Kaspersky Security для контейнеров

Создание профиля среды выполнения

Чтобы создать профиль среды выполнения контейнера:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Добавить профиль.

   Откроется окно ввода параметров профиля.

2. Введите название профиля среды выполнения и при необходимости его описание.
3. В раскрывающемся списке Области применения выберите одну или несколько областей применения.

   Области применения в профилях среды исполнения используются для дальнейшего правильного использования профилей в политиках среды выполнения.

4. В блоке Защита от файловых угроз с помощью переключателя Выключено / Включено активируйте компонент Защита от файловых угроз. Он используется для поиска и анализа потенциальных файловых угроз, а также обеспечивает безопасность контейнеризированных объектов, в том числе архивов и файлов электронной почты.

   Когда применяется профиль среды выполнения с включенным компонентом Защита от файловых угроз, Kaspersky Security для контейнеров активирует защиту от файловых угроз в реальном времени на всех узлах в составе областей применения, заданных для такой политики. Конфигурация разворачиваемых агентов зависит от настроек параметров, которые вы укажете для компонента Защита от файловых угроз. Вы можете настроить параметры защиты от файловых угроз, нажав на кнопку Параметры компонента Защита от файловых угроз на вкладке Профили среды выполнения в разделе Политики → Среда выполнения.

5. В блоке Ограничение исполняемых файлов контейнера с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
   • Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
   • Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. Необходимо указывать полный оригинальный путь для исполняемого файла (например, /bin/php). При этом можно указать маску *, например, /bin/*, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории.

     Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для /bin/* в исключениях можно указать путь /bin/cat. При этом будет запрещен запуск всех исполняемых файлов из директории /bin/, кроме приложения /bin/cat.

     Пример пути к исполняемым файлам

     Указание прямого пути к бинарным исполняемым файлам:

     /bin/bash

     Указание директории с помощью маски *:

     /bin/*

     В этом примере разрешается запуск всех исполняемым файлов из поддиректорий директории /bin/.

     При работе с бинарным файлом busybox, который поставляется во многих базовых образах для контейнеров (например, в alpine), необходимо учитывать, что busybox содержит в себе набор команд для вызова приложений без явного указания вызываемых приложений. Например, команда ls используется для быстрого вызова исполняемого файла /bin/ls, который в свою очередь является символической ссылкой на /bin/busybox. В этом случае необходимо указывать путь до исполняемого файла следующим образом: /bin/busybox/ls (то есть требуется объединить оригинальный путь исполняемого файла /bin/busybox и его команды ls с помощью символа /).

     Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.

     Все указанные для этого блока параметров правила и исключения являются регулярными выражениями (regexp). Решение использует заданные шаблоны и флаги для поиска всех файлов, которые соответствуют определенному регулярному выражению.

     Если вы применяете Cilium CNI, при определении правил и исключений кроме CIDR и FQDN необходимо указывать правила Cilium CNI. Это позволит решению обрабатывать данные о сервисах Cilium и отличать их от CIDR, FQDN и остальных меток в едином поле ввода.

     Правила для CIDR и FQDN для Cilium CNI применяются только для указания внешних по отношению к Kubernetes ресурсов. В отличие от других CNI, где ресурсы могут определяться с помощью меток, при идентификации по меткам в Cilium CNI трафик до ресурса блокируется.

     Правила Cilium CNI указываются вместе со значениями CIDR и FQDN через запятую следующим образом:

     entity:<ENTITY_NAME> -OR- endpoint:<NAMESPACE> -OR- service:<NAMESPACE>{|<LABEL_1_KEY>=<LABEL_2_VALUE>{,<LABEL_N_KEY>=LABEL_N_VALUE}}

     где:

     • <ENTITY_NAME> – название объектов, которые имеют доступ выбранным конечным точкам сети (англ. Endpoints) и доступны для них. Может указываться одно из следующих значений: all, world, world-ip4, world-ip6, host, init, ingress, remote-node, health, unmanaged, none, kube-apiserver.
     • <NAMESPACE> – действительное название пространства имен.
     • <LABEL_1_KEY>=<LABEL1_VALUE> – пара "ключ-значение" метки пространства имен (например, env=staging). Этот параметр не является обязательным и указывается при необходимости.
     • <LABEL_N_KEY>=LABEL_N_VALUE – список меток пространства имен, в котором метки перечисляются через запятую (например, app=test,component=api-v2,k8s-app=kube-dns). Этот параметр также не является обязательным и указывается при необходимости.

     Примеры правил Cilium CNI

     entity:all

     endpoint:default

     endpoint:default|app=nginx

     endpoint:default|app.nginx=web-prod

     endpoint:default|app=nginx,env=prod

     service:default|app=backend

     service:kube-system|k8s-app=kube-dns

     endpoint:devns1|app=test,component=api-v2

     endpoint:dev-ns1|app=test,component=api.v2

     endpoint:|app=test

     Такой формат определения правил и исключений используется только для Cilium CNI. Если вы используете его для других CNI, решение проигнорирует неверно указанные параметры.

6. В блоке Ограничение входящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

7. В блоке Ограничение исходящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

8. В блоке Файловые операции с помощью переключателя Выключено / Включено активируйте возможность мониторинга файловых операций в контейнере. Для этого укажите значения для следующих параметров:
   • Путь. Пути к файлам или папкам можно указать как с использованием косой черты (/) в конце пути, так и без нее. Вы можете разрешить доступ ко всем поддиректориям, поставив звездочку (*) после косой черты (/) в конце пути.

     При определении путей к файлам указываются только полные пути, которые начинаются с косой черты (/).

   • При необходимости в поле Исключения вы можете указать пути к файлам, для которых не будет осуществляться мониторинг файловых операций.
   • Тип операции. Вы можете указать файловые операции, которые решение будет отслеживать при применении политики среды выполнения. Для этого с помощью флажка выберите один, несколько или все типы операций в следующем списке:
     • Создание – решение регистрирует все операции по созданию файлов в указанных директориях.
     • Чтение – решение отслеживает операции по чтению файлов.
     • Запись – решение фиксирует информацию о сохранении изменений в файлах.
     • Переименование или перемещение – решение регистрирует операции, связанные с изменением имени файлов или перемещения файлов в другие папки.
     • Удаление – решение записывает информацию об удалении файлов или папок из указанных директорий.
     • Изменение прав доступа – решение фиксирует информацию об изменении прав доступа к файлам и директориям.
     • Изменение владельца файла – решение отслеживает операции, связанные с изменением владельца файла или папки в указанной директории.

   При необходимости добавьте правила для мониторинга файловых операций с помощью кнопки Добавить правило. Решение будет применять нескольких правил мониторинга файловых операций в рамках одной политики среды выполнения.

   Для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

9. Нажмите на кнопку Добавить.

Созданный профиль среды выполнения отображается в разделе Политики → Среда выполнения → Профили среды выполнения.