Kaspersky Security для контейнеров 2.0 имеет ряд некритичных для работы приложения ограничений:
При работе с внешней СУБД PostgreSQL 11.* или выше требуется подключить к базе данных Kaspersky Security для контейнеров расширения uuid-ossp и pgcrypto.
Длительность процесса обновления Kaspersky Security для контейнеров зависит от объема сформированных баз данных. Если в вашей базе данных хранится большое количество записей в таблицах с результатами сканирования образов, описанием уязвимостей и принятых рисков, обновление может происходить в течение нескольких часов.
Мы рекомендуем проводить обновление решения в нерабочее время.
Если вам необходимо выполнять много проверок образов на уязвимости, то мы рекомендуем вам отключить в политике сканирования настройку сканирования на ошибки конфигурации, так как эта операция может кратно увеличить затраты ресурсов, особенно при работе с образами больших размеров.
При включенной в сканере политике сканирования на ошибки конфигурации время сканирования существенно увеличивается. Испытания на образах, содержащих до 1000 конфигурационных файлов в формате YAML, YML, JSON, прошли успешно, но мы не можем гарантировать корректную работу сканера с образами, в составе которых более 1000 конфигурационных файлов.
Мы не рекомендуем сканировать образы на наличие конфиденциальной информации, если их размер превышает 10 ГБ.
Отмечается некорректная работа Kaspersky Security для контейнеров при попытке одновременного запуска с другими приложениями для обеспечения контейнерной безопасности. Если процессы другого используемого приложения пытаются вмешиваться и/или встраиваться в работу контейнеров, компонент Защита от файловых угроз может функционировать неправильно. Вы можете временно выключить компонент Защита от файловых угроз в политиках сканирования.
Мы рекомендуем не использовать Kaspersky Security для контейнеров одновременно с другими приложениями для обеспечения контейнерной безопасности.
Для использования сетевых политик, поставляемых с Kaspersky Security для контейнеров, необходимо убедиться в следующем:
В пакете Helm Chart для развертывания и установки компонентов решения для параметра networkPolicies.create указано значение true (значение по умолчанию).
Сетевой плагин в кластере, в котором развернуто решение, поддерживает сетевые политики Kubernetes. Если сетевые политики не поддерживаются, Kaspersky Security для контейнеров создаст объекты NetworkPolicies, но они не будут применяться и фильтровать трафик.
Если объекты NetworkPolicies отсутствуют или не применяются, защищенность решения снижается.
Kaspersky Security для контейнеров поддерживает корректное сканирование только образов архитектуры linux/amd64. При проверке мульти-платформенных образов сканер автоматически будет пытаться применить вариант архитектуры платформы linux/amd64.
Для обеспечения максимальной совместимости используемых Kaspersky Security для контейнеров BPF-программ с многочисленными Linux-дистрибутивами и версиями ядра ОС Linux в решении используется технология eBPF CO-RE. Поскольку Kaspersky Security для контейнеров работает непосредственно с ядром хост-сервера ОС Linux (узел), требуется соблюдать следующие требования и ограничения:
Для использования eBPF CO-RE ядро ОС Linux должно быть скомпилировано с флагом CONFIG_DEBUG_INFO_BTF=y. Большинство Linux-дистрибутивов имеют этот флаг при сборке ядра, подставляемого в комплекте с дистрибутивом.
Если обновление версий ядра осуществляется вручную, необходимо проверить наличие указанного выше флага.
Для более ранних версий Linux-дистрибутивов и версий ядер ОС Linux, которые не имеют встроенной поддержки eBPF CO-RE, обратная совместимость обеспечивается Kaspersky Security для контейнеров.
Если на хост-сервере (узле) используется скомпилированное вручную ядро ОС Linux, для обеспечения работоспособности функциональной возможности мониторинга среды выполнения с использованием профилей среды выполнения контейнеров при конфигурации ядра необходимо включить следующие параметры:
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_EVENTS=y
CONFIG_NET_CLS_BPF=m
CONFIG_NET_ACT_BPF=m
Для обеспечения более высокой производительности BPF-кода мы рекомендуем включить следующие параметры: CONFIG_BPF_JIT=y CONFIG_HAVE_BPF_JIT=y
Если требуется проводить мониторинг среды выполнения с использованием профилей среды выполнения контейнеров Kaspersky Security для контейнеров одновременно с применением CNI Cilium (поды агента node-agent развернуты на одних с агентом cilium-agent хост-серверах), необходимо выполнить следующие действия:
В кластере с развернутым node-agent решения для объекта ConfigMap cilium-config укажите значение параметра data.bpf-filter-priority больше 1.
Мы рекомендуем указывать 5 в значении параметра data.bpf-filter-priority.
Перезапустите поды агента cilium-agent, чтобы применить указанный параметр.
Для доступа в Kubernetes Kaspersky Security для контейнеров использует функциональные возможности представленного в Kubernetes динамического контроллера доступа. Безопасность вашего кластера может быть усилена с помощью настройки авторизации между API Kubernetes и агентом kube-agent, который обеспечивает работу динамического контроллера доступа со стороны решения. Настройку авторизации требуется осуществлять в соответствии с инструкцией Kubernetes.