Kaspersky Security для контейнеров

Создание политики среды выполнения

Для создания политики среды выполнения в Kaspersky Security для контейнеров требуются права на управление параметрами политики среды выполнения.

Чтобы создать политику среды выполнения:

1. В разделе Политики → Среда выполнения выберите вкладку Политики.
2. Нажмите на кнопку Добавить политику.

   Откроется окно ввода параметров политики.

3. При необходимости с помощью переключателя Выключено / Включено установите статус политики. По умолчанию политика создается в статусе Включено.
4. Введите название политики и, если требуется, ее описание.
5. В поле Область применения из предложенных вариантов выберите область применения для политики среды выполнения. Поскольку политики среды выполнения используются только в отношении развернутых и/или запускаемых контейнеров, для выбора доступны области применения, содержащие ресурсы по кластерам.

   Области применения, содержащие только ресурсы по реестрам, не доступны для выбора. При необходимости вы можете определить конкретные образы и поды для создаваемой политики среды выполнения в блоке Профили среды выполнения контейнеров, как указано в п.11.

   Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

6. В блоке Режим выберите один из следующих режимов применения политики:
   • Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
   • Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.

   Если в области применения в отношении какого-либо объекта реализуются политика среды выполнения в режиме Аудит и политика среды выполнения в режиме Блокирование, все действия, указанные в политиках среды выполнения, применяются в режиме Блокирование.

7. На вкладке Контроллер доступа настройте следующие параметры:
   • В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
   • В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
   • В блоке Блокирование незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
   • В блоке Исключения для динамического контроллера доступа с помощью переключателя Выключено / Включено определите исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из раскрывающихся списков объекты и укажите их названия, а затем нажмите Добавить.

     Имеющиеся в политике исключения проверяются при развертывании контейнера.

   • В блоке Блокирование системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из развертывающегося списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из раскрывающегося списка ALL.
   • В блоке Защита содержания образа с помощью переключателя Выключено / Включено активируйте проверку цифровых подписей, которые подтверждают целостность и происхождение образов в контейнере. Для этого выполните следующие действия:
     1. В поле Шаблон URL реестра образов введите шаблон веб-адреса реестра образов, в котором требуется проводить проверку подписей.
     2. Из раскрывающегося списка выберите Проверять, чтобы активировать проверку, или Не проверять, чтобы заблокировать проверку.
     3. Из раскрывающегося списка выберите один из настроенных модулей проверки подписей образов.
     4. При необходимости добавьте правила проверки подписей с помощью кнопки Добавить правило проверки подписей. Решение будет применять нескольких правил проверки подписей в рамках одной политики среды выполнения.
   • В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокирование запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокирования параметров подов.
   • В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из раскрывающегося списка Реестры выберите нужные реестры.
   • В блоке Блокирование томов с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома укажите точки монтирования томов на хостовой системе.

     Значение в поле Тома должно начинаться с косой черты ("/"), поскольку оно представляет собой путь в операционной системе.

8. На вкладке Среда выполнения контейнера настройте следующие параметры:
   • В блоке Профили среды выполнения контейнеров с помощью переключателя Выключено / Включено активируйте блокирование процессов внутри контейнеров и сетевых соединений для подов. Для этого выполните следующие действия:
     1. В раскрывающемся списке выберите признак для определения подов, к которым будут применены профили среды выполнения.
     2. В зависимости от выбранного признака выполните следующие действия:
        • Если вы выбрали Метки пода, введите ключ и значение метки пода.

          Вы можете добавить дополнительные метки для выбора подов, нажав на кнопку Добавить метку.

        • Если вы выбрали Шаблон URL образа, введите шаблон веб-адреса реестра образов.

          Если в кластере используются образы из внешнего реестра Docker Hub, решение воспринимает полный и сокращенный пути до образов равными по значению. Например, если вы указываете в кластере адрес образа контейнера docker.io/library/ubuntu:focal, решение будет считать равным ему значение ubuntu:focal.

          Вы можете добавить дополнительные веб-адреса для выбора подов, нажав на кнопку Добавить URL образа.

        • Если вы выбрали Хеш образа, введите контрольную сумму образа с использованием хеш-алгоритма SHA256. Вы можете указать контрольную сумму образа как с префиксом sha256, так и без него (например: sha256:ef957...eb43 или ef957...eb43).

          Вы можете добавить дополнительные контрольные суммы образов для выбора подов, нажав на кнопку Добавить хеш образа.

     3. В поле Профиль среды выполнения укажите один или несколько профилей среды выполнения, которые будут применяться к подам, соответствующим определенным вами признакам.
     4. При необходимости вы добавьте поды для сопоставления с помощью кнопки Добавить сопоставление подов. Поды с различными признаками или применяемыми профилями среды выполнения будут сопоставляться в рамках одной политики среды выполнения.
   • В блоке Автопрофили контейнеров с помощью переключателя Выключено / Включено активируйте проверку контейнеров в указанной области применения с помощью автопрофилей, которые связаны с образами в этих контейнерах.

     Вы можете посмотреть все автопрофили, входящие в область применения, нажав на ссылку Показать автопрофили, входящие в область применения. В открывшейся боковой панели решение показывает таблицу со списком автопрофилей. Для каждого из автопрофилей отображается название, дата и время последнего изменения, а также связанный с автопрофилем образ.

9. Нажмите на кнопку Добавить.