сканирования
Для создания политики сканирования в Kaspersky Security для контейнеров требуются права на управление параметрами политики сканирования.
Чтобы создать политику сканирования:
- В разделе Политики → Сканирование нажмите на кнопку Добавить политику.
Откроется окно ввода параметров политики.
- С помощью переключателя Выключено / Включено при необходимости отключите создаваемую политику. В этом случае она будет добавлена, но применяться не будет до момента ее активации.
По умолчанию новая политика сканирования создается в статусе Включено.
- Введите название политики и, если требуется, ее описание.
- В поле Область применения из предложенных вариантов выберите область применения для политики сканирования.
Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.
- В блоке Уязвимости настройте следующие параметры:
- С помощью переключателя Выключено / Включено настройте проведение проверки с использование баз данных Национального реестра уязвимостей (NVD).
- С помощью переключателя Выключено / Включено настройте проведение проверки с использование баз данных Банка данных угроз безопасности информации (БДУ).
- В блоке Вредоносное ПО с помощью переключателя Выключено / Включено настройте проведение проверки на наличие в образе вредоносного ПО в рамках компонента Защита от файловых угроз.
- В блоке Ошибки конфигурации с помощью переключателя Выключено / Включено настройте проведение проверки на наличие ошибок конфигурации.
- Нажмите на кнопку Сохранить.
Изменение параметров политики сканирования
Вы можете изменить параметры политики сканирования в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.
Чтобы изменить параметры политики сканирования:
- В разделе Политики → Сканирование перейдите по ссылке в названии политики.
Откроется окно редактирования параметров политики.
- Если требуется, с помощью переключателя Выключить / Включить измените статус политики (включена / выключена).
- Внесите нужные изменения в параметры политики. Для изменения доступны следующие параметры:
- Название политики, ее описание и область применения.
- Параметры проверки на уязвимости. С помощью флажков укажите базу или базы уязвимостей, по которым требуется проверять образы.
- Параметры проверки на вредоносное ПО. Установите флажок, если требуется проверять образы на наличие вредоносного ПО и других файловых угроз. Для проведения проверки используется компонент Защита от файловых угроз.
- Параметры проверки на ошибки конфигурации. Установите флажок, если требуется проверять образы на наличие ошибок конфигурации. Проверка выполняется с параметрами по умолчанию, заданными производителем решения.
- Нажмите на кнопку Сохранить.
Настройка правил обнаружения конфиденциальных данных
В разделе Политики → Сканирование → Конфиденциальные данные отображается список настроенных правил обнаружения конфиденциальных данных (далее также – секретов) во время сканирования образов.
Правила сгруппированы по категориям в зависимости от назначения и области применения секретов, для обнаружения которых правила предназначены. Список категорий определен производителем решения. Категории содержат предустановленные правила.
В списке вы можете выполнять следующие действия:
- Просматривать и изменять параметры правил обнаружения секретов. Окно редактирования открывается по ссылке на идентификаторе правила.
- Добавлять новые правила в выбранную категорию. Окно ввода параметров интеграции открывается с помощью кнопки Добавить правило, расположенной над таблицей. Для добавления правил не относящимся ни к одной из предустановленных категорий, используйте категорию Другие.
- Удалять правила. Чтобы выбрать правило для удаления, установите флажок в строке с правилом. Значок удаления появляется при выборе одного или нескольких правил в списке.
Чтобы изменить настройки правил обнаружения конфиденциальных данных:
- В таблице в разделе Политики → Сканирование → Политики выберите политику сканирования.
- В секции Конфиденциальные данные выберите необходимые правила, установив флажки в строках правил.
- С помощью переключателя Выключить / Включить в столбце Статус в таблице со списком правил политики включите или выключите данный компонент политики.
Не нажимайте на кнопку Сохранить.
Kaspersky Security для контейнеров сразу же применяет изменение настроек конфиденциальных данных и отображает соответствующее уведомление. Вы также можете обновить страницу, чтобы увидеть изменения настроек.
Политики безопасности образов
Политика безопасности образов определяет действия, которые Kaspersky Security для контейнеров выполняет для обеспечения безопасности, если угрозы, обнаруженные при сканировании образа, соответствуют указанным в политике критериям.
В разделе Политики → Безопасность образов в виде таблицы отображается список настроенных политик безопасности образов.
В списке вы можете выполнять следующие действия:
- Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
- Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
- Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.
- Удалять политики.
Если вы создаете политику безопасности образов, изменяете ее параметры или удаляете такую политику, то статус соответствия требованиям образов (Соответствует / Не соответствует), в отношении которых применялась политика, пересматривается.
Создание политики безопасности образов
Для создания политики безопасности в Kaspersky Security для контейнеров требуются права на управление параметрами политики безопасности.
Чтобы создать политику безопасности образов:
- В разделе Политики → Безопасность образов нажмите на кнопку Добавить политику.
Откроется окно ввода параметров политики.
- Введите название политики и, если требуется, ее описание.
- В поле Область применения из предложенных вариантов выберите область применения для политики безопасности образов.
Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.
- Укажите действия, которые решение будет выполнять в соответствии с этой политикой:
- Блокировать этап CI/CD – если на этапе проверки образа в пайплайне CI/CD сканер обнаруживает в образе угрозы, соответствующие указанному в политике уровню критичности, этап проверки завершается с ошибкой (failed). Этот результат передается в CI-систему.
- Отмечать образы как несоответствующие требованиям безопасности – Kaspersky Security для контейнеров отмечает образы, в которых обнаружены угрозы, соответствующие указанным в политике критериям.
- В блоке Уровень уязвимости настройте следующие параметры:
- С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности уязвимости.
- Установите уровень критичности, который присваивается по базам данных уязвимостей. Вы можете выбрать его из раскрывающегося списка Уровень критичности или указать оценку критичности в баллах от 0 до 10.
- С помощью переключателя Выключено / Включено настройте блокировку в случае наличия конкретных уязвимостей и укажите эти уязвимости в поле Уязвимости.
- В блоке Вредоносное ПО с помощью переключателя Выключено / Включено настройте проведение проверки на наличие в образе вредоносного ПО.
- В блоке Ошибки конфигурации настройте следующие параметры:
- С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности ошибок конфигурации.
- Установите уровень критичности ошибок конфигурации, выбрав его из раскрывающегося списка Уровень критичности.
Уровень критичности присваивается по базам данных уязвимостей.
- В блоке Конфиденциальные данные настройте следующие параметры:
- С помощью переключателя Выключено / Включено настройте проведение проверки по уровню критичности конфиденциальных данных.
- Установите уровень критичности конфиденциальных данных, выбрав его из раскрывающегося списка Уровень критичности.
Уровень критичности присваивается по базам данных уязвимостей.
- Нажмите на кнопку Сохранить.
По умолчанию политика создается в статусе Включено.
В начало
Изменение параметров политики безопасности образов
Вы можете изменить параметры политики безопасности образов в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.
Чтобы изменить параметры политики безопасности образов:
- В разделе Политики → Безопасность образов нажмите на название политики в списке существующих политик безопасности образов.
Откроется окно изменения параметров политики.
- Внесите изменения в интересующие вас параметры политики:
- Название политики, ее описание и область применения.
- Действия решения в соответствии с этой политикой.
- Необходимые проверки.
- Уровень критичности обнаруженных в ходе проверок уязвимостей.
- Идентификационные номера уязвимостей для блокирования.
- Нажмите на кнопку Сохранить.
Политики реагирования
Политика реагирования определяет действия, которые решение выполняет при наступлении определенных событий, заданных в политике. Например, Kaspersky Security для контейнеров может уведомлять пользователя об обнаружении угроз.
Если вы хотите настроить политики реагирования для уведомления пользователя, вам нужно предварительно настроить интеграцию со средствами уведомления.
В разделе Политики → Реагирование в виде таблицы отображается список настроенных политик реагирования.
В списке вы можете выполнять следующие действия:
- Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
- Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
- Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.
Если вы выключите политику, Kaspersky Security для контейнеров не будет выполнять действия, указанные в такой политике.
- Осуществлять поиск политик. Чтобы найти политику, в поле поиска над списком политик реагирования нужно указать название политики или его часть.
- Удалять политики.
В этой версии решения политики реагирования определяют только действия, которые Kaspersky Security для контейнеров выполняет для уведомления пользователя в случае наступления определенного события, заданного в политике. Например, в случае обнаружения какого-либо объекта с критической уязвимостью решение может отправлять уведомление пользователю на электронную почту.
Создание политики реагирования
Для создания политики реагирования в Kaspersky Security для контейнеров требуются права на управление параметрами политики реагирования.
Чтобы создать политику реагирования:
- В разделе Политики → Реагирование нажмите на кнопку Добавить политику.
Откроется окно ввода параметров политики.
- Введите название политики и, если требуется, ее описание.
- В поле Область применения из предложенных вариантов выберите область применения для политики реагирования.
Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.
- В поле Триггер выберите из раскрывающегося списка событие, при наступлении которого во время проверки решение должно уведомлять пользователя. В качестве события-триггера может быть выбрано одно из следующих событий:
- Конфиденциальные данные. Уведомление направляется, если при сканировании решение обнаруживает в объекте признаки наличия конфиденциальных данных.
- Не соответствует. Kaspersky Security для контейнеров уведомляет вас, если в проверяемом объекте обнаружены образы, которые не соответствуют требованиям политик безопасности.
- Критические уязвимости. Уведомление направляется, если при сканировании в объекте обнаружены уязвимости со статусом Критический.
- Вредоносное ПО. Уведомление направляется, если при сканировании найдено вредоносное ПО.
- Окончание срока принятия риска. Kaspersky Security для контейнеров уведомляет вас, если в проверяемом объекте найдены риски, в отношении которых вы ранее осуществили принятие риска, но срок действия периода принятия этого риска истек.
- Настройте нужное количество способов уведомления:
- Выберите Средство уведомления: электронная почта или Telegram.
- В поле Название интеграции выберите из раскрывающегося списка название предварительно настроенной интеграции с выбранным средством уведомления.
- Чтобы добавить еще один способ уведомления, нажмите на кнопку Добавить и заполните открывшиеся поля, как описано в пунктах a и b.
- Если требуется вы можете удалять добавленные способы уведомления с помощью значка, расположенного справа от поля Название интеграции.
- Нажмите на кнопку Сохранить.
По умолчанию политика создается в статусе Включено.
В начало
Изменение параметров политики реагирования
Вы можете изменить параметры политики реагирования в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.
Чтобы изменить параметры политики реагирования:
- В разделе Политики → Реагирование нажмите на название политики в списке существующих политик реагирования.
Откроется окно изменения параметров политики.
- При необходимости внесите изменения в интересующие вас параметры политики:
- Измените название политики.
- Добавьте или измените описание политики.
- Добавьте или измените область применения политики.
- Измените триггер-событие, выбрав его из раскрывающегося списка.
- Добавьте средство уведомления, нажав на кнопку Добавить.
- Удалите средство уведомления, нажав на значок удаления (
), расположенный рядом со строкой выбранного средства уведомления.
- Нажмите Сохранить.
Политики среды выполнения
Политика среды выполнения определяет действия, которые решение выполняет для мониторинга и контроля запуска контейнеров в среде исполнения в соответствии с политиками безопасности. Kaspersky Security для контейнеров осуществляет контроль на основе обнаруженных в образе угроз безопасности, уровня критичности этих угроз и наличия
.Контейнеры в среде исполнения могут запускаться из проверенных и еще неизвестных решению образов.
На вкладке Политики в разделе Политики → Среда выполнения в виде таблицы отображается список настроенных политик проверки среды выполнения.
В списке вы можете выполнять следующие действия:
- Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
- Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
- Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.
Если вы выключите политику, Kaspersky Security для контейнеров не будет выполнять действия, указанные в такой политике.
- Осуществлять поиск политик. Чтобы найти политику, в поле поиска над списком политик реагирования нужно указать название политики или его часть.
- Удалять политики.
Для оптимальной работы политики среды выполнения требуется дополнить профилями среды выполнения для контейнеров, которые определяют правила и ограничения для работы контейнеров в среде выполнения.
Создание политики среды выполнения
Для создания политики среды выполнения в Kaspersky Security для контейнеров требуются права на управление параметрами политики среды выполнения.
Чтобы создать политику среды выполнения:
- В разделе Политики → Среда выполнения выберите вкладку Политики.
- Нажмите на кнопку Добавить политику.
Откроется окно ввода параметров политики.
- Введите название политики и, если требуется, ее описание.
- В поле Область применения из предложенных вариантов выберите область применения для политики среды выполнения. Поскольку политики среды выполнения используются только в отношении развернутых и/или запускаемых контейнеров, для выбора доступны области применения, содержащие ресурсы по кластерам.
Области применения, содержащие только ресурсы по реестрам, не доступны для выбора. При необходимости вы можете определить конкретные образы и поды для создаваемой политики среды выполнения в блоке Профили среды выполнения контейнеров, как указано в п.11.
Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.
- При необходимости установите флажок Исключения, чтобы определить исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из раскрывающихся списков объекты и укажите их названия, а затем нажмите Добавить.
Имеющиеся в политике исключения проверяются при развертывании контейнера.
- В блоке Режим выберите один из следующих режимов применения политики:
- Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
- Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.
- В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
- В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
- В блоке Блокирование незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
- В блоке Блокирование системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из развертывающегося списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из раскрывающегося списка ALL.
- В блоке Профили среды выполнения контейнеров с помощью переключателя Выключено / Включено активируйте блокирование процессов внутри контейнеров и сетевых соединений для подов. Для этого выполните следующие действия:
- В раскрывающемся списке выберите признак для определения подов, к которым будут применены профили среды выполнения.
- В зависимости от выбранного признака выполните следующие действия:
- Если вы выбрали Метки пода, введите ключ и значение метки пода.
Вы можете добавить дополнительные метки для выбора подов, нажав на кнопку Добавить метку.
- Если вы выбрали Шаблон URL образа, введите шаблон веб-адреса реестра образов.
Если в кластере используются образы из внешнего реестра Docker Hub, решение воспринимает полный и сокращенный пути до образов равными по значению. Например, если вы указываете в кластере адрес образа контейнера docker.io/library/ubuntu:focal, решение будет считать равным ему значение ubuntu:focal.
Вы можете добавить дополнительные веб-адреса для выбора подов, нажав на кнопку Добавить URL образа.
- Если вы выбрали Метки пода, введите ключ и значение метки пода.
- В поле Профиль среды выполнения укажите один или несколько профилей среды выполнения, которые будут применяться к подам, соответствующим определенным вами признакам.
- При необходимости вы добавьте поды для сопоставления с помощью кнопки Добавить сопоставление подов. Поды с различными признаками или применяемыми профилями среды выполнения будут сопоставляться в рамках одной политики среды выполнения.
- В блоке Защита от файловых угроз с помощью переключателя Выключено / Включено активируйте компонент Защита от файловых угроз. Он используется для поиска и анализа потенциальных файловых угроз, а также обеспечивает безопасность контейнеризированных объектов, в том числе архивов и файлов электронной почты.
Когда применяется политика среды выполнения с включенным компонентом Защита от файловых угроз, Kaspersky Security для контейнеров активирует защиту от файловых угроз в реальном времени на всех узлах в составе сфер применения, заданных для такой политики. Конфигурация разворачиваемых агентов зависит от настроек параметров, которые вы укажете для компонента Защита от файловых угроз. Вы можете настроить параметры защиты от файловых угроз, нажав на кнопку Параметры на вкладке Политики в разделе Политики → Среда выполнения.
Параметры компонента Защита от файловых угроз применяются ко всем действующим политикам среды выполнения.
- В блоке Защита содержания образа с помощью переключателя Выключено / Включено активируйте проверку цифровых подписей, которые подтверждают целостность и происхождение образов в контейнере. Для этого выполните следующие действия:
- В поле Шаблон URL реестра образов введите шаблон веб-адреса реестра образов, в котором требуется проводить проверку подписей.
- Из раскрывающегося списка выберите Проверять, чтобы активировать проверку, или Не проверять, чтобы заблокировать проверку.
- Из раскрывающегося списка выберите один из настроенных модулей проверки подписей образов.
- При необходимости добавьте правила проверки подписей с помощью кнопки Добавить правило проверки подписей. Решение будет применять нескольких правил проверки подписей в рамках одной политики среды выполнения.
- В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокирование запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокирования параметров подов.
- В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из раскрывающегося списка Реестры выберите нужные реестры.
- В блоке Блокирование томов с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома укажите точки монтирования томов на хостовой системе.
Значение в поле Тома должно начинаться с косой черты ("/"), поскольку оно представляет собой путь в операционной системе.
- Нажмите на кнопку Сохранить.
По умолчанию политика создается в статусе Включено.
В начало
Изменение параметров политики среды выполнения
Вы можете изменить параметры политики среды выполнения в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.
Чтобы изменить параметры политики среды выполнения:
- В разделе Политики → Среда выполнения → Политики нажмите на название политики в списке существующих политик среды выполнения.
Откроется окно изменения параметров политики.
- Измените название политики.
- Добавьте или измените описание политики.
- Внесите изменения в интересующие вас блоки политики:
- Режим.
- Область применения.
- Исключения.
- Проверка на соответствие лучшим практикам.
- Предотвращение запуска контейнеров из несоответствующих требованиям образов.
- Блокировка незарегистрированных образов.
- Блокировка системных функций.
- Профили среды выполнения контейнеров.
- Защита от файловых угроз.
- Защита содержания образа.
- Ограничение по набору полномочий контейнера.
- Использование разрешенных реестров.
- Блокировка томов.
- Нажмите на кнопку Сохранить.
Удаление политик безопасности
Вы можете удалять политики безопасности, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания. Кроме того, для удаления вам требуются права на управление соответствующими типами политик.
Чтобы удалить политику безопасности:
- Откройте список настроенных политик сканирования, политик безопасности образов, политик реагирования или политик среды выполнения.
- В строке с названием политики, которую вы хотите удалить, нажмите на значок удаления (
).
- Подтвердите удаление в открывшемся окне.
Если в результате ошибок конфигурации политики безопасности заблокировали работоспособность Kaspersky Security для контейнеров, и вы не можете управлять решением с помощью консоли управления, политики безопасности необходимо удалить вручную.
Чтобы удалить политику безопасности вручную и восстановить работоспособность решения:
- Выполните команду удаления агентов kube-agent и node-agent в следующем формате:
kubectl delete deployment kube-agent
kubectl delete daemonset node-agent
- Удалите все пользовательские ресурсы (customer resources) в целевом кластере с помощью следующей команды:
kubectl get crd -o name | grep 'kcssecurityprofiles.securityprobe.kcs.com' | xargs kubectl delete
- Перезапустите все поды Kaspersky Security для контейнеров и получите доступ к консоли управления.
- Внесите необходимые изменения в политики безопасности.
- Установите агентов с использованием инструкции в формате .YAML.
Работа с профилями среды выполнения контейнеров
При реализации политик среды выполнения Kaspersky Security для контейнеров может применять заданные вами правила мониторинга процессов и сети. Для этого в соответствующие политики среды выполнения требуется добавить профили среды выполнения, которые представляют собой списки ограничений для работы контейнеров. Профили образов задают параметры безопасного развертывания образов и безопасного поведения приложений, развернутых из образов. Осуществление действий, закрепленных в профилях, позволяет значительно снизить возможности злоумышленника при проникновении внутрь объекта и повысить уровень защиты при работе контейнеров в среде выполнения.
Ограничения в составе профиля среды выполнения описывают следующие параметры:
- Подлежащие блокировке исполняемые файлы.
- Сетевые ограничения на входящие и исходящие соединения.
Список настроенных профилей отображается в виде таблицы на вкладке Профили среды выполнения в разделе Политики → Среда выполнения. В этом разделе вы также можете выполнять следующие действия:
- Создавать новые профили среды выполнения контейнеров. Окно настройки профиля открывается с помощью кнопки Добавить профиль над списком.
- Изменять параметры профиля, нажав на ссылку в названии профиля среды выполнения.
- Удалять профили среды выполнения.
Создание профиля среды выполнения
Чтобы создать профиль среды выполнения контейнера:
- В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Добавить профиль.
Откроется окно ввода параметров профиля.
- Введите название профиля среды выполнения и при необходимости его описание.
- В блоке Ограничение исполняемых файлов контейнера с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
- Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
- Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. При этом можно указать маску
*
, например,/bin/*
, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории.Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для
/bin/*
в исключениях можно указать путь/bin/cat
. При этом будет запрещен запуск всех исполняемых файлов из директории/bin/
, кроме приложения/bin/cat
.Пример пути к исполняемым файлам
Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.
Все указанные для этого блока параметров правила и исключения являются регулярными выражениями (regexp). Решение использует заданные шаблоны и флаги для поиска всех файлов, которые соответствуют определенному регулярному выражению.
- В блоке Ограничение входящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.
Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:
- Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
- В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.
Если требуется указать несколько портов, используйте запятую, например 8080, 8082.
Если вы не укажете значения портов, то решение разрешит соединение по всем портам.
- В блоке Ограничение исходящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.
Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:
- Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
- В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.
Если требуется указать несколько портов, используйте запятую, например 8080, 8082.
Если вы не укажете значения портов, то решение разрешит соединение по всем портам.
- Нажмите на кнопку Сохранить.
Созданный профиль среды выполнения отображается в разделе Политики → Среда выполнения → Профили среды выполнения.
В начало
Примеры настроенных профилей среды выполнения
В таблице ниже приводятся некоторые часто используемые решением образы и параметры настроенных для них ограничений в профилях среды выполнения.
Образы и настроенные в них параметры
Название образа |
Ограничение исполняемых модулей контейнера |
Ограничение сетевых соединений |
---|---|---|
Nginx |
Разрешенный исполняемый файл:
|
Запрет исходящих соединений |
Mysql |
Разрешенные исполняемые файлы:
|
Запрет исходящих соединений |
Wordpress |
Разрешенные исполняемые файлы:
|
|
Node |
Разрешенный исполняемый файл:
|
Запрет исходящих соединений |
MongoDB |
Разрешенные исполняемые файлы:
|
|
HAProxy |
Разрешенные исполняемые файлы:
|
|
Hipache |
Разрешенные исполняемые файлы:
|
|
Drupal |
Разрешенные исполняемые файлы:
|
|
Redis |
Разрешенные исполняемые файлы:
|
Запрет исходящих соединений |
Tomcat |
Разрешенные исполняемые файлы:
|
Запрет исходящих соединений |
Celery |
Разрешенные исполняемые файлы:
|
Изменение параметров профиля среды выполнения
Чтобы изменить параметры профиля среды выполнения:
- В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на название профиля в списке существующих профилей среды выполнения контейнеров.
- В открывшемся окне при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
- Название профиля среды выполнения.
- Описание профиля среды выполнения.
- Ограничение исполняемых файлов контейнера.
- Ограничение входящих сетевых соединений.
- Ограничение исходящих сетевых соединений.
- Нажмите на кнопку Сохранить.
Изменения параметров профиля среды выполнения сразу же применяются к запущенному контейнеру и влияют на его работу.
В начало
Удаление профиля среды выполнения
Чтобы удалить профиль среды выполнения контейнера:
- В таблице настроенных профилей среды выполнения в разделе Политики → Среда выполнения → Профили образов нажмите на значок удаления (
) в строке с названием профиля, который вы хотите удалить.
- Подтвердите удаление в открывшемся окне.
Защита от файловых угроз
Kaspersky Security для контейнеров использует компонент Защита от файловых угроз для поиска и анализа потенциальных файловых угроз с целью защиты контейнеризированных файлов (в том числе файлов в архивах и электронной почте) от вредоносного ПО. При обнаружении вредоносного ПО решение может блокировать или удалять зараженный объект и завершать вредоносный процесс, запущенный из такого объекта. Результаты проверки отображаются решением вместе с результатами сканирования.
Вы можете включать и выключать защиту от файловых угроз, а также настраивать следующие параметры защиты:
- Выбирать режим работы файлового перехватчика (аудит или блокирование объектов).
- Выбирать режим проверки файлов (при открытии, при открытии и изменении).
- Включать и выключать проверку архивов, почтовых баз, сообщений электронной почты в текстовом формате.
- Временно исключать из повторной проверки файлы в текстовом формате.
- Ограничивать размер проверяемого объекта и продолжительность проверки объекта.
- Выбирать действия, которые решение будет выполнять над зараженными объектами.
- Настраивать области проверки. Решение будет проверять объекты в указанной области файловой системы.
- Настраивать использование эвристического анализатора и технологии iChecker во время проверки.
- Включать и выключать запись в журнал событий безопасности информации о проверенных незараженных объектах, о проверке объектов в составе архивов и о необработанных объектах.
Параметры компонента Защита от файловых угроз активируются в разделе Политики → Среда выполнения → Профили среды выполнения, настраиваются в окне настройки параметров компонента Защита от файловых угроз и применяются ко всем существующим политикам среды выполнения.
Если вы не хотите, чтобы компонент Защита от файловых угроз активировался при запуске конкретной политики среды безопасности, требуется отключить его в настройках политики с помощью переключателя Выключено / Включено. Также необходимо убедиться, что компонент Защита от файловых угроз не запущен в рамках другой применимой политики среды выполнения.
Настройка параметров компонента Защита от файловых угроз
Для настройки параметров компонента Защита от файловых угроз требуются права роли Администратор ИБ.
Чтобы настроить параметры компонента Защита от файловых угроз:
- В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Параметры.
Откроется окно настройки параметров компонента Защита от файловых угроз.
- В блоке Режим файлового перехватчика выберите один из следующих режимов проверки объектов:
- Аудит – решение проверяет и осуществляет учет содержимого объектов.
- Блокирование – решение блокирует все объекты, которые не соответствуют установленным правилам и критериям.
- В блоке Режим сканирования выберите одно из следующих значений режима Защиты от файловых угроз:
- Интеллектуальный режим (значение по умолчанию) – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен. Если процесс в течение определенного времени многократно обращается к файлу и изменяет его, решение повторно проверяет файл только при последнем закрытии файла этим процессом.
- При открытии и изменении – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен.
- При открытии – проверять файл при попытке открытия на чтение, исполнение или изменение.
- В блоке Действия с обнаруженными объектами в раскрывающихся списках выберите следующее:
- Первое действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом:
- Выполнять рекомендованное действие над объектом на основе данных об уровне критичности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
Например, сразу удаляются троянские программы, так как они не заражают другие файлы и поэтому не предполагают лечения.
- Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Блокировать доступ к объекту.
- Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Выполнять рекомендованное действие над объектом на основе данных об уровне критичности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
- Второе действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом, если не удастся выполнить первое действие:
- Выполнять рекомендованное действие над объектом на основе данных об уровне критичности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
- Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Блокировать доступ к объекту.
- Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.
Рекомендуется указывать оба действия с обнаруженными объектами.
При выборе действий с обнаруженными объектами необходимо учитывать следующее:
- Если в качестве первого действия выбрано Блокировать или Удалять, то второе действие указывать не нужно.
- Если второе действие не выбрано, по умолчанию выполняется действие Блокировать.
- Если в применимой политике среды выполнения выбран режим применения Аудит, действия с обнаруженными объектами не выполняются.
- Первое действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом:
- В блоке Области проверки с помощью установки флажков определите области проверки, содержащие файлы и директории для сканирования. Если флажок установлен, решение проверяет выбранные объекты. Вы можете выбрать одну или несколько областей проверки из следующего списка:
- Проверять архивы – флажок включает или выключает проверку архивов. По умолчанию флажок снят, и решение не проверяет архивы.
Решение проверяет архивы в таких форматах как .ZIP, .7Z*, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ, а также самораспаковывающиеся архивы в формате .SFX. Список поддерживаемых форматов архивов зависит от используемых баз.
Если проверка архивов включена, а в качестве первого действия с обнаруженным объектом установлено Выполнять рекомендованное действие, то в зависимости от типа архива решение удаляет зараженный объект или весь архив, содержащий угрозу.
Вы можете определить охват проверки архивов, указав Самораспаковывающиеся архивы или Все архивы. Если вы выбираете проверку самораспаковывающихся архивов, решение проверяет только архивы, которые имеют в своем составе исполняемый модуль-распаковщик.
Для проверки решению сначала требуется распаковать архив, что может замедлить проверку. Вы можете сократить продолжительность проверки архивов, включив и настроив параметры Пропускать файл, если его проверка длится более (сек.) и Пропускать файл, если его размер более (МБ).
- Проверять почтовые базы – флажок включает или выключает проверку почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat! и других почтовых клиентов. По умолчанию флажок снят, и решение не проверяет файлы почтовых баз.
- Проверять файлы почтовых форматов – флажок включает или выключает проверку файлов сообщений электронной почты в текстовом формате. По умолчанию флажок снят, и решение не проверяет сообщения в текстовом формате.
- Пропускать текстовые файлы – флажок включает или временно выключает проверку файлов в текстовом формате, если они повторно используются тем же процессом в течение 10 минут после последней проверки. Параметр позволяет оптимизировать проверку журналов работы приложений. По умолчанию флажок снят, и решение не проверяет текстовые файлы.
- Пропускать объект, если его размер более (МБ) – флажок включает или выключает проверку объектов с установленным максимальным размером (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, решение пропускает объект при проверке.
Доступные значения: 0–999999. Если установлено значение 0, решение проверяет файлы любого размера.
Значение по умолчанию: 0.
- Пропускать объект, если его проверка длится более (сек.) – флажок включает или выключает проверку объектов с установленным максимальным временем проверки файла в секундах. После истечения указанного времени решение прекращает проверку файла.
Доступные значения: 0–9999. Если указано значение 0, время проверки не ограничено.
Значение по умолчанию: 60.
- Проверять архивы – флажок включает или выключает проверку архивов. По умолчанию флажок снят, и решение не проверяет архивы.
- В блоке Технологии с помощью установки флажков определите технологию, которую решение будет использовать для проверки объектов. Вы можете выбрать один из следующих вариантов:
- Использовать технологию iChecker – флажок включает или выключает проверку только новых файлов и файлов, измененных с момента последней проверки. iChecker представляет собой способ сканирования, который уменьшает общее время выполнения сканирования за счет частичного пропуска сканирования ранее просканированных файлов, которые не изменялись после проведенной проверки.
Если флажок установлен, решение проверяет только новые и измененные с момента последней проверки файлы. Если флажок снят, решение проверяет файлы, не учитывая даты создания и изменения.
По умолчанию флажок установлен.
- Использовать эвристический анализ – флажок включает или выключает использование эвристического анализа при проверке объектов. Эвристический анализ позволяет решению распознавать угрозы безопасности до того, как они станут известны аналитикам вредоносного ПО.
По умолчанию флажок установлен.
Если флажок Использовать эвристический анализ установлен, вы можете выбрать уровень эвристического анализа. Установленный уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз безопасности, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет. Вы можете выбрать один из следующих вариантов:
- Рекомендованный (значение по умолчанию) – оптимальный уровень, рекомендуемый специалистами "Лаборатории Касперского". Он обеспечивает оптимальное сочетание качества защиты и влияния на производительность защищаемых серверов.
- Поверхностный – наименее детализированная проверка, минимальная нагрузка на систему.
- Средний – средняя детализация при проверке, сбалансированная нагрузка на систему.
- Глубокий – наиболее детализированная проверка, максимальная нагрузка на систему.
- Использовать технологию iChecker – флажок включает или выключает проверку только новых файлов и файлов, измененных с момента последней проверки. iChecker представляет собой способ сканирования, который уменьшает общее время выполнения сканирования за счет частичного пропуска сканирования ранее просканированных файлов, которые не изменялись после проведенной проверки.
- В блоке Регистрация событий с помощью установки флажков определите необходимость записи события в журнал событий безопасности. Вы можете выбрать один или несколько вариантов регистрации событий:
- Сообщать о незараженных объектах – флажок включает или выключает запись информации о проверенных объектах, которые решение признало незараженными.
- Сообщать о необработанных объектах – флажок включает или выключает запись информации о проверенных объектах, которые об объектах по какой-либо причине не были обработаны.
- Сообщать об упакованных объектах – флажок включает или выключает запись информации о проверенных объектах, которые являются частью составных объектов, например архивов.
Если флажок установлен, решение записывает событие в журнал для всех объектов. Если флажок снят, событие не записывается в журнал. По умолчанию флажок снят.
- Нажмите Сохранить.
Работа файлового перехватчика
При выполнении задач по проверке объектов компонент Защита от файловых угроз задействует перехватчик файловых операций. Для него устанавливается один из следующих режимов перехвата файлов (параметр InterceptorProtectionMode
):
- Блокирование (значение по умолчанию) – блокировать файлы на время проверки задачей, использующей файловый перехватчик. Обращение к любому файлу ожидает результатов проверки. При обнаружении зараженных объектов решение выполняет действия, указанные в параметрах блока Действия с обнаруженными объектами.
- Аудит – не блокировать файлы на время проверки задачей, использующей файловый перехватчик. Обращение к любому файлу разрешается, проверка выполняется в асинхронном режиме. При обнаружении зараженных объектов решение только записывает событие в журнал событий. Действия, указанные в параметрах блока Действия с обнаруженными объектами, не выполняются.
Если выбрано значение Аудит, решение включает информирующий режим работы компонентов Защита от файловых угроз.
Настроенные параметры компонента применяются, когда Защита от файловых угроз активирована в политиках среды выполнения. Эти настройки одинаковы для всех созданных политик среды выполнения. Если в применимой политике среды выполнения выбран режим аудита, а в компоненте Защита от файловых угроз для параметра InterceptorProtectionMode
указано Блокирование, решение будет осуществлять блокирование файлов.
Обновление баз данных
Для обеспечения максимального уровня защиты контейнеризированных объектов от файловых угроз осуществляется обновление баз данных компонента Защита от файловых угроз. Обновление осуществляется автоматически с установленной периодичностью или по вашему запросу.
При развертывании нового агента решение обновляет и затем применяет обновленные базы данных компонента Защита от файловых угроз.
Обновление баз осуществляется с сервера обновлений Kaspersky Security для контейнеров. Вы можете настроить обновление баз и компонентов в локальной сети организации из общей директории с помощью утилиты Kaspersky Update Utility. Для этого одно из устройств локальной сети организации должно получать пакеты обновлений с серверов обновлений "Лаборатории Касперского" и копировать полученные пакеты обновлений в общую директорию с помощью утилиты. Остальные устройства локальной сети организации смогут получать пакет обновлений из общей директории.
При развертывании решения в открытом контуре корпоративной сети обновление осуществляется непосредственно с сервера обновлений. При установке решения в закрытом контуре корпоративной сети обновленные базы данных для компонента Защита от файловых угроз добавляются в контейнер kcs-updates
для последующего запуска и обновления.
Применение обновленных баз на работающем агенте не нарушает активную защиту узлов в среде выполнения. Обновление баз данных регистрируется в журнале событий.
Если в ходе обновления баз данных произошла какая-либо ошибка, решение отменяет обновления компонента Защита от файловых угроз и продолжает использовать ранее установленные базы данных. Возникшие в ходе обновления ошибки записываются в файл events.db, который находится в поде агента node-agent.
Файл events.db доступен, если для группы агентов включен параметр Защита от файловых угроз.
В начало
Принудительное отключение Защиты от файловых угроз
В Kaspersky Security для контейнеров 1.2 вы можете полностью отключить компонент Защита от файловых угроз. Необходимость в этом может появиться в случае возникновения проблем в работе компонента.
Принудительно отключить компонент Защита от файловых угроз можно двумя способами: с помощью изменения файла для развертывания агентов на кластере и с помощью изменения запущенных агентов.
Чтобы принудительно отключить Защиту от файловых угроз с помощью файла для развертывания агентов:
- Откройте файл с инструкцией для развертывания агентов на кластере в формате .YAML, который вы скачали при развертывании агентов.
- В блоке параметров
DaemonSet
для агента node-agent измените значение переменной окруженияFILE_THREAT_PROTECTION_ENABLED
наfalse
.name: FILE_THREAT_PROTECTION_ENABLED
value: false
- Сохраните изменения в файле инструкции.
- В консоли примените файл инструкции с помощью
kubectl apply -f agents.yaml
Оркестратор повторно развернет поды агента node-agent с отключенным компонентом Защита от файловых угроз.
Чтобы принудительно отключить Защиту от файловых угроз при запущенных агентах:
- В консоли откройте запущенных агентов с помощью команды
kubectl edit
. - В блоке параметров
DaemonSet
для агента node-agent измените значение переменной окруженияFILE_THREAT_PROTECTION_ENABLED
наfalse
.name: FILE_THREAT_PROTECTION_ENABLED
value: false
- Сохраните изменения.
Оркестратор применит сохраненные изменения и отключит компонент Защита от файловых угроз.
Настройка интеграции с модулями проверки подписей образов
Kaspersky Security для контейнеров может осуществлять проверку подлинности и действительности цифровых подписей образов. Чтобы использовать функцию этой проверки, вам требуется настроить интеграцию решения с одним или несколькими внешними приложениями для подписи. Особенности подписания контрольной суммы образа, место хранения подписей и особенности защиты подписей зависят от выбранного вами приложения для подписи. Решение поддерживает два настраиваемых внешних модуля проверки подписей:
- Notary v1 – разработанное Docker приложение, которое используется для обеспечения безопасности контейнеров на различных этапах их жизненного цикла, в том числе создания и последующего хранения подписей.
- Cosign – приложение, предназначенное для создания подписей для контейнеров, проверки подписей и размещения подписанных контейнеров в репозиториях. Приложение разработано в рамках проекта .
Вы можете настроить интеграцию с модулем проверки подписей в разделе Администрирование → Интеграции → Модули проверки подписей образов.
В начало
Просмотр списка интеграций с модулями проверки подписей
В разделе Администрирование → Интеграции → Модули проверки подписей образов отображается таблица со списком всех настроенных интеграций с модулями проверки подписей образов.
В таблице отображаются следующие данные об интегрированных модулях проверки подписей образов:
- Название модуля проверки.
- Описание, если оно указывалось при создании интеграции.
- Тип задействованного модуля проверки подписей – Notary v1 или Cosign.
- Веб-адрес, к которому обращается модуль проверки подписи образов.
В таблице вы можете выполнять следующие действия:
- Добавлять новые интеграции с модулями проверки подписей. Окно ввода параметров интеграции открывается с помощью кнопки Добавить модуль проверки над таблицей.
- Просматривать и изменять параметры интеграции с модулем проверки подписей образов. Окно редактирования открывается по ссылке на названии модуля проверки.
- Удалять интеграцию с модулем проверки подписей образов.
Создание интеграции с модулем проверки подписей
Чтобы создать интеграцию с модулем проверки подписей образов:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на кнопку Добавить модуль проверки.
Откроется окно ввода параметров интеграции.
- В блоке Общая информация введите название политики и при необходимости ее описание.
- В блоке Тип выберите один из следующих модулей проверки подписей:
- Notary v1.
- Cosign.
- В зависимости от выбранного модуля проверки подписей укажите параметры для доступа на сервер:
- Для Notary v1 укажите следующие параметры:
- Веб-адрес – полный веб-адрес сервера, где хранятся подписи образов.
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.
- Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
- Делегирование – перечень владельцев подписи, которые принимают участие в процессе подписания.
- В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.
При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.
- Для Cosign укажите следующие параметры:
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
Секрет должен находиться в пространстве имен Kaspersky Security для контейнеров.
- Сертификат – самостоятельно сгенерированный сертификат сервера, где хранятся подписи. Сертификат предоставляется в формате .PEM.
- В блоке Доверенные корневые ключи укажите пары всех открытых ключей, которые решение будет проверять при проверке подписей. Пара ключа включает в себя имя и значение ключа.
Для Cosign указываются открытые ключи для алгоритмов ECDSA или RSA, предоставленные ресурсом cosign.pub.
При необходимости вы можете добавить дополнительные ключи, нажав на кнопку Добавить пару ключей. Решение поддерживает до 20 пар ключей.
- В блоке Требования к подписи укажите минимально необходимое количество подписей и владельцев подписи, которые обязательно должны подписать образ.
- Секрет для аутентификации на сервере подписей – название секрета оркестратора с учетными идентификационными данными для доступа к серверу, где хранятся подписи образов.
- Для Notary v1 укажите следующие параметры:
- Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с модулем проверки подписей.
Настроенную интеграцию вы можете использовать в политиках среды выполнения для обеспечения защиты содержания образа.
В начало
Просмотр и изменение информации об интеграции с модулем проверки подписей
Чтобы просмотреть и изменить параметры интеграции с модулем проверки подписей образов:
- В разделе Администрирование → Интеграции → Модули проверки подписей образов нажмите на ссылку на названии интеграции в списке интеграций с модулем проверки подписей.
- В открывшемся окне при необходимости в зависимости от выбранного модуля проверки подписей измените следующие параметры интеграции:
- Для Notary v1 вы можете изменить следующие параметры:
- Название модуля проверки.
- Описание.
- Веб-адрес.
- Секрет для аутентификации на сервере подписей.
- Сертификат.
- Делегирование.
- Имя ключа.
- Значение ключа.
- Для Cosign вы можете изменить следующие параметры:
- Секрет для аутентификации на сервере подписей.
- Сертификат.
- Имя ключа.
- Значение ключа.
- Порог подписания.
- Обязательные владельцы подписи.
- Для Notary v1 вы можете изменить следующие параметры:
- При необходимости добавьте пары ключей, нажав на кнопку Добавить пару ключей.
- Нажмите на кнопку Сохранить в верхней части окна.
Удаление интеграции с модулем проверки подписей
Чтобы удалить интеграцию с модулем проверки подписей:
- Откройте список настроенных интеграций с модулем проверки подписи.
- Выберите интеграцию, которую хотите удалить, установив флажок в строке с названием интеграции.
- Нажмите на кнопку Удалить, которая расположена над таблицей.
Кнопка Удалить становится активной после выбора одной или нескольких интеграций.
- Подтвердите удаление в открывшемся окне.
Настройка интеграции со средствами уведомления
Kaspersky Security для контейнеров может уведомлять пользователей о событиях в работе решения в соответствии с параметрами политики реагирования. Чтобы использовать функцию уведомления, вам нужно настроить интеграцию решения с одним или несколькими средствами уведомления.
Kaspersky Security для контейнеров может использовать следующие средства уведомления:
- электронная почта;
- система обмена мгновенными сообщениями Telegram.
Просмотр списка интеграций со средствами уведомления
Чтобы просмотреть список настроенных интеграций со средствами уведомления:
- Перейдите в раздел Администрирование → Интеграции → Уведомления.
- В зависимости от интересующего вас типа уведомления перейдите во вкладку Электронная почта или во вкладку Telegram.
В таблице со списком всех настроенных интеграций отображаются следующие данные о существующих интеграциях:
- Название интеграции.
- Автор обновления.
- Дата и время последнего обновления.
- Статус последнего соединения со средством уведомления – Успешно или Ошибка. Если указывается Ошибка, решение также отображает краткое описание ошибки при соединении.
В таблице вы можете выполнять следующие действия:
- Добавлять новые интеграции с электронной почтой и Telegram. Окно ввода параметров интеграции открывается с помощью кнопки Добавить интеграцию над таблицей.
- Просматривать и изменять параметры интеграции со средствами уведомления. Окно редактирования открывается по ссылке на названии интеграции.
В этом окне с помощью кнопки Проверить соединение вы также можете посмотреть осуществлена ли интеграция со средством уведомления.
- Удалять интеграцию со средствами уведомления.
Создание интеграции с электронной почтой
Чтобы создать интеграцию с электронной почтой:
- В разделе Администрирование → Интеграции → Уведомления в блоке Электронная почта нажмите на кнопку Добавить интеграцию.
Откроется окно ввода параметров интеграции.
- Укажите следующие параметры в полях формы:
- Название интеграции. Это название будет отображаться в параметрах политики реагирования.
- Имя пользователя и пароль учетной записи, которая используется для отправки сообщений.
- Имя сервера SMTP.
- Способ шифрования электронной почты.
- Порт, который использует сервер SMTP.
- Адрес электронной почты отправителя сообщений.
- Адреса электронной почты получателей сообщений. Вы можете указать в поле один или несколько адресов.
- Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с электронной почтой.
- Нажмите на кнопку Добавить, чтобы сохранить параметры интеграции с электронной почтой.
Пример параметров интеграции с электронной почтой
Настроенную интеграцию вы можете использовать в политиках реагирования.
В начало
Просмотр информации об интеграции с электронной почтой
Чтобы просмотреть и изменить интеграцию с электронной почтой:
- В блоке Электронная почта в разделе Администрирование → Интеграции → Уведомления нажмите на ссылку на названии интеграции в списке интеграций.
- В открывшемся окне редактирования при необходимости измените следующие параметры интеграции:
- Название.
- Имя пользователя.
- Пароль учетной записи, которая используется для отправки сообщений.
- Имя сервера SMTP.
- Способ шифрования электронной почты.
- Порт, который использует сервер SMTP.
- Адрес электронной почты отправителя сообщений.
- Адрес электронной почты получателей сообщений.
- Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с электронной почтой.
- Нажмите Сохранить.
Создание интеграции с Telegram
Чтобы создать интеграцию с Telegram:
- В разделе Администрирование → Интеграции → Уведомления в блоке Telegram нажмите на кнопку Добавить интеграцию.
Откроется окно ввода параметров интеграции.
- Укажите следующие параметры в полях формы:
- Название интеграции. Это название будет отображаться в параметрах политики реагирования.
- Идентификатор чата, в котором будут публиковаться сообщения. Вы можете получить идентификатор следующим образом:
- Напишите первое сообщение боту, который будет публиковать сообщения. Идентификатор чата генерируется при первой отправке сообщения.
- Введите в адресной строке браузера:
https://api.telegram.org/bot
<токен>
/getUpdates
,где <токен> – токен бота, который будет публиковать сообщения.
- В полученном json-ответе найдите значение "id" из объекта "chat" – это идентификатор чата.
После изменения настроек видимости истории сообщений для новых участников в чате Telegram меняется идентификатор чата. В таком случае требуется изменить настройки интеграции с Telegram и указать новое значение идентификатора чата.
- Токен бота, который будет публиковать сообщения. Токен вы получаете в результате создания бота по команде
/newbot
в боте BotFather. Вы также можете получить токен ранее созданного бота по команде/token
.
- Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с Telegram.
- Нажмите на кнопку Добавить, чтобы сохранить параметры интеграции с Telegram.
Пример параметров интеграции с Telegram
Настроенную интеграцию вы можете использовать в политиках реагирования.
В начало
Просмотр и изменение информации об интеграции с Telegram
Чтобы просмотреть и изменить интеграцию с Telegram:
- В блоке Telegram в разделе Администрирование → Интеграции → Уведомления нажмите на ссылку на названии интеграции в списке интеграций.
- В открывшемся окне редактирования при необходимости измените следующие параметры интеграции:
- Название.
- Идентификатор чата.
- Токен бота.
- Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с Telegram.
- Нажмите Сохранить.
Удаление интеграции со средством уведомления
Чтобы удалить интеграцию с электронной почтой или с Telegram:
- Откройте список настроенных интеграций с электронной почтой или с Telegram в разделе Администрирование → Интеграции → Уведомления.
- Выберите интеграцию, которую хотите удалить, установив флажок в строке с названием интеграции.
- Нажмите на кнопку Удалить, которая расположена над таблицей.
Кнопка Удалить становится активной после выбора одной или нескольких интеграций.
- Подтвердите удаление в открывшемся окне.
Невозможно удалить интеграцию, которая используется в одной или нескольких политиках реагирования.
В начало
Настройка интеграции с LDAP-сервером
Kaspersky Security для контейнеров позволяет подключаться к серверам внешних
используемых в вашей организации, . Интеграция осуществляется с конкретной группой в .Соединение с внешней службой каталогов по протоколу LDAP предоставляет вам возможность выполнять следующие задачи:
- настраивать учетные записи пользователей с учетом данных из внешней службы каталогов для работы с Kaspersky Security для контейнеров;
- соотносить роли пользователей в Kaspersky Security для контейнеров с группами пользователей из Active Directory. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс решения со своими доменными учетными данными и получат доступ к функциональности приложения в соответствии с назначенной ролью.
Рекомендуется предварительно создать в Active Directory группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе Kaspersky Security для контейнеров.
В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.
Создание интеграции с LDAP-сервером
Чтобы создать интеграцию с LDAP-сервером:
- В разделе Администрирование → Интеграции → LDAP нажмите на кнопку Добавить сервер.
Откроется окно ввода параметров LDAP-сервера.
- Укажите следующие обязательные параметры в полях формы:
- Веб-адрес (URL) LDAP-сервера вашей компании.
Веб-адрес LDAP-сервера указывается следующим образом:
ldap://<host>:<port>
. Например,ldap://ldap.example.com:389
. - Базовое уникальное имя – в контексте именования LDAP это имя, которое уникальным образом идентифицирует и описывает запись сервера каталогов LDAP.
Например, базовым уникальным именем для example.com является
dc=example, dc=com
. - Фильтр для авторизации пользователя – в контексте поиска LDAP это фильтр, который формирует запрос на авторизацию пользователя и указывает, с какого места в дереве каталогов Active Directory следует начать поиск пользователя.
Фильтр для авторизации пользователя требуется указать следующим образом:
sAMAccountName=%s,ou=Accounts
. - Фильтр группы для определения параметров поиска группы в Active Directory.
- Фильтр пользователя для определения параметров поиска пользователя в Active Directory.
- Веб-адрес (URL) LDAP-сервера вашей компании.
- В подразделе Основные настройки укажите значения следующих атрибутов и классов объектов:
- Класс объекта – тип объекта для поиска.
- Класс организационной единицы – класс объекта LDAP, который определяет объект как контейнерный объект внутри домена.
- Класс пользователей – класс объекта LDAP, который определяет объект как пользователя.
- Название организационной единицы – атрибут группы, определяющий ее название.
- Класс группы – класс, который определяет объект LDAP как группу.
- Уникальное имя – уникальное отличительное имя записи.
- В подразделе Настройки пользователя укажите значения следующих атрибутов объектов:
- Имя пользователя.
- Фамилия пользователя.
- Название группы.
- Логин пользователя.
При авторизации с учетной записью пользователя логин пользователя может потребоваться указывать вместе с realm в таком формате:
<логин пользователя@realm>
, например, user@example.com. - Пароль пользователя.
- Член группы.
- Адрес электронной почты пользователя.
- Группы, в которые входит пользователь.
- Нажмите на кнопку Сохранить над формой данных для интеграции с LDAP-сервером.
- Чтобы проверить корректность заполнения значений, нажмите на кнопку Проверить соединение над формой данных для интеграции с LDAP-сервером.
Kaspersky Security для контейнеров отобразит уведомление о подключении к LDAP-серверу или о невозможности его установить.
Пример заполнения полей при настройке интеграции с LDAP-сервером
Если сертификат LDAP-сервера меняется, требуется перенастроить интеграцию.
Настроенную интеграцию вы можете использовать при создании и назначении ролей пользователей.
В начало
Просмотр, изменение параметров и удаление интеграции с LDAP-сервером
Чтобы просмотреть подключение LDAP-сервера,
перейдите в раздел Администрирование → Интеграции → LDAP.
Kaspersky Security для контейнеров отображает следующую информацию о подключенном LDAP-сервере:
- Веб-адрес подключенного LDAP-сервера.
- Статус последнего соединения с сервером – Успешно, Недоступно или Ошибка. Если указывается Ошибка, решение также отображает краткое описание ошибки при соединении.
Чтобы изменить параметры интеграции с LDAP-сервером,
в разделе Администрирование → Интеграции → LDAP нажмите на кнопку Изменить параметры.
Kaspersky Security для контейнеров откроет страницу с формой данных для интеграции с LDAP-сервером.
Чтобы удалить интеграцию с LDAP-сервером:
- В разделе Администрирование → Интеграции → LDAP нажмите на кнопку Удалить интеграцию.
- Подтвердите удаление в открывшемся окне.
Проверка соединения с LDAP-сервером
Чтобы проверить соединение с LDAP-сервером,
- Перейдите в раздел Администрирование → Интеграции → LDAP.
- Выполните одно из следующих действий:
- Если интеграция с LDAP-сервером создана, нажмите на кнопку Проверить соединение.
- Если вы создаете интеграцию с LDAP-сервером, нажмите на кнопку Проверить соединение над формой данных для интеграции с LDAP-сервером.
Kaspersky Security для контейнеров отобразит уведомление о соединении с LDAP-сервером или о невозможности его установить.
В начало
Получение доступа к группе Active Directory
После интеграции с LDAP-сервером вы можете указать группу Active Directory для каждой роли Kaspersky Security для контейнеров. Пользователи из этой группы, пройдя авторизацию с помощью своих учетных данных, получат доступ к функциональности решения в соответствии с указанной ролью.
В начало
Пользователи, роли и области применения
В этом разделе описана работа с пользователями и ролями пользователей и приведены инструкции по их созданию, изменению и удалению. Также в разделе представлены возможности разграничения доступа для ролей пользователей с помощью областей применения.
Управление пользователями
Доступ к Kaspersky Security для контейнеров могут иметь несколько пользователей. Для каждого пользователя создается учетная запись и присваивается одна или несколько ролей пользователя.
Список пользователей Kaspersky Security для контейнеров отображается в таблице в разделе Администрирование → Управление доступом → Пользователи.
Вы можете выполнять следующие действия:
- Добавлять пользователей.
- Просматривать и изменять параметры учетных записей пользователей.
- Сбрасывать пароль для выбранных учетных записей.
- Удалять пользователей.
- Сортировать значения в списке пользователей, нажав значок
в соответствующем столбце (отображаемое имя пользователя, имя пользователя, назначенная роль). Сортировка осуществляется в прямом и обратном алфавитном порядке.
- Осуществлять поиск по имени пользователя с помощью поля Поиск по имени пользователя над таблицей.
О ролях пользователей
Роль пользователя в Kaspersky Security для контейнеров представляет собой совокупность прав на выполнение определенных действий в веб-интерфейсе решения. В зависимости от роли пользователи имеют доступ к разным разделам и функциональным возможностям.
В Kaspersky Security для контейнеров используются системные роли со сформированными наборами прав доступа для выполнения типичных задач по защите контейнерных сред, а также пользовательские роли.
При первичной установке решения предлагаются следующие системные роли:
- Администратор Kaspersky Security для контейнеров (Administrator of Kaspersky Container Security) – эта роль предназначена для пользователей, отвечающих за развертывание и сопровождение инфраструктуры и системного программного обеспечения, необходимых для работы решения (например, операционные системы, сервера приложений, базы данных). Эти пользователи управляют учетными записями пользователей, ролями и доступами в Kaspersky Security для контейнеров.
В веб-интерфейсе эта роль обозначается аббревиатурой KCSADM.
- Администратор информационной безопасности (ИБ) (IS Administrator) – эта роль предназначена для пользователей, отвечающих за создание и управление учетными записями, ролями и доступами пользователей, внесение изменений в настройки, подключение публичных реестров образов, агентов и средств уведомления, а также настройку политик безопасности.
В веб-интерфейсе эта роль обозначается аббревиатурой ISADM.
- Аудитор ИБ (IS auditor) – эта роль предназначена для пользователей, осуществляющих просмотр ресурсов и списка пользователей решения, а также контроль результатов сканирования и проверок на соответствие стандартам.
В веб-интерфейсе эта роль обозначается аббревиатурой ISAUD.
- Сотрудник ИБ (IS officer) – эта роль предназначена для пользователей, осуществляющих просмотр и управление политиками безопасности, подключение публичных реестров образов, а также просмотр результатов анализа контейнеров сред выполнения проектов, в которых такие пользователи принимают непосредственное участие.
В веб-интерфейсе эта роль обозначается аббревиатурой ISOFF.
- Разработчик (Developer) – эта роль предназначена для пользователей, осуществляющих проверку на соответствие стандартам, просмотр результатов сканирования образов из реестров и CI/CD, ресурсов кластера и принятых рисков.
В веб-интерфейсе эта роль обозначается аббревиатурой DEV.
Вы можете назначать системные роли учетным записям пользователей при создании или изменении учетных записей.
Пользователю могут назначаться несколько ролей пользователя.
Если необходимость в какой-либо системной роли отсутствует, вы можете ее удалить.
Вы не можете удалить последнюю действующую системную роль с правами управления другими ролями.
Если имеющихся системных ролей недостаточно для составления набора прав доступа с требуемыми свойствами, вы можете создать собственные уникальные наборы прав в виде пользовательских ролей.
При создании пользовательских ролей необходимо продумать состав набора прав доступа к взаимосвязанным функциональным возможностям, например:
- Для настройки параметров и просмотра политик реагирования требуется право на просмотр интеграций с системами уведомлений. Если такое право не предоставлено, при настройке политики реагирования Kaspersky Security для контейнеров сообщит об ошибке.
- Права на управление политиками реагирования нужно предоставлять вместе с правами на управление уведомлениями, иначе вы не сможете в настройках политики выбрать средство уведомления.
- Для создания пользователя требуется право на просмотр и управление ролями. Если такое право не предоставлено, созданный пользователь будет видеть только информационную панель.
- Права на управление пользователями нужно предоставлять вместе с правами на управление ролями, иначе вы не сможете назначить роль при создании пользователя.
Вы можете назначать пользовательские роли учетным записям пользователей так же, как и системные роли. Кроме того, вы можете изменять параметры пользовательских ролей и удалять пользовательские роли.
При назначении ролям областей применения необходимо учитывать, что для реализации политики безопасности в рамках определенной области применения требуется назначить эту область применения одной из ваших ролей.
Если вы осуществили интеграцию решения с LDAP-сервером, то Kaspersky Security для контейнеров также принимает и отображает роли и группы пользователей из службы каталогов Active Directory.
В начало
Действия в рамках системных ролей
В таблице ниже перечислены основные действия, доступные пользователям с системными ролями в веб-интерфейсе Kaspersky Security для контейнеров после установки решения.
Роли пользователей и доступные им действия
Действие |
Администратор Kaspersky Security для контейнеров |
Администратор ИБ |
Аудитор ИБ |
Сотрудник ИБ |
Разработчик |
---|---|---|---|---|---|
Просмотр результатов сканирования образа |
|||||
Запуск сканирования образов вручную |
|||||
Управление рисками (принятие риска, редактирование и отмена принятия риска) |
|||||
Просмотр принятых рисков |
|||||
Просмотр кластеров |
|||||
Управление кластерами |
|||||
Просмотр реестров |
|||||
Добавление образа в реестр |
|||||
Удаление репозитория/образа из реестра |
|||||
Просмотр сканирования в CI/CD |
|||||
Управление сканированием в CI/CD |
|||||
Просмотр и управление агентами |
|||||
Просмотр результатов сканирования на соответствие стандартам |
|||||
Запуск сканирования на соответствие стандартам |
|||||
Просмотр политик сканирования |
|||||
Управление политиками сканирования |
|||||
Просмотр политик безопасности образов |
|||||
Управление политиками безопасности образов |
|||||
Просмотр политик реагирования |
|||||
Управление политиками реагирования |
|||||
Просмотр политик среды выполнения |
|||||
Управление политиками среды выполнения |
|||||
Просмотр настроек компонента Защита от файловых угроз |
|||||
Управление настройками компонента Защита от файловых угроз |
|||||
Просмотр списка пользователей |
|||||
Управление пользователями |
|||||
Просмотр ролей и наборов прав |
|||||
Управление ролями и наборами прав |
|||||
Просмотр областей применения |
|||||
Управление областями применения |
|||||
Просмотр глобальной области применения |
|||||
Управление глобальной областью применения |
|||||
Просмотр журнала событий |
|||||
Просмотр информации о лицензии |
|||||
Управление настройками лицензии |
|||||
Просмотр интеграции с реестрами образов |
|||||
Управление интеграцией с реестрами образов |
|||||
Просмотр интеграций с модулями проверки подписей |
|||||
Управление интеграциями с модулями проверки подписей |
|||||
Просмотр интеграций с системами уведомлений |
|||||
Управление интеграциями с системами уведомлений |
|||||
Просмотр отчетов |
|||||
Управление отчетами |
|||||
Просмотр и управление интеграцией с LDAP-сервером |
|||||
Просмотр и управление параметрами подключения |
Отображение списка ролей
Kaspersky Security для контейнеров отображает список действующих ролей в разделе Администрирование → Управление доступом → Роли.
В таблице приводятся все действующие системные и пользовательские роли с указанием их идентификатора, названия и количества пользователей, которым роли назначены. Если вы настроили интеграцию с LDAP, в таблице также указываются группы пользователей из Active Directory, соотнесенные с ролями пользователей Kaspersky Security для контейнеров.
В начало
Об областях применения
Область применения в Kaspersky Security для контейнеров представляет собой перечень ресурсов, который формируется в зависимости от целей использования решения, например: конкретный кластер, несколько внешних реестров или определенные пространства имен.
Области применения используются в следующих целях:
- Для разграничения доступа к ресурсам, например, для мониторинга работы кластеров, реестров или пространств имен.
Такое разграничение доступа осуществляется с помощью назначения области применения при создании области применения или изменении ее параметров.
- Для разграничения объектов, к которым применяются политики и проверки.
Такое разграничение объектов осуществляется с помощью назначения области применения при создании политик безопасности или изменении их параметров.
В Kaspersky Security для контейнеров вы можете создать собственные области применения или назначить пользователям установленную по умолчанию глобальную область применения (default scope).
Глобальная область применения включает в себя доступ ко всем ресурсам решения. Эта область применения создается по умолчанию при установке Kaspersky Security для контейнеров.
Вы не можете изменить параметры глобальной области применения и удалить ее.
Доступ к глобальной области применения предоставляется только пользователю, которому дали соответствующие права. Для назначения глобальной области применения другим пользователям и ролям вам также необходимо иметь права на управление глобальной областью применения.
Если глобальная область применения назначается политике, эта политика будет применяться ко всем ресурсам и выполняться во всех средах.
В начало
Области применения и исполнение политик безопасности
В Kaspersky Security для контейнеров области применения указываются для всех политик безопасности. Чтобы обеспечить проверку всех необходимых ресурсов, каждой политике могут быть назначены одна или несколько областей применения. При этом одна и та же область применения может быть указана в нескольких политиках.
Вне зависимости от количества реализуемых в области применения в отношении какого-либо объекта политик (например, при сканировании образа или проверке кластера в среде выполнения) выполняются все политики безопасности.
При одновременном выполнении нескольких политик безопасности и нескольких областей применения действуют следующие правила:
- Для политик сканирования: сканирование проводится с использованием совокупного перечня параметров, полученного при объединении всех задействованных в рамках области применения политик сканирования.
- Для политик безопасности образов: при сканировании образов применяются все действующие в отношении проверяемых ресурсов политики с учетом указанных в них областей применения.
- Для политик реагирования: уведомление пользователя осуществляется при наступлении событий и с использованием средств уведомления, которые указаны во всех политиках реагирования, применимых к ресурсам, указанным в назначенных областях применения.
- Для политик среды выполнения: контролируется и при необходимости блокируется запуск контейнеров в среде выполнения в соответствии со всеми назначенными области применения политиками.
Переключение между областями применения
За одной ролью в Kaspersky Security для контейнеров может быть закреплено несколько областей применения. Вы можете просмотреть список доступных вам областей применения или переключить область применения, чтобы получить доступ к ресурсам, открытым для работы в другой области применения.
При переключении области применения необходимо учитывать следующее:
- Если вы выбираете область применения с ресурсами по реестрам, в разделе Ресурсы → Активы → Кластеры Kaspersky Security для контейнеров не отображает список кластеров, пространств имен и подов. Визуальное представление связей между ресурсами будет отображено полностью, но вы не сможете просмотреть информацию об объекте, находящемся вне доступной вам области применения.
- Если вы выбираете область применения с ресурсами по кластерам, в разделе Ресурсы → Активы → Реестры Kaspersky Security для контейнеров отображает список образов, с которых запущены в работу контейнеры в кластерах.
- В разделе Сканеры вам доступны для просмотра списки всех сканеров и заданий сканеров. При этом вы не сможете просмотреть информацию об объекте сканирования, если он не входит в доступную вам область применения.
- В разделе Соответствие стандартам → Отраслевой стандарт Kubernetes Kaspersky Security для контейнеров отображает список всех узлов в составе кластеров из области применения независимо от уровня детализации кластера в области применения. При этом вы не сможете просмотреть информацию об узле кластера, если он не входит в доступную вам область применения.
- В разделе Политики Kaspersky Security для контейнеров отображает следующее:
- Все политики, в которых хотя бы одна роль автора совпадает с вашей ролью.
- Все политики, в которых хотя бы одна область применения совпадает с выбранной вами областью применения.
- Все политики, которые привязаны к областям применения, назначенным вашим ролям. При этом вы не можете изменять параметры таких политик и удалять их.
Чтобы переключить область применения:
- Перейдите в один из в следующих разделов:
- Ресурсы → Активы → Кластеры.
- Ресурсы → Активы → Реестры.
- Соответствие стандартам → Отраслевой стандарт Kubernetes.
- Подразделы раздела Политики: Сканирование, Безопасность образов, Реагирование или Среда выполнения.
- В раскрывающемся списке доступных областей применения в правой верхней части окна выберите необходимую область применения.
Вы также можете активировать реализацию всех областей применения, выбрав в списке Все.
Добавление пользователей, ролей и областей применения
Чтобы добавить учетную запись пользователя:
- В разделе Администрирование → Управление доступом → Пользователи нажмите на кнопку Добавить пользователя над таблицей со списком пользователей.
- В открывшемся окне укажите следующие параметры:
- Имя пользователя – уникальное значение, которое необходимо присвоить пользователю для его идентификации Kaspersky Security для контейнеров.
Имя пользователя может включать в себя только буквы латинского алфавита и цифры. Минимальная длина имени пользователя – 4 знака, максимальная – 254 знаков.
- Отображаемое имя пользователя (необязательно) – значение, которое показывается в веб-интерфейсе решения. Если этот параметр не указан, в веб-интерфейсе отображается имя пользователя.
- Адрес электронной почты (необязательно).
- Имя пользователя – уникальное значение, которое необходимо присвоить пользователю для его идентификации Kaspersky Security для контейнеров.
- Введите пароль в поле Пароль.
К паролю предъявляются следующие требования:
- Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
- Минимальная длина пароля – 6 знаков, максимальная – 72 знака. По умолчанию длина пароля составляет 8 знаков.
- Подтвердите указанный пароль в поле Подтвердить пароль.
- Установите флажок, если пользователю необходимо сменить пароль при следующем запуске решения.
- Назначьте роль пользователю, установив флажок для соответствующей роли в списке доступных ролей.
Назначение роли не является обязательным условием для создания пользователя. Но без указания роли новый пользователь не сможет взаимодействовать с Kaspersky Security для контейнеров.
- Нажмите Добавить.
Для создания пользователя вам должна быть назначена роль с правами на просмотр и настройку параметров. При отсутствии у вас таких прав созданный пользователь сможет видеть только главную страницу решения.
Чтобы добавить роль пользователя:
- В разделе Администрирование → Управление доступом → Роли нажмите на кнопку Добавить роль над таблицей со списком ролей.
- В открывшемся окне укажите следующие значения:
- Идентификатор роли – уникальное значение, которое необходимо присвоить роли для ее идентификации Kaspersky Security для контейнеров.
Идентификатор роли может включать в себя заглавные буквы латинского алфавита и цифры. В состав идентификатора роли не могут входить специальные символы и пробелы.
- Название роли – значение, которое отображается в веб-интерфейсе решения.
- Описание роли (необязательно).
- Область применения – параметр, который применяется для разграничения доступа к ресурсам.
- Идентификатор роли – уникальное значение, которое необходимо присвоить роли для ее идентификации Kaspersky Security для контейнеров.
- В поле Сопоставление данных Active Directory укажите группы Active Directory, в которые входит пользователь.
- Установите флажки напротив прав, которые будут доступны для создаваемой роли.
- Нажмите Добавить.
Чтобы добавить область применения:
- В разделе Администрирование → Управление доступом → Области применения нажмите на кнопку Добавить область применения над таблицей со списком областей применения.
- В открывшемся окне укажите название и, если требуется, описание области применения.
- В блоке Ресурсы выберите ресурсы для области применения:
- Нажмите на кнопку Добавить ресурсы по реестрам и в раскрывающемся списке выберите реестры для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные репозитории и образы из этих репозиториев.
- Нажмите на кнопку Добавить ресурсы по кластерам и в раскрывающемся списке выберите оркестраторы для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные кластеры, пространства имен и образы, с которых разворачиваются контейнеры в кластерах.
Требуется указать хотя бы один ресурс, к мониторингу которого предоставляется доступ.
- Нажмите Включить объекты в область применения.
- Сохраните область применения, нажав на кнопку Сохранить.
Сброс пароля для учетных записей пользователей
Чтобы сбросить пароль для учетной записи пользователя,
- Перейдите в раздел Администрирование → Управление доступом → Пользователи.
- Выполните одно из следующих действий:
- В таблице со списком пользователей выберите пользователя, установив флажок в строке учетной записи, и нажмите на ссылку Сбросить пароль над таблицей.
- В строке учетной записи откройте меню (
) и выберите Сбросить пароль.
Изменение параметров пользователей, ролей и областей применения
Чтобы изменить учетную запись пользователя:
- В разделе Администрирование → Управление доступом → Пользователи нажмите на имя пользователя в таблице со списком пользователей.
- В открывшемся окне внесите необходимые изменения.
Если вы вносите изменения в учетную запись пользователя с правами администратора, не удаляйте все роли, так как это приведет к потере административного доступа к решению.
- Нажмите Сохранить.
Чтобы изменить роль пользователя:
- В разделе Администрирование → Управление доступом → Роли нажмите на идентификатор роли в столбце Идентификатор роли таблицы со списком ролей.
- В открывшемся окне внесите необходимые изменения.
- Нажмите Сохранить.
Если вы вносите изменения в роль, после сохранения изменений требуется повторная авторизация всех пользователей, которым назначена эта роль.
Вы не можете изменить роль, если она является последней ролью с правами на управление учетными записями пользователей, ролями пользователей или глобальной областью применения.
Чтобы изменить область применения:
- В разделе Администрирование → Управление доступом → Области применения нажмите на название области применения в столбце Название области применения таблицы со списком областей применения.
- В открывшемся окне внесите необходимые изменения.
- Нажмите Сохранить.
Удаление пользователей, ролей и областей применения
Чтобы удалить учетную запись пользователя:
- В разделе Администрирование → Управление доступом → Пользователи выполните одно из следующих действий:
- Выберите пользователя, установив флажок в строке с учетной записью, и нажмите на ссылку Удалить над таблицей со списком пользователей.
Вы можете выбрать одну или несколько учетных записей пользователя.
- В строке учетной записи откройте меню (
) и выберите Удалить пользователя.
- Выберите пользователя, установив флажок в строке с учетной записью, и нажмите на ссылку Удалить над таблицей со списком пользователей.
- В открывшемся окне подтвердите удаление, нажав Удалить.
Вы не можете удалить учетную запись пользователя, под которой авторизовались в Kaspersky Security для контейнеров.
Чтобы удалить роль пользователя:
- В разделе Администрирование → Управление доступом → Роли в строке роли в таблице со списком ролей нажмите на значок удаления (
).
- В открывшемся окне подтвердите удаление, нажав Удалить.
Вы не можете удалить последнюю действующую системную роль с правами управления другими учетными записями пользователей, ролями пользователей или глобальной областью применения.
Вы также не можете удалить роль, если она назначена какому-либо пользователю.
Чтобы удалить область применения:
- В разделе Администрирование → Управление доступом → Области применения в строке роли в таблице со списком областей применения нажмите на значок удаления (
).
- В открывшемся окне подтвердите удаление, нажав Удалить.
Вы не можете удалить глобальную область применения (default scope).
Вы также не можете удалить область применения, если она назначена хотя бы одной роли пользователя.
Использование Kaspersky Security для контейнеров OpenAPI
В Kaspersky Security для контейнеров реализован интерфейс прикладного программирования (Open Application Programming Interface, OpenAPI), который обеспечивает доступ к функциональным возможностям решения. Например, с помощью Kaspersky Security для контейнеров OpenAPI можно выполнять действия по получению данных о компонентах решения, создании, изменении и удалении объектов, формировании отчетов и другие действия.
Полный список действий, которые можно выполнять с помощью Kaspersky Security для контейнеров OpenAPI приводится в документации с описанием запросов на основе OpenAPI.
Документация с описанием запросов на основе OpenAPI размещена в блоке Техническая документация в разделе Параметры → О платформе. Документация представляет собой руководство разработчика на английском языке. В руководстве разработчика также приводятся примеры кода и подробные описания вызываемых элементов, которые доступны в запросах к API-серверу.
Для представления данных в запросах и ответах используется формат JSON.
В начало
Журнал событий безопасности
В разделе Администрирование → События Kaspersky Security для контейнеров отображает произошедшие события, которые могут быть использованы в информационных целях, для отслеживания происходящих процессов, для анализа угроз безопасности и определения причин сбоев в работе решения.
В Kaspersky Security для контейнеров представлены события следующих типов:
- События аудита. В эту группу событий входят данные учета действий пользователя, например, информация о производимых настройках решения, аутентификациях пользователя, изменениях в группах, изменении и удалении информации внутри решения.
- Результаты работы решения. К таким событиям относятся, например, сигналы о срабатывании политики реагирования.
- Записи данных о работе внутренних приложений и служб решения.
Kaspersky Security для контейнеров отображает следующие категории событий безопасности:
- Администрирование – фиксируются все события, связанные с администрированием решения.
- Политики (политики сканирования, политики безопасности образов, политики реагирования, политики среды выполнения) – регистрируются события, связанные с соответствием или несоответствием образа применимым политикам.
- Вредоносное ПО – записываются события, которые происходят при обнаружении вредоносного ПО во время сканирования образов и узлов (nodes).
- Конфиденциальные данные – фиксируются события, связанные с обнаружением конфиденциальных данных во время сканирования (например, проверенные образы, функции, узлы).
- Несоответствие требованиям – регистрируются следующие события:
- Обнаружение не соответствующих требованиям образов.
- Не соответствующие требованиям функции и их реализация в среде выполнения.
- Не соответствующие требованиям узлы и их действия в среде выполнения.
Список событий безопасности отображается за конкретный период. Вы можете выбрать один из представленных вариантов или задать свой временной период. Для любого выбранного вами периода отсчет времени начинается с текущего дня. По умолчанию отображаются события за неделю.
Kaspersky Security для контейнеров отображает события, произошедшие в рамках проверок, в форме таблицы по следующим компонентам:
- Администрирование.
- Обнаружения.
- CI/CD.
- Политики.
- Ресурсы.
- Среда выполнения.
- Сканеры.
- API.
В таблице для каждого события указываются дата и время наступления, IP-адрес пользователя, описание и статус. Для некоторых событий, например, событий из категорий Администрирование, Вредоносное ПО и Конфиденциальные данные, приводится имя пользователя. Для Обнаружений дополнительно указывается уровень критичности угрозы безопасности. Для событий по компоненту Сканеры также фиксируются генерируемые решением идентификаторы и статус выполнения заданий на сканирование. Для Среды выполнения указываются режим (Аудит или Блокирование), кластер и развертываемый под.
Журнал событий безопасности Kaspersky Security для контейнеров ведется и хранится в PostgreSQL и не имеет средств защиты данных.
В начало
Экспорт событий в SIEM-системы
Kaspersky Security для контейнеров позволяет отправлять сообщения о событиях в
для их сбора, анализа и последующего реагирования на потенциальные угрозы. В сообщениях передаются данные по тем же типам и категориям событий, которые регистрируются в журнале событий безопасности.Передача данных о событиях в системе осуществляется посредством интеграции с SIEM-системой при установке решения. Сообщения о событиях направляются на сервер регистрации SIEM-системы в формате CEF по протоколу TCP или UDP с использованием предоставленного порта (обычно применяется порт 514). При развертывании решения эти параметры указываются в конфигурационном файле values.yaml:
CEF_PROTOCOL=tcp
CEF_HOST=<ip address>
CEF_PORT=<port>
Передаваемое сообщение состоит из следующих компонентов:
- Заголовок , в котором указывается дата, время и имя хост-узла.
- Префикс и номер версии CEF.
- Поставщик устройства.
- Название решения.
- Версия решения.
- Генерируемый решением уникальный код типа события.
- Описание события.
- Оценка критичности события.
- Дополнительная информация, которая может включать в себя IP-адрес устройства, причину возникновения события, а также результат или статус события.
Пример сообщения, передаваемого в SIEM-систему
В начало
Информация о состоянии компонентов решения
Kaspersky Security для контейнеров дает возможность просмотреть информацию о состоянии компонентов и интеграций для диагностики и корректирования работы компонентов решения и интегрируемых с ним сторонних сервисов. Мониторинг состояния с предоставлением данных о функционировании ведется для следующих составляющих:
- Компоненты ядра. Информация представлена в разделе Компоненты → Ядро.
- Агенты. Данные отображаются в разделе Компоненты → Агенты.
- Активные интеграции. Информация приводится в разделе Администрирование → Интеграции.
Актуальные данные о состоянии компонентов Kaspersky Security для контейнеров также записываются в журнал событий безопасности.
Информацию о статусе компонентов решения вы можете просмотреть вне зависимости от состояния лицензии (лицензия может быть действующей или с истекшим сроком действия).
Состояние ядра решения
Информация о состоянии компонентов ядра Kaspersky Security для контейнеров представлена в виде таблицы в разделе Компоненты → Ядро.
Для каждого компонента ядра приводятся следующие данные:
- Имя компонента. Решение отображает компоненты, входящие в комплект поставки.
- Имя пода (например, kcs-postgres-0, kcs-scanner-xxx или kcs-ih-xxx).
- Статус. Решение присваивает один из следующих статусов:
- Исправен – компонент функционирует в штатном режиме.
- С предупреждением – в работе компонента выявлены сбои, которые не препятствуют реализации общей задачи компонента.
- Ошибка – реализация компонента невозможна из-за его некорректной работы.
Если решение присваивает компоненту ядра статус С предупреждением или Ошибка, Kaspersky Security для контейнеров отображает краткое описание сбоя в работе компонента.
Статус присваивается в соответствии с данными последнего полученного heartbeat-сообщения для компонента согласно записи в журнале событий безопасности.
- Журнал с записью событий для компонента (например, ошибок). Вы можете скачать журнал в формате текстового документа с помощью кнопки Загрузить журнал в столбце Журнал подов.
Чтобы посмотреть данные о состоянии компонентов ядра требуются права на просмотр компонента Ядро. По умолчанию эти права предоставлены роли администратора ИБ.
В начало
Состояние агентов
Информация о состоянии агентов Kaspersky Security для контейнеров представлена в виде таблицы в разделе Компоненты → Агенты, а для выбранного агента также раскрывается в боковой панели.
В таблице для каждого агента в составе группы агентов отображаются следующие данные:
- Название агента.
- Статус. Решение присваивает один из следующих статусов подключения:
- Подключен – агент подключен и функционирует в штатном режиме.
- Отключен – агент отключен.
- Ожидает – решение осуществляет подключение агента.
Статус присваивается в соответствии с данными последнего полученного heartbeat-сообщения для агента согласно записи в журнале событий безопасности.
- Версия. Решение отображает текущую версию агента. Если для установленной версии Kaspersky Security для контейнеров доступна новая версия агента, показывается последняя доступная вам версия агента.
- Под. Решение отображает имя пода, в котором развернут агент.
- Информация, полученная в рамках мониторинга состояния узлов. Решение приводит данные о действиях по мониторингу и анализу сетевой активности, процессов в контейнерах и защиты от файловых угроз. По каждому действию (Процессы в контейнерах, Сетевая активность и Защита от файловых угроз) отображается статус его включения - Включено или Выключено. Если агент отключен, все действия по мониторингу состояния узлов имеют статус Выключено.
Если агент подключен, для каждого действия также указывается последнее состояние агента – Успешно, Недоступно или Ошибка. Если указывается Ошибка, решение отображает краткое описание ошибки и связанную с ней дополнительную информацию.
Статусы состояния агента отображаются только для подключенных агентов node-agent, в которых установленные агенты среды выполнения осуществляют проверку узла. Состояние агентов kube-agent всегда Недоступно, поскольку на них не развертываются агенты среды выполнения.
Решение отображает эти данные на основе записей в журнале событий безопасности.
- Дата и время последнего подключения.
Информацию о состоянии определенного агента можно посмотреть в боковой панели, которая раскрывается двойным щелчком мыши на названии агента в таблице. Kaspersky Security для контейнеров отобразит следующую информацию о выбранном агенте:
- Название агента.
- IP-адрес агента.
- Имя пода, с которым связан агент.
- Имя узла, где развернут агент.
- Тип агента.
- Версия узла, на котором развернут агент (главный или рабочий узел).
- Статус подключения агента – Подключен, Отключен или Ожидает.
- Дата и время последнего подключения агента
- В блоке Статусы мониторинга узлов решение показывает данные о последнем зарегистрированном состоянии агента – Успешно, Недоступно или Ошибка – для каждого действия по мониторингу состояния узлов (Процессы в контейнерах, Сетевая активность и Защита от файловых угроз). Если действие отключено, чтобы избежать нецелесообразной нагрузки узлов, отображается статус Выключено.
- В блоке Группа агентов решение показывает следующую информацию о группе агентов, в состав которой входит выбранный агент:
- Название группы.
- Пространство имен.
- Оркестратор.
Чтобы посмотреть данные о состоянии агентов требуются права на просмотр и управление компонентом Агенты. По умолчанию эти права предоставлены роли администратора ИБ.
В начало
Состояние интеграций
Информация о состоянии действующих интеграций Kaspersky Security для контейнеров представлена в разделе Администрирование → Интеграции. Решение отображает данные о состоянии для следующих типов интеграций:
Чтобы посмотреть данные о состоянии интеграций требуются следующие права:
- Права на просмотр интеграций с реестрами образов. По умолчанию эти права предоставлены ролям администратора ИБ, аудитора ИБ и сотрудника ИБ.
- Права на просмотр интеграций со средствами уведомления. По умолчанию эти права предоставлены ролям администратора ИБ и аудитора ИБ.
- Права на просмотр и управление интеграцией с LDAP-сервером. По умолчанию эти права предоставлены роли администратора ИБ.
Обеспечение безопасности и надежности компонентов
Для обеспечения безопасности и надежности компонентов в Kaspersky Security для контейнеров внедрены следующие механизмы Auto Care:
- Автоматическое удаление истории сканирования образов и событий системы. Если данные хранятся дольше 90 дней, они считаются устаревшими и удаляются.
Проверка на наличие устаревших записей проводится один раз в час.
- Автоматическое переподключение при нарушении соединения. Kaspersky Security для контейнеров каждые 30 секунд осуществляет попытки переподключения, пока соединение не восстанавливается.
Автоматическое переподключение не осуществляется для интеграций с внешними реестрами и LDAP-сервером. Соединение с ними устанавливается при направлении решением запроса на соединение.
- Повтор сканирования образов после неудавшейся попытки сканирования. Сканер повторно проверяет образы, пока образ не просканируется или не будет превышено количество попыток сканирования.
Управление динамикой накопления данных
В результате работы компонентов Kaspersky Security для контейнеров накапливается большой объем данных, для хранения которых выделяются значительные ресурсы дискового пространства. Вы можете управлять динамикой накопления данных с помощью ограничения срока хранения и очистки базы данных.
Самую большую нагрузку на выделенное дисковое пространство для хранения данных осуществляют следующие компоненты решения:
- СУБД PostgreSQL.
- S3-совместимое файловое хранилище.
- СУБД ClickHouse.
СУБД PostgreSQL
Мы рекомендуем вам обратиться к инженеру по внедрению решения или в Службу технической поддержки для подключения к СУБД PostgreSQL с помощью опции port forward и команды vacuum
.
Вы можете снизить риск полного заполнения базы данных, изменив срок хранения наиболее ресурсоемких данных: результатов сканирований и событий в журнале событий безопасности. Для это при развертывании модуля основной бизнес-логики решения (kcs-middleware) необходимо указать значения следующих переменных:
EVENT_LIFETIME_HOURS –
переменная, определяющая срок хранения событий в журнале событий безопасности.SCAN_LIFETIME_HOURS –
переменная, определяющая срок хранения истории результатов сканирования
Значения переменных указываются в часах, минимально допустимое значение –
1 час. По умолчанию установлено 2160 часов (90 дней).
Перед развертыванием модуля основной бизнес-логики решения с измененными значениями указанных переменных требуется остановить работу модуля основной бизнес-логики решения (kcs-middleware) и брокера агентов (kcs-ab). Если этого не сделать, эти компоненты продолжат обрабатывать данные при выполнении очистки и могут заблокировать этот процесс.
В тестовых (пилотных) инфраструктурах, где не требуется поддержание целостности и согласованности данных и даже допускается их потеря, Вы можете применить более быстрый способ очистки. Для этого необходимо удалить PostgreSQL PV и создать PostgreSQL PV заново без данных. Созданный Persistent Volume может быть аналогичного или большего размера.
S3-совместимое файловое хранилище
Решение использует s3-совместимое файловое хранилище только для хранения файлов отчетов.
Чтобы очистить хранилище в случае его переполнения, администратору кластера необходимо выполнить следующие действия:
- Подключиться к компоненту Файловое хранилище (Minio) (kcs-s3) с использованием опции port forward.
- Скачать все отчеты и при необходимости сохранить их в другом месте для дальнейшего хранения.
- Удалить данные.
При необхолимости вы можете увеличить объем Persistent Volume штатными средствами кластера.
СУБД ClickHouse
Настройки таблиц в базе данных Сlickhouse, которые использует решение, предполагают их постоянное очищение. Если нагрузка в инфраструктуре очень большая, ресурсы могут не успевать освобождаться. В этом случае вы можете увеличить объем Persistent Volume штатными средствами кластера.
Мониторинг свободного дискового пространства и динамики его использования требуется организовать самостоятельно с помощью сторонних утвержденных в рамках инфраструктуры решения инструментов.
В начало
Резервное копирование и восстановление данных
Для резервного копирования базы данных PostgreSQL и восстановления данных можно применять механизмы PostgreSQL. Вы можете использовать их для базы данных PostgreSQL в составе Kaspersky Security для контейнеров или для уже существующей у вас базы данных PostgreSQL.
Создание резервных копий базы данных осуществляется с помощью утилиты pg_dump. Резервная копия включает в себя все основные параметры и объекты базы данных PostgreSQL, даже если база параллельно используется. Имея резервную копию, можно восстановить работу базы данных в кратчайшие сроки.
В случае отсутствия резервной копии сбой может привести к безвозвратной потере информации, которая хранится в базе данных PostgreSQL.
Утилита pg_dump позволяет выгрузить базу данных PostgreSQL в виде скрипта или в одном из архивных форматов, например .TAR.
Пример использования утилиты pg_dump
Для восстановления базы данных PostgreSQL из резервной копии, можно воспользоваться утилитой pg_restore. Она предназначена для восстановления базы данных PostgreSQL из архивного файла, созданного утилитой pg_dump. Утилита pg_restore выполняет команды, необходимые для восстановления того состояния базы данных, в котором база была сохранена.
Пример использования утилиты pg_restore
В начало
Обращение в Службу технической поддержки
Если вы не нашли решения вашей проблемы в документации или других источниках информации о программе, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании программы.
"Лаборатория Касперского" предоставляет поддержку этой программы в течение ее жизненного цикла (см. страницу жизненного цикла программ). Перед обращением в Службу технической поддержки ознакомьтесь с правилами предоставления технической поддержки.
Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:
- Посетить сайт Службы технической поддержки.
- Отправить запрос в Службу технической поддержки "Лаборатории Касперского" с портала Kaspersky CompanyAccount.
Источники информации о программе
Страница Kaspersky Security для контейнеров на веб-сайте "Лаборатории Касперского"
На странице Kaspersky Security для контейнеров вы можете получить общую информацию о программе, ее возможностях и особенностях работы.
Обсуждение программ "Лаборатории Касперского" на Форуме
Если ваш вопрос не требует срочного ответа, вы можете обсудить его со специалистами "Лаборатории Касперского" и c другими пользователями на нашем Форуме.
На Форуме вы можете просматривать опубликованные темы, добавлять свои комментарии, создавать новые темы для обсуждения.
В начало
Ограничения и предупреждения
Kaspersky Security для контейнеров 1.2 имеет ряд некритичных для работы приложения ограничений:
- Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
CONFIG_DEBUG_INFO_BTF=y
. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом. - Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.
Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
- Если на хост-сервере (узле) используется ядро ОС Linux скомпилированное вручную, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_EVENTS=y
CONFIG_NET_CLS_BPF=m
CONFIG_NET_ACT_BPF=m
Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры:
CONFIG_BPF_JIT=y
CONFIG_HAVE_BPF_JIT=y
- Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
- В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра
data.bpf-filter-priority
больше 1.Мы рекомендуем указывать 5 в значении параметра
data.bpf-filter-priority
. - Перезапустите поды cilium-agent, чтобы применить указанный параметр.
- В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра
- Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.
Мы рекомендуем ограничить доступ к kube-agent возможностью обмена данными с API сервером Kubernetes. Для этого необходимо применить следующую сетевую политику Kubernetes:
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
labels:
app: kcs
name: allow-kube-api-to-kube-agent
namespace: {{ $.Release.Namespace }}
spec:
podSelector:
matchLabels:
app: kube-agent
ingress:
- from:
- podSelector:
matchLabels:
component: kube-apiserver
ports:
- protocol: TCP
port: 8443
Глоссарий
CI/CD
Continuous Integration/Continuous Delivery – комбинация непрерывной интеграции и непрерывного развертывания программного обеспечения в процессе разработки.
CNI
Container Networking Interface – проект, посвященный стандартизированному управлению сетевыми интерфейсами в Linux-контейнерах и гибкому расширению их сетевых возможностей. Плагины CNI обеспечивают включение сетевого интерфейса в пространство имен контейнера и осуществляют все необходимые настройки на хост-узле.
CRI
Container Runtime Interface — это интерфейс среды выполнения контейнеров, который оркестратор использует для работы с различными средами выполнения без необходимости перекомпиляции компонентов кластера. Интерфейс CRI определяет основной протокол, на базе которого осуществляется коммуникация между компонентами кластера и средой выполнения контейнеров.
CSI
Container Storage Interface – спецификация, которая определяет параметры API для добавления и настройки хранилища в кластерах.
CVE
Common Vulnerabilities and Exposures – база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.
CVSS
Common Vulnerability Scoring System – открытый стандарт оценки уязвимостей. В CVSS закреплен набор метрик и формул для оценки критичности уязвимости со значениями от 0 (мин.) до 10 (макс.). CVSS позволяет распределить усилия по реагированию на уязвимости в зависимости от их критичности.
CycloneDX
CycloneDX – это стандарт SBOM, разработанный для контекстов безопасности приложений и анализа их компонентов, обеспечивающий оценку наличия и состояния всех компонентов программного обеспечения.
IaC
Infrastructure as a Code – подход для управления и описания инфраструктуры через конфигурационные файлы, а не через ручное редактирование конфигураций на серверах.
Init-контейнер
Специальный контейнер, который запускается при инициализации пода до запуска основных контейнеров. Init-контейнеры подготавливают окружение для работы (например, получают доступ к секретам или осуществляют редирект сетевого трафика) и могут содержать в себе утилиты, которые не обязательны или не желательны в основном контейнере.
Kaspersky OpenTIP
Находящаяся в открытом доступе информационная система Kaspersky Threat Intelligence Portal АО "Лаборатория Касперского". Содержит информацию о киберугрозах, безопасных объектах и связях между ними.
Kaspersky TIP
Предоставляемая в рамках премиум-доступа информационная система Kaspersky Threat Intelligence Portal АО "Лаборатория Касперского". Предлагает дополнительные инструменты для анализа киберугроз, включая поиск угроз и Kaspersky Cloud Sandbox, аналитические отчеты об APT-угрозах, ПО для финансовых преступлений и угрозах промышленной кибербезопасности, а также цифровой активности конкретной организации.
LDAP
Lightweight Directory Access Protocol – облегченный клиент-серверный протокол доступа к службам каталогов.
NVD
National Vulnerability Database – национальная база данных уязвимостей. Американский правительственный репозиторий данных управления уязвимостями на основе стандартов, представленных с использованием протокола автоматизации содержимого безопасности.
PCI SSC
PCI Security Standards Council – открытое глобальное сообщество, задачи которого включают непрерывное развитие, совершенствование, хранение, распространение и внедрение стандартов безопасности для защиты данных банковских карт.
SBOM
Software Bill of Materials (спецификация программного обеспечения) – это перечень всех компонентов объекта, а также описание зависимости компонентов, способы их проверки и подтверждения подлинности источника.
SIEM
Security information and event management (управление событиями и информацией о безопасности) – класс приложений, предназначенных для получения и анализа информации о событиях безопасности.
Sigstore
Проект, направленный на разработку и предоставление инструментов и услуг для проверки программного обеспечения при помощи цифровых подписей. В рамках Sigstore также ведется общедоступный реестр, подтверждающий подлинность вносимых в образ изменений.
SPDX
Software Package Data Exchange (обмен данными программного пакета) – это открытый международный стандарт безопасности, лицензионного соответствия и других артефактов цепочки поставок программного обеспечения, который используется для передачи информации о происхождении, лицензировании и безопасности программных пакетов и их зависимостей.
Syslog
Стандарт отправки и записи сообщений о происходящих в системе событиях, используемый на платформах UNIX и GNU/Linux.
БДУ
Банк данных угроз безопасности информации – база данных угроз информационной безопасности, разработанная ФСТЭК.
Динамический контроллер доступа
Настраиваемый контроллер для доступа в Kubernetes, который помогает применять политики и поддерживает систему управления и контроля.
Пайплайн (pipeline)
Последовательность этапов непрерывной разработки и непрерывной доставки ПО (CI/CD), выполняемых в последовательности один за другим.
Под (Pod)
Абстрактный объект Kubernetes, группа из одного или нескольких контейнеров приложений, включающая общие используемые хранилища (тома), сетевые параметры и информацию по запуску приложений. Под является единицей управления для Kubernetes.
Пространство имен (namespace)
Виртуальный кластер внутри кластера Kubernetes, позволяет разграничить ресурсы кластера. В каждом пространстве имен есть свои ресурсы: сервисы, поды, развертывания. В одном пространстве имен они должны иметь уникальные названия, но эти же названия допустимо использовать в других пространствах.
РЕД ОС
Российская операционная система общего назначения. В РЕД ОС обеспечивается поиск уязвимостей, которые могут представлять угрозу для функционирования серверов и рабочих станций.
Узел (node)
Физическая или виртуальная машины, на которой развертываются и запускаются контейнеры с приложениями. Совокупность узлов образует кластер Kubernetes. На кластере выделяются главный узел (master node), который управляет кластером, и рабочие узлы (worker nodes), на которых работают контейнеры.
ФСТЭК
Федеральная служба по техническому и экспортному контролю.
Эксплойт
Программный код, который использует какую-либо уязвимость в системе или программном обеспечении. Эксплойты часто используются для установки вредоносного программного обеспечения на компьютере без ведома пользователя.
В начало
Информация о стороннем коде
Информация о стороннем коде представлена в разделе Параметры → О платформе. Она содержится в следующих файлах:
- legal_notices.txt, который можно скачать в консоли управления по ссылке Информация о стороннем коде в Kaspersky Security для контейнеров.
- ftp_legal_notices.txt, который можно скачать в консоли управления по ссылке Информация о стороннем коде в компоненте Защита от файловых угроз.
- kuu_legal_notices.txt, который можно скачать в консоли управления по ссылке Информация о стороннем коде в Kaspersky Update Utility.
Уведомления о товарных знаках
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Adobe является либо зарегистрированным товарным знаком, либо товарным знаком компании Adobe в США и/или других странах.
Amazon и AWS являются товарными знаками Amazon.com, Inc. или аффилированных лиц компании.
Apple и Safari – товарные знаки Apple Inc.
Ubuntu является зарегистрированным товарным знаком Canonical Ltd.
ClamAV является зарегистрированным товарным знаком или товарным знаком Cisco Systems, Inc. и/или ее аффилированных компаний в США и в определенных других странах.
Словесный знак Grafana и логотип Grafana являются зарегистрированными товарными знаками/знаками обслуживания или товарными знаками/знаками обслуживания Coding Instinct AB в США и других странах и используются с разрешения Coding Instinct. Мы не являемся аффилированной, поддерживаемой или спонсируемой со стороны Coding Instinct или сообщества Grafana компанией.
Docker и логотип Docker являются товарными знаками или зарегистрированными товарными знаками компании Docker, Inc. в США и/или других странах. Docker, Inc. и другие стороны могут также иметь права на товарные знаки, описанные другими терминами, используемыми в настоящем документе.
Dropbox – товарный знак Dropbox, Inc.
Google, Google Chrome, Chromium и Nexus – товарные знаки Google LLC.
S3 – товарный знак International Business Machines Corporation, зарегистрированный во многих юрисдикциях по всему миру.
LinkedIn – товарный знак или зарегистрированный в США и/или других странах товарный знак LinkedIn Corporation и ее аффилированных компаний.
Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.
CVE – зарегистрированный товарный знак MITRE Corporation.
OpenAPI – товарный знак компании The Linux Foundation.
Helm, Kubernetes является зарегистрированным товарным знаком The Linux Foundation в США и других странах.
Microsoft, Active Directory, Excel, Microsoft Edge, Outlook, Windows и Windows Server являются товарными знаками группы компаний Microsoft.
CVE – зарегистрированный товарный знак MITRE Corporation.
Mozilla и Firefox являются товарными знаками Mozilla Foundation в США и других странах.
Oracle – зарегистрированный товарный знак компании Oracle и/или аффилированных компаний.
Red Hat, Red Hat Enterprise Linux, CentOS – товарные знаки или зарегистрированные в США и других странах товарные знаки Red Hat, Inc. или дочерних компаний.
OpenShift является зарегистрированным товарным знаком Red Hat, Inc. в США и других странах.
Debian – зарегистрированный товарный знак Software in the Public Interest, Inc.
Sonatype Nexus являются товарными знаками Sonatype, Inc.
SUSE – зарегистрированный в США и других странах товарный знак SUSE LLC.
TWITCH является товарным знаком Twitch Interactive, Inc. или его аффилированных лиц.
UNIX – товарный знак, зарегистрированный в США и других странах, использование лицензировано X/Open Company Limited.
ClickHouse – товарный знак компании YANDEX LLC.
В начало