Kaspersky Security для контейнеров
Ограничения и предупреждения
Ограничения и предупреждения
Kaspersky Security для контейнеров 2.0 имеет ряд некритичных для работы приложения ограничений:
- При работе с внешней СУБД PostgreSQL 11.* или выше требуется подключить к базе данных Kaspersky Security для контейнеров расширения uuid-ossp и pgcrypto.
- Длительность процесса обновления Kaspersky Security для контейнеров зависит от объема сформированных баз данных. Если в вашей базе данных хранится большое количество записей в таблицах с результатами сканирования образов, описанием уязвимостей и принятых рисков, обновление может происходить в течение нескольких часов.
Мы рекомендуем проводить обновление решения в нерабочее время.
- Если вам необходимо выполнять много проверок образов на уязвимости, то мы рекомендуем вам отключить в политике сканирования настройку сканирования на ошибки конфигурации, так как эта операция может кратно увеличить затраты ресурсов, особенно при работе с образами больших размеров.
- При включенной в сканере политике сканирования на ошибки конфигурации время сканирования существенно увеличивается. Испытания на образах, содержащих до 1000 конфигурационных файлов в формате YAML, YML, JSON, прошли успешно, но мы не можем гарантировать корректную работу сканера с образами, в составе которых более 1000 конфигурационных файлов.
- Мы не рекомендуем сканировать образы на наличие конфиденциальной информации, если их размер превышает 10 ГБ.
- Отмечается некорректная работа Kaspersky Security для контейнеров при попытке одновременного запуска с другими приложениями для обеспечения контейнерной безопасности. Если процессы другого используемого приложения пытаются вмешиваться и/или встраиваться в работу контейнеров, компонент Защита от файловых угроз может функционировать неправильно. Вы можете временно выключить компонент Защита от файловых угроз в политиках сканирования.
Мы рекомендуем не использовать Kaspersky Security для контейнеров одновременно с другими приложениями для обеспечения контейнерной безопасности.
- Для использования сетевых политик, поставляемых с Kaspersky Security для контейнеров, необходимо убедиться в следующем:
- В пакете Helm Chart для развертывания и установки компонентов решения для параметра
networkPolicies.createуказано значениеtrue(значение по умолчанию). - Сетевой плагин в кластере, в котором развернуто решение, поддерживает сетевые политики Kubernetes. Если сетевые политики не поддерживаются, Kaspersky Security для контейнеров создаст объекты
NetworkPolicies, но они не будут применяться и фильтровать трафик.Если объекты
NetworkPoliciesотсутствуют или не применяются, защищенность решения снижается.
- В пакете Helm Chart для развертывания и установки компонентов решения для параметра
- Kaspersky Security для контейнеров поддерживает корректное сканирование только образов архитектуры linux/amd64. При проверке мульти-платформенных образов сканер автоматически будет пытаться применить вариант архитектуры платформы linux/amd64.
- Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
CONFIG_DEBUG_INFO_BTF=y. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом. - Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.
Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.
- Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом
- Если на хост-сервере (узле) используется скомпилированное вручную ядро ОС Linux, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:
CONFIG_BPF=yCONFIG_BPF_SYSCALL=yCONFIG_BPF_EVENTS=yCONFIG_NET_CLS_BPF=mCONFIG_NET_ACT_BPF=m
Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры:
CONFIG_BPF_JIT=yCONFIG_HAVE_BPF_JIT=y - Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
- В кластере с развернутым node-agent решения для объекта
ConfigMap cilium-configукажите значение параметраdata.bpf-filter-priorityбольше 1.Мы рекомендуем указывать 5 в значении параметра
data.bpf-filter-priority. - Перезапустите поды агента cilium-agent, чтобы применить указанный параметр.
- В кластере с развернутым node-agent решения для объекта
- Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.
Идентификатор статьи: 299199, Последнее изменение: 20 мая 2025 г.