[Topic 263612]

Справка Kaspersky Security для контейнеров 2.0

[Topic 292907]

О Платформе контейнерной безопасности Kaspersky Security для контейнеров

Платформа контейнерной безопасности Kaspersky Security для контейнеров (далее также "решение") позволяет выявлять проблемы безопасности и обеспечивает защиту на всех этапах жизненного цикла контейнерных приложений, начиная с разработки и контроля развертывания до работы в среде выполнения (англ. runtime).

Функциональные возможности решения:

• Интеграция с реестрами образов (например, Docker Hub, JFrog Artifactory, Sonatype Nexus Repository OSS, GitLab Registry, Harbor) для проверки образов в реестре на наличие известных уязвимостей по базам уязвимостей NVD и БДУ (ФСТЭК), секретов (паролей, ключей доступа, токенов), ошибок конфигураций и вредоносного ПО.
• Встраивание в процесс
  CI/CD

  Continuous Integration/Continuous Delivery – комбинация непрерывной интеграции и непрерывного развертывания программного обеспечения в процессе разработки.

  Continuous Integration/Continuous Delivery – комбинация непрерывной интеграции и непрерывного развертывания программного обеспечения в процессе разработки.

  в виде этапа пайплайн (англ. pipeline) и проверка
  IaC

  Infrastructure as a Code – подход для управления и описания инфраструктуры через конфигурационные файлы, а не через ручное редактирование конфигураций на серверах.

  Infrastructure as a Code – подход для управления и описания инфраструктуры через конфигурационные файлы, а не через ручное редактирование конфигураций на серверах.

  на ошибки конфигураций и образов контейнеров на уязвимости, вредоносное ПО и наличие конфиденциальных данных (секретов).
• Проверка узлов (англ. nodes) кластеров на соответствие общим отраслевым стандартам информационной безопасности (англ. benchmarks).
• Контроль соблюдения настроенных политик безопасности на этапах сборки и эксплуатации приложений, в том числе контроль запуска контейнеров в среде выполнения.
• Мониторинг ресурсов контролируемых кластеров.

Настройку Kaspersky Security для контейнеров и использование функциональных возможностей решения обеспечивает Консоль управления. Консоль реализована в виде веб-интерфейса, доступного через браузер на движке Chromium (Google Chrome, Microsoft Edge, Apple Safari) или Mozilla Firefox.

[Topic 290867]

Что нового

В Kaspersky Security для контейнеров 2.0 появились следующие возможности и улучшения:

• Централизованное исследование уязвимостей в артефактах CI/CD, реестров образов и среды выполнения.
• Расширенные возможности регистрации событий контейнеров в отношении сетевого трафика (входящего и исходящего), файловых операций, запускаемых процессов, работы компонента Защита от файловых угроз.
• Обеспечение бесперебойного мониторинга инфраструктур, содержащих до нескольких тысяч сетевых узлов.
• Возможность интеграции с внешним хранилищем секретов HashiCorp Vault:
  • Чтение предварительно созданных секретов для компонентов Kaspersky Security для контейнеров.
  • Использование Vault PKI для создания TLS-сертификатов, которые используются для межсервисного взаимодействия.
• Интеграция с программными продуктами, предназначенными для получения и анализа информации о событиях безопасности (SIEM):
  • Настройка интеграции с несколькими продуктами с помощью пользовательского интерфейса.
  • Определение параметров для отправки событий разных категорий (Администрирование, Обнаружение, CI/CD, Политики, Ресурсы, Сканеры, Контроллер доступа, API).
  • Определение параметров для отправки событий контейнеров в отношении сетевого трафика (входящего и исходящего), файловых операций, запускаемых процессов.
• Формирование отчетов в форматах .JSON, .XML.
• Сканирование инфраструктуры на соответствие отраслевому стандарту безопасности кластеров.
• Формирование сводного отчета по результатам проверки инфраструктуры на соответствие отраслевому стандарту безопасности кластеров.
• Доработка интеграции с LDAP (применение схемы уникального имени).
• Формирование профилей среды выполнения на основе анализа функционирования контейнеров (автопрофилирование).
• Доработка возможностей OpenAPI:
  • Получение данных о состоянии компонентов ядра (Core Health Check).
  • Управление политиками сканирования, безопасности образов, реагирования и среды выполнения.
  • Управление профилями среды выполнения.
  • Получение журнала событий системы.
  • Получение журнала событий контейнеров.
  • Управление рисками.
  • Управление задачами автопрофилирования.
  • Получение информации об интеграции c модулями проверки подписей образов.
• Поддержка интеграции со следующими внешними реестрами образов:
  • Amazon Elastic Container Registry.
  • Red Hat Quay.
• Сканирование директории OCI в процессах CI/CD.

[Topic 292932]

Комплект поставки

О приобретении решения вы можете узнать на сайте "Лаборатории Касперского" https://www.kaspersky.ru или у компаний-партнеров.

В комплект поставки входит пакет Helm Chart с контейнеризированными ресурсами, которые необходимы для развертывания и установки компонентов Kaspersky Security для контейнеров. Контейнеризированные компоненты комплекта поставки представлены в таблице ниже.

Контейнеризированные компоненты комплекта поставки Kaspersky Security для контейнеров

Также в комплект поставки в составе пакета Helm входит конфигурационный файл values.yaml, который содержит значения параметров для установки и обновления решения.

После скачивания и сохранения в выбранной директории пакета Helm находящиеся в нем образы скачиваются оркестратором из указанного в пакете Helm источника непосредственно на узлы платформы оркестрации.

Информация, необходимая для активации решения, высылается вам по электронной почте.

[Topic 287165]

Программные и аппаратные требования

Для установки и эксплуатации Kaspersky Security для контейнеров инфраструктура должна удовлетворять следующим требованиям:

• Одна из следующих платформ оркестрации:
  • Kubernetes 1.21 или выше.
  • OpenShift 4.8, 4.11 или выше.
  • DeckHouse версии 1.52 или 1.53 (CNI: Flannel).
  • DropApp версии 2.1.
• Наличие CI-системы для проверки образов контейнеров в процессе разработки (например, GitLab CI).
• Установленный менеджер пакетов Helm версии 3.10.0 или выше.

Для реализации мониторинга среды выполнения с использованием профилей среды выполнения контейнеров узлы оркестратора должны соответствовать следующим требованиям:

• Версия ядра ОС Linux 4.18 или выше.

  Некоторые механизмы управления привилегиями процессов на уровне ядра ОС Linux используются с ядра ОС Linux версии 5.8 или выше. Если версия ядра ОС Linux ниже 5.8, при установке Kaspersky Security для контейнеров требуется отключить использование списка этих механизмов управления привилегиями процессов для компонента kcs-ih и установить для него привилегированный режим работы.
  Пример установки привилегированного режима работы

  default:
kcs-ih:
privileged: true

• Среды выполнения контейнеров (CRI): containerd, CRI-O.
• Плагины Container Network Interface (CNI): Flannel, Calico, Cilium.

Требования к архитектуре:

Kaspersky Security для контейнеров поддерживает архитектуру х86.

Поддерживаемые версии Linux-дистрибутивов и версий ядер ОС Linux для реализации мониторинга среды выполнения с использованием профилей среды выполнения контейнеров:

• CentOS 8.2.2004 или выше + ядро 4.18.0-193 или выше.
• Ubuntu 18.04.2 или выше + ядро 4.18.0 или выше.
• Debian 10 или выше + ядро 4.19.0 или выше.
• Astra Linux SE 1.7.* + ядро 6.1.50-1-generic.

  При использовании ОС Astra Linux требуется наличие опции CONFIG_DEBUG_INFO_BTF=y в конфигурации ядра.

• RHEL 9.4 или выше + ядро 5.14 или выше.
• Red Hat Enterprise Linux CoreOS 416.94.202408200132-0 + ядро 5.14.0-427.33.1.el9_4.x86_64.
• Sber Linux 8.9, 9.3 + ядро 5.14 (CNI: CRI-O, Calico, Cilium).

При использовании Cilium версии 1.16 для параметра enableTCX необходимо указывать значение false.

Если в вашей инфраструктуре присутствуют хост-серверы под управлением других Linux-дистрибутивов, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки проверят совместимость решения и установленных дистрибутивов. Если такая совместимость отсутствует, поддержка указанных дистрибутивов может быть осуществлена в следующих версиях Kaspersky Security для контейнеров.

Kaspersky Security для контейнеров обеспечивает правильную работу при использовании в инфраструктуре Istio service mesh.

Решение поддерживает возможность интеграции с внешним хранилищем секретов Hashicorp Vault версии 1.7 или выше.

При использовании внешних систем управления базами данных Kaspersky Security для контейнеров поддерживает возможность работы со следующими СУБД:

• PostgreSQL 11.*, 13.*, 14.*, 15.*
• Pangolin 6.2.0.

Kaspersky Security для контейнеров поддерживает возможность интеграции со следующими реестрами образов:

• GitLab 14.2 или выше.
• Docker Hub V2 API.
• JFrog Artifactory 7.55 или выше.
• Sonatype Nexus Repository OSS 3.43 или выше.
• Harbor 2.x.
• Yandex Registry (интеграция с использованием Yandex Container Registry API).
• Docker Registry (интеграция с использованием Docker V2 API).
• Red Hat Quay 3.x.

Kaspersky Security для контейнеров поддерживает работу в сетях IPv4 и IPv6.

Требования к образам (ОС, версия, проверяемые пакеты):

• AlmaLinux, версии 8, 9. Проверяются пакеты, установленные через dnf/yum/rpm.
• Alpine Linux, версии 2.2 - 2.7, 3.0 - 3.20, Edge. Проверяются пакеты, установленные через apk.
• Amazon Linux, версии 1, 2, 2023. Проверяются пакеты, установленные через dnf/yum/rpm.
• Astra Linux SE, версии 1.6.х, 1.7.х. Проверяются пакеты, установленные через apt/dpkg.
• CBL-Mariner, версии 1.0, 2.0. Проверяются пакеты, установленные через dnf/yum/rpm.
• CentOS, версии 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
• Chainguard, все версии. Проверяются пакеты, установленные через apk.
• Debian GNU/Linux, версии 7, 8, 9, 10, 11, 12. Проверяются пакеты, установленные через apt/dpkg.
• openSUSE Leap, версии 42, 15. Проверяются пакеты, установленные через zypper/rpm.
• openSUSE Tumbleweed, все версии. Проверяются пакеты, установленные через zypper/rpm.
• Oracle Linux, версии 5, 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
• Photon OS, версии 1.0, 2.0, 3.0, 4.0. Проверяются пакеты, установленные через tdnf/yum/rpm.
• Red Hat Enterprise Linux, версии 6, 7, 8. Проверяются пакеты, установленные через dnf/yum/rpm.
• RedOS, версии 7.1, 7.2, 7.3.х, 8.0. Проверяются пакеты, установленные через dnf/yum/rpm.
• Rocky Linux, версии 8, 9. Проверяются пакеты, установленные через dnf/yum/rpm.
• SUSE Enterprise Linux, версии 11, 12, 15. Проверяются пакеты, установленные через zypper/rpm.
• SUSE Linux Enterprise Micro, версии 5, 6. Проверяются пакеты, установленные через zypper/rpm.
• Ubuntu, все версии, которые поддерживаются Canonical. Проверяются пакеты, установленные через apt/dpkg.
• Wolfi Linux, все версии. Проверяются пакеты, установленные через apk.
• ОС с установленной программой командной строки Conda. Проверяются пакеты, установленные через conda.

При конфигурации Kaspersky Security для контейнеров в кластере с тремя рабочими узлами (worker nodes), тремя сканирующими подами (kcs-ih) и максимальным размером подлежащих сканированию образов до 10 ГБ к рабочему узлу кластера предъявляются следующие требования:

• Количество процессорных ядер – 10 и более.
• Объем оперативной памяти – 18 ГБ и более.
• Объем свободного дискового пространства – 40 ГБ.
• Пропускная способность каналов связи между компонентами кластера – не менее 1 Гбит/c.

Для работы агентов в кластере на каждом рабочем узле необходимо предоставить следующие дополнительные вычислительные ресурсы:

• Количество процессорных ядер – 2.
• Объем оперативной памяти – 3 ГБ.
• Объем свободного дискового пространства – 15 ГБ.

В кластере, где установлено решение, необходимо выделить свободное дисковое пространство для СУБД ClickHouse с учетом количества контролируемых узлов. Для каждого узла требуется 1 ГБ свободного дискового пространства на Persistent Volume для ClickHouse.

Указанные требования применимы только к развертыванию Kaspersky Security для контейнеров и не учитывают другую нагрузку ресурсов клиента.

Рабочее место пользователя Kaspersky Security для контейнеров должно соответствовать следующим требованиям:

• При использовании схемы развертывания в открытом контуре корпоративной сети – постоянное подключение к сети интернет.
• Наличие доступа к странице консоли управления Kaspersky Security для контейнеров (адрес внутри корпоративного контура клиента, указанный при установке решения).
• Минимальная пропускная способность каналов связи – не менее 10 Мбит/c;
• Наличие одного из следующих браузеров:
  • Google Chrome 73 или выше.
  • Microsoft Edge 79 или выше.
  • Mozilla Firefox 63 или выше.
  • Apple Safari 12.1 или выше.
  • Opera 60 или выше.

[Topic 287063]

Масштабирование

Для достижения и сохранения оптимальной производительности при сканировании входящего объема образов Kaspersky Security для контейнеров требуется учитывать количество поддерживаемых решением сканирующих подов и обслуживаемых узлов кластера.

[Topic 287064]

Масштабирование количества сканирующих подов

Kaspersky Security для контейнеров поддерживает масштабирование количества сканирующих подов, чтобы обеспечить сканирование входящего объема образов. Масштабирование может осуществляться как в сторону увеличения, так и в сторону уменьшения количества сканирующих подов в любой момент в процессе работы решения.

При добавлении каждого сканирующего пода системные ресурсы увеличиваются следующим образом:

• Количество ядер процессоров узлов – на 2.
• Объем оперативной памяти на узлах – на 4 ГБ.
• Объем свободного места на жестком диске узла – на 15 ГБ.

Если нужно проверить образы размером более 10 ГБ, на каждый дополнительный 1 ГБ ресурсы kcs-ih для каждого сканирующего пода требуется увеличить следующим образом:

• Объем оперативной памяти на узлах – на 300 МБ.
• Объем свободного места на жестком диске узла – на 1 ГБ.

Если в рамках стандартного режима работы сканирование образов на ошибки в файлах конфигураций не проводится, увеличение оперативной памяти на сканирующих подах необязательно.

Для ускорения обработки результатов сканирования большого количества объемных объектов, вы можете увеличить количество ресурсов, направленных на обработку заданий, с помощью обновления переменных в пакете Helm.

Чтобы увеличить количество ресурсов для обработки заданий на сканирование:

1. Откройте пакет Helm и в блоке default для параметра kcs-middleware в переменной scanWorkers укажите нужное вам количество обработчиков.
2. В переменных requests и limits укажите объем оперативной памяти, который определяется по следующей формуле:

   memory = X * scanWorkers/2, где

   memory – объем оперативной памяти, который выделяется для обработки заданий на сканирование;

   X – исходное значение переменной, обозначающей объем оперативной памяти;

   scanWorkers – количество обработчиков, указанных на шаге 1.

   Значение выражения scanWorkers/2 не должно быть равно нулю.

3. В переменных requests и limits укажите ресурсы процессора, которые рассчитываются по следующей формуле:

   cpu = X*scanWorkers, где

   cpu – ресурсы процессора, выделяемые для обработки заданий на сканирование;

   X – исходное значение переменной, обозначающей ресурсы процессора;

   scanWorkers – количество обработчиков, указанных на шаге 1.

Пример увеличения количества ресурсов для обработки заданий на сканирование

[Topic 295413]

Масштабирование с учетом количества обслуживаемых узлов кластера

Количество контролируемых кластеров, с которыми поддерживает работу один экземпляр Kaspersky Security для контейнеров, достигает 600. Масштабирование количества обслуживаемых узлов каждого кластера осуществляется путем изменения следующих компонентов:

• kcs-ab – для увеличения или уменьшения количества реплик компонента.
• kcs-memcached – для повышения или снижения требований к выделяемым компоненту ресурсов.

По умолчанию Kaspersky Security для контейнеров поставляется со следующими характеристиками указанных компонентов:

• kcs-ab:
  • 1 под в реплике с возможностью обслуживания 2000 узлов.
  • Запрашиваемый объем ресурсов: количество ядер процессоров узлов – 0,5, объем оперативной памяти на узлах 512 МБ.
  • Максимально используемый объем ресурсов: количество ядер процессоров узлов – 1, объем оперативной памяти на узлах 1 ГБ.
• kcs-memcached:
  • Запрашиваемый объем ресурсов: количество ядер процессоров узлов – 2, объем оперативной памяти на узлах 2 ГБ.
  • Максимально используемый объем ресурсов: количество ядер процессоров узлов – 4, объем оперативной памяти на узлах 4 ГБ.

Kaspersky Security для контейнеров осуществляет масштабирование путем увеличения следующих параметров:

• kcs-ab – добавление одного пода в реплике увеличивает количество поддерживаемых узлов на 2000 узлов.
• kcs-memcached – увеличение компонента kcs-ab на один под требует повысить запрашиваемый объем ресурсов и максимально используемый объем ресурсов компонента kcs-memcached следующим образом:
  • Запрашиваемый объем ресурсов: количество ядер процессоров узлов – 0,5, объем оперативной памяти на узлах 2 ГБ.
  • Максимально используемый объем ресурсов: количество ядер процессоров узлов – 0,5, объем оперативной памяти на узлах 2 ГБ.

Например, если экземпляр Kaspersky Security для контейнеров обслуживает 10 000 узлов в кластерах пользователя, применяются следующие параметры:

• kcs-ab:
  • 5 подов в реплике.
  • Запрашиваемый объем ресурсов: количество ядер процессоров узлов – 0,5, объем оперативной памяти на узлах 512 МБ.
  • Максимально используемый объем ресурсов: количество ядер процессоров узлов – 1, объем оперативной памяти на узлах 1 ГБ.
• kcs-memcached:
  • Запрашиваемый объем ресурсов: количество ядер процессоров узлов – 4, объем оперативной памяти на узлах 10 ГБ.
  • Максимально используемый объем ресурсов: количество ядер процессоров узлов – 6, объем оперативной памяти на узлах 12 ГБ.

Указанные значения являются ориентировочными, поскольку при развертывании требуется учитывать особенности параметров виртуализации и производительности хост-серверов (узлов) в конкретной инфраструктуре.

[Topic 265976]

Системные пакеты базовых образов

В качестве базовых образов Kaspersky Security для контейнеров используют образы следующих операционных систем:

• Alpine 3.18.4.
• Ubuntu 23.10.
• Oracle Linux 9.2.

Для управления процессами установки, удаления, настройки и обновления различных компонентов ПО используются системы управления пакетами (далее также менеджеры пакетов). В базовых операционных системах Kaspersky Security для контейнеров используются следующие системы управления пакетами:

• В Alpine – apk.
• В Ubuntu – apt.
• В Oracle Linux – rpm.

Чтобы получить информацию об установленных системных пакетах,

с помощью штатных средств оркестратора для доступа в запущенный контейнер (в зависимости от используемого менеджера пакетов) введите следующую bash-команду:

• Для apk:

  apk -q list | grep "installed".

• Для apt:

  apt list --installed.

• Для rpm:

  yum list installed.

[Topic 283462]

Сканируемые пакеты прикладного ПО

Kaspersky Security для контейнеров поддерживает следующие сканируемые пакеты прикладного ПО на указанных языках программирования:

• Ruby:
  • gemspec (сканируется образ).
  • Gemfile.lock (сканируется репозиторий в CI/CD).
• Python:
  • egg package, wheel package, conda package (сканируется образ).
  • Pipfile.lock, poetry.lock, requirements.txt (сканируется репозиторий в CI/CD).
• PHP:
  • installed.json (сканируется образ).
  • composer.lock (сканируется репозиторий в CI/CD).
• Node.js:
  • package.json (сканируется образ).
  • package-lock.json, yarn.lock, pnpm-lock.yaml (сканируется репозиторий в CI/CD).
• .NET: packages.lock.json, packages.config, .deps.json, Packages.props (сканируются образ и репозиторий в CI/CD).
• Java:
  • *.jar, *.war, *.par and *.ear (сканируется образ).
  • pom.xml, *gradle.lockfile, *.sbt.lock (сканируется репозиторий в CI/CD).
• Go:
  • Бинарные файлы (сканируется образ).
  • go.mod (сканируется репозиторий в CI/CD).
• Rust:
  • Бинарные файлы, проверяемые Cargo (сканируется образ).
  • Cargo.lock (сканируются образ и репозиторий в CI/CD).
• C/C++: conan.lock (сканируется репозиторий в CI/CD).
• Elixir: mix.lock (сканируется репозиторий в CI/CD).
• Dart: pubspec.lock (сканируется репозиторий в CI/CD).
• Swift: Podfile.lock, Package.resolved (сканируется репозиторий в CI/CD).
• Julia: Manifest.toml (сканируются образ и репозиторий в CI/CD).

[Topic 295358]

Работа в облачных средах

Kaspersky Security для контейнеров может работать в различных облачных средах. Для получения более подробной информации о запуске решения в облачных средах вы можете обратиться к вашему менеджеру предпродажной поддержки.

[Topic 292949]

Архитектура решения

Компоненты Kaspersky Security для контейнеров разворачиваются на основе образов, входящих в комплект поставки. В таблице ниже представлено соответствие полученных образов и компонентов решения.

Компоненты Kaspersky Security для контейнеров

Основными компонентами решения являются:

• Модуль основной бизнес-логики Kaspersky Security для контейнеров.
• Агенты Kaspersky Security для контейнеров.
• Сканер Kaspersky Security для контейнеров.

  

  Общая схема архитектуры Kaspersky Security для контейнеров

Kaspersky Security для контейнеров может разворачиваться в открытом или закрытом контуре корпоративной сети.

[Topic 274610]

Модуль основной бизнес-логики решения

Модуль основной бизнес-логики решения Kaspersky Security для контейнеров выполняет следующие функции:

• предоставляет интерфейс для интерактивного управления решением (консоль управления);
• обеспечивает интеграцию со сторонними программными компонентами (SIEM, CI, реестры образов, LDAP, Telegram, электронная почта) и получение от них информации;
• координирует работу других компонентов решения;
• обеспечивает создание политик безопасности и управление ими;
• обеспечивает отображение результатов работы решения.

[Topic 295359]

Агенты

Агенты Kaspersky Security для контейнеров (далее также агенты) – это компонент решения, который запускается в виде контейнеризированного приложения и обеспечивает безопасность на узлах в соответствии с настроенным политиками безопасности, в частности:

• контролирует безопасность среды выполнения контейнеров, запущенных на узлах;
• контролирует сетевое взаимодействие подов (англ. pods) и приложений внутри контейнеров;
• интегрируется с платформой оркестрации и обеспечивает поток информации, необходимый для анализа конфигурации оркестратора и его компонентов;
• контролирует запуск контейнеров из доверенных образов с целью не допускать запуска непроверенных образов.

Агенты устанавливаются на все узлы кластеров, а также на все кластеры, которые требуется защищать. Соответственно, Kaspersky Security для контейнеров оперирует двумя типами агентов: агенты защиты кластера (csp-kube-agent) и агенты защиты узлов (csp-node-agent). В совокупности они формируют группы агентов. Для каждого кластера создается своя группа агентов. В рамках одной установки решения может быть создано множество групп агентов.

Агенты не внедряют свой исполняемый код в контейнеры в контролируемых кластерах.

При отсутствии агентов в кластере часть функциональных возможностей решения остается недоступной (например, политики среды выполнения, мониторинг ресурсов).

[Topic 254415]

Сканер

Сканер – программный компонент Kaspersky Security для контейнеров для сканирования объектов в реальном времени для оценки безопасности и выявления известных уязвимостей, вредоносного ПО, признаков конфиденциальных данных и ошибок конфигурации. Сканер позволяет проводить проверки безопасности на основе действующих политик безопасности.

Kaspersky Security для контейнеров задействует следующие виды сканеров:

• сканер уязвимостей по базе данных общеизвестных уязвимостей информационной безопасности (CVE);
• сканер для выявления файловых угроз в составе компонента Защита от файловых угроз;
• сканер конфигурационных файлов;
• сканер конфиденциальной информации (секретов).

[Topic 271778]

О сканировании объектов

Kaspersky Security для контейнеров осуществляет проверку развернутых в решении объектов во время сканирования. Сканирование – поиск и анализ угроз и рисков безопасности в отношении объектов решения. Сканирование объектов требуется проводить регулярно, чтобы оперативно отслеживать появляющиеся угрозы безопасности.

В рамках сканирования Kaspersky Security для контейнеров выявляет следующие угрозы безопасности:

• Уязвимости.
• Вредоносное ПО.
• Ошибки конфигурации.
• Наличие конфиденциальных данных.
• Несоответствие требованиям политик безопасности.

[Topic 274621]

Процесс сканирования

Сканер получает задания на проверку с помощью модуля для обработки заданий на сканирование. Модуль для обработки заданий на сканирование (Image handler) разворачивается в инфраструктуре Kaspersky Security для контейнеров и обеспечивает передачу заданий на сканирование в сканер и получение результатов сканирований из сканера.

При передаче заданий на сканирование определяется текущий статус сканера:

• Свободен – сканер не обрабатывает объекты и в ответ на запрос может принять задание от приложения для обработки заданий на сканирование.
• Занят – сканер обрабатывает задание на сканирование. Новое задание от приложения для обработки заданий на сканирование помещается в очередь.

Очередь заданий на сканирование представляет собой совокупность заданий, переданных на сканирование в следующих случаях:

• при запуске сканирования реестров образов вручную;
• при автоматическом запуске сканирования реестров образов;
• при массовом сканировании объектов кластера.

Задания в очереди на сканирование получают следующие статусы:

• Ожидает – присваивается по умолчанию при создании задания.
• Выполняется – задание обрабатывается приложением для обработки заданий на сканирование.
• Обработка результатов – решение обрабатывает результаты сканирования задания для их отображения в интерфейсе.
• Ошибка – задание на сканирование не выполнено.
• Завершено – получен результат сканирования задания.

Задания на сканирование из очереди передаются в модуль для обработки заданий на сканирование в порядке их поступления. Затем задание на сканирование поступает в сканер со статусом Свободен и проверяется на наличие проблем безопасности. Результаты сканирования передаются обратно в модуль для обработки заданий на сканирование. Задание на сканирование считается завершенным, если получены результаты сканирования. Если сканирование задания на сканирование проводилось три и более раз, но результаты получены не были, задание на сканирование получает статус Ошибка.

При сканировании большого количества объемных объектов решение может медленнее предоставлять результаты сканирования в интерфейсе. Ожидание результатов может длиться несколько минут. В это время задания на сканирование отображаются в разделе Сканеры со статусом Обработка результатов.

Если вы хотите ускорить обработку результатов сканирования, вы можете увеличить количество ресурсов, направленных на обработку заданий на сканирование, с помощью обновления переменных в Helm Chart (подробнее см. Масштабирование).

При появлении ошибки решение показывает сообщение об ошибке, которое состоит из кода и текста сообщения (например, HNDL-004: scan time out).

Сообщения об ошибке отображаются на английском языке. Значения сообщений приводятся в примере ниже.

Пример возможных сообщений об ошибке при выполнении заданий на сканирование

После сканирования решение отображает результаты проверки. Если в объекте обнаружены угрозы, Kaspersky Security для контейнеров предлагает выполнить в отношении него одно из следующих действий:

• Удалить угрозу безопасности.
• Принять риск.

[Topic 296006]

Требования к паролям приложений сторонних производителей

В работе Kaspersky Security для контейнеров используются сервисы сторонних производителей. Это следующие компоненты решения, которые входят в комплект поставки:

• S3-совместимое файловое хранилище.
• СУБД ClickHouse.
• СУБД PostgreSQL.
• Многопоточное кеш-хранилище ключей и значений Memcached.

Параметры для установки этих компонентов определяются в конфигурационном файле values.yaml в пакете Helm Chart.

К паролям компонентов предъявляются следующие требования:

• Минимальная длина пароля – 8 знаков.
• Пароль не должен содержать специальные символы ' и ".

Пароли указываются в следующих переменных в конфигурационном файле:

• MINIO_ROOT_PASSWORD для S3-совместимого файлового хранилища.
• CLICKHOUSE_PASSWORD, CLICKHOUSE_WRITE_PASSWORD и CLICKHOUSE_READ_PASSWORD для ClickHouse.
• POSTGRES_PASSWORD для PostgreSQL.
• MEMCACHED_PASSWORD для кеш-хранилища Memcached.

[Topic 273082]

Типовые схемы развертывания

Для Kaspersky Security для контейнеров предусмотрены следующие схемы развертывания:

• Развертывание в открытом контуре корпоративной сети (разрешен доступ в интернет из кластера Kubernetes):
  • Образы, из которых разворачиваются компоненты Kaspersky Security для контейнеров, расположены в публичном репозитории.
  • После установки компоненты решения обращаются к базам уязвимостей, расположенным в интернете.
  • Обновление баз выполняется с помощью сервера обновлений "Лаборатории Касперского", доступного через интернет.

  Открытым контуром корпоративной сети может считаться закрытый контур корпоративной сети с доступом к серверам, включенным в список разрешенных серверов.

• Развертывание в закрытом контуре корпоративной сети (запрещен доступ в интернет из кластера Kubernetes):
  • Для размещения образов, из которых разворачиваются компоненты решения, используется внутренний репозиторий.
  • Дополнительно устанавливается компонент kcs-updates, который представляет собой специальный образ, содержащий необходимые для работы решения базы уязвимостей и стандарты безопасности.
  • После установки компоненты решения обращаются к базам уязвимостей и стандартам безопасности, расположенным в специальном образе kcs-updates внутри корпоративной сети.
  • Сервер обновлений, обеспечивающий обновление баз данных угроз, разворачивается в качестве отдельного компонента внутри корпоративной сети.

В закрытом контуре корпоративной сети также возможен сценарий развертывания с использованием прокси-сервера.

Мы не рекомендуем развертывать решение с конфигурацией кластерной инфраструктуры, при которой сетевое взаимодействие между хост-серверами (узлами) осуществляется в открытой сети Интернет. При использовании указанной конфигурации сетевое взаимодействие в кластере может подвергаться критическим рискам нарушения сетевой безопасности.

[Topic 291328]

Развертывание в открытом контуре корпоративной сети

При развертывании в открытом контуре корпоративной сети объектам Kaspersky Security для контейнеров разрешен доступ в интернет из кластера. Базы данных решения обновляются из внешних баз, содержащих обновления баз уязвимостей и вредоносного ПО.

Архитектура решения при развертывании в открытом контуре корпоративной сети

[Topic 291329]

Развертывание в закрытом контуре корпоративной сети

При развертывании в закрытом контуре корпоративной сети объектам Kaspersky Security для контейнеров запрещен доступ в интернет из кластера. Базы данных решения обновляются путем обновления образов сканера, который запускается из CI/CD, и сканера образов.

Архитектура решения при развертывании в закрытом контуре корпоративной сети

[Topic 292927]

Подготовка к установке решения

Перед установкой Kaspersky Security для контейнеров необходимо установить все обязательные для корпоративной сети сертификаты и настроить прокси-серверы.

Решение может развертываться в закрытом или открытом контуре корпоративной сети.

Перед установкой Kaspersky Security для контейнеров требуется обеспечить наличие следующих компонентов и доступов:

• Виртуальной или физической машины с доступом в интернет и к кластеру.
• Установленного менеджера пакетов Helm для упаковки, настройки и развертывания приложений и служб в кластерах.

  Kaspersky Security для контейнеров поддерживает Helm версии 3.10.0 или выше.

• Доступа в интернет для скачивания пакетов Helm Chart.
• Инструмента управления оркестратором, например, kubectl для Kubernetes или oc для Openshift.
• Доступа к кластеру с помощью файла kubeconfig.

  Для установки решения в закрытом контуре корпоративной сети также требуется настроить репозиторий для образов контейнеров, обращающийся к репозиторию производителя Kaspersky Security для контейнеров с учетными данными, предоставленными производителем решения.

[Topic 300052]

Подготовка к установке в закрытом контуре корпоративной сети

Чтобы подготовиться к установке решения в закрытом контуре корпоративной сети:

1. Подключите Helm-репозиторий производителя, где находится пакет Helm Chart.

   export CHART_URL="xxxxxx"

   export CHART_USERNAME="xxxxxx"

   export CHART_PASSWORD="xxxxxx"

   export VERSION="xxxxxx"

   Значения CHART_URL, CHART_USERNAME, CHART_PASSWORD, VERSION предоставляются производителем.

   Пример подключения репозитория с Helm Chart

   helm registry login \

   --username $CHART_USERNAME \

   --password $CHART_PASSWORD \

   $CHART_URL

   helm pull oci://$CHART_URL/charts/kcs --version $VERSION

   tar xvf kcs-$VERSION.tgz

2. Заполните файл с параметрами установки (values.yaml), который входит в комплект поставки решения, в соответствии с комментариями в этом файле.

   Мы не рекомендуем указывать данные учетных записей в файле values.yaml для использования при запуске пакета Helm Chart.

   Для управления секретами вы можете воспользоваться одним из следующих безопасных способов:

   • Использование CI/CD-систем. Секреты задаются с помощью защищенных переменных среды или встроенных механизмов управления секретами. При развертывании данные подставляются в Helm Chart динамически, их не требуется открыто указывать в конфигурационном файле values.yaml.
   • Интеграция с HashiCorp Vault. Helm Chart поддерживает интеграцию с хранилищем секретов HashiCorp Vault, в котором вы можете хранить секреты, а в values.yaml требуется указывать только пути к ним.

     Значения pull-secret для Docker Registry не могут полностью сохраняться в HashiCorp Vault. Мы рекомендуем указывать pull-secret вручную в разделе с параметрами кластера Kubernetes и ссылаться на него из Helm Chart.

   В файле values.yaml необходимо указать следующие основные параметры установки:

   • Название пространства имен.

     helm upgrade --install kcs . \

     --create-namespace \

     --namespace kcs \

     --values values.yaml \

   • Доменное имя Kaspersky Security для контейнеров для входящих соединений.

     --set default.domain="kcs.example.domain.ru" \

     При включенных сетевых политиках необходимо указать минимум одно пространство имен ингресс-контроллера кластера.

     --set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \

     По умолчанию сетевые политики включены.

   • Секреты компонентов решения.

     --set secret.infracreds.envs.POSTGRES_USER="user" \

     --set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \

     --set secret.infracreds.envs.MINIO_ROOT_USER="user" \

     --set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \

     --set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \

     --set secret.infracreds.envs.MCHD_USER="user" \

     --set-string secret.infracreds.envs.MCHD_PASS="pass" \

     Для обеспечения безопасности компонентам решения требуется использовать учетные данные, сгенерированные администратором системы самостоятельно в соответствии с корпоративными политиками безопасности. При развертывании целевого компонента в составе решения, указанные пользователь и пароль создаются автоматически. При использовании стороннего сервиса необходимо указать учетные данные пользователя и пароль, созданные администратором в этом стороннем сервисе.

   • Секреты доступа в репозиторий установки решения.

     --set pullSecret.kcs-pullsecret.username="user" \

     --set pullSecret.kcs-pullsecret.password="pass"

     Если вы планируете развертывание системы с использованием реестра "Лаборатории Касперского", необходимо указать учетные данные, переданные вам при покупке Kaspersky Security для контейнеров. Если вы планируете использовать частный реестр или прокси-реестр, требуется указать учетные данные вашего реестра.

   • Конфигурационные параметры хранилища секретов HashiCorp Vault:
     • enabled – флаг включения интеграции с хранилищем. Значение переменной vault.enabled = true указывает на то, что интеграция с HashiCorp Vault осуществлена, значения переменных окружения получаются из хранилища.
     • mountPath – путь до директории с секретами в хранилище.
     • role – роль, под которой будет осуществляться аутентификация в хранилище.

   Мы рекомендуем не менять состав основных параметров установки.

3. В случае использования внешней СУБД PostgresSQL, укажите следующее:

   --set default.postgresql.external="true"

   --set configmap.infraconfig.envs.postgres_host="<IP-адрес или FQDN СУБД PostgresSQL>"

   --set configmap.infraconfig.envs.postgres_port="<порт для подключения к СУБД PostgresSQL, по умолчанию используется порт 5432>"

   --set configmap.infraconfig.envs.postgres_db_name="<имя созданной администратором СУБД PostgresSQL базы данных, по умолчанию используется api>"

   Также у администратора СУБД PostgresSQL необходимо уточнить требования к проверке сертификатов сервера СУБД. Kaspersky Security для контейнеров поддерживает следующие режимы проверки:

   • --set configmap.infraconfig.envs.postgres_verify_level= "disable” – сертификат сервера не проверяется.
   • --set configmap.infraconfig.envs.postgres_verify_level= "require” – сертификат требуется, решение доверяет любому сертификату без дополнительных проверок.
   • --set configmap.infraconfig.envs.postgres_verify_level= "verify-ca” – сертификат требуется, решение проверяет, что сертификат выпущен доверенным удостоверяющим центром (англ. Certificate authority).
   • --set configmap.infraconfig.envs.postgres_verify_level= "verify-full” – сертификат требуется, решение проверяет, что сертификат выпущен доверенным удостоверяющим центром и содержит верный IP-адрес или FQDN.

   Если требуется проверять сертификат внешней СУБД PostgresSQL, выполните следующие действия:

   1. Загрузите открытую часть CA-сертификата в папку, в которой находится пакет Helm Chart, по маске certs/pgsql-ca.crt.
   2. Укажите параметр проверки --set configmap.infraconfig.envs.postgres_root_ca_path="/etc/ssl/certs/pgsql-ca.crt".
   3. Раскомментируйте блок secret.cert-pgsql-ca в конфигурационном файле values.yaml для создания секрета.
4. Сохраните файл с параметрами установки и переходите к установке решения.

[Topic 300053]

Требования к сертификатам

Для работы Kaspersky Security для контейнеров требуются SSL-сертификаты. Способ создания сертификатов при развертывании решения указывается в конфигурационном файле values.yaml в блоке default.certSource. Вы можете выбрать один из следующих способов создания сертификатов:

• helm – способ, при котором решение автоматически создает необходимые сертификаты (используется по умолчанию).
• vault – способ, который используется, если вы планируете интегрировать решение с внешним хранилищем HashiCorp Vault. Вам требуется сгенерировать все необходимые сертификаты и загрузить их в HashiCorp Vault.
• files – способ для создания сертификатов вручную, например, с использованием корпоративного удостоверяющего центра. Скрипты для создания сертификатов вручную хранятся в папке "certs/" пакета Helm Chart решения.

  Созданные сертификаты должны соответствовать ожидаемому имени сертификатов в файле values.yaml в блоке secret. При необходимости вы можете раскомментировать и переопределить ожидаемые имена файлов сертификатов в блоке secret.

К сертификатам предъявляются следующие требования:

• Длина ключа – 4096 бит RSA.
• В поле CN указывается под компонента, к которому привязан сертификат (kcs-licenses, kcs-middleware, kcs-mw-grpc, kcs-panel, kcs-postgres, kcs-scanner, kcs-scanner-api, kcs-updates, kcs-memcached, kcs-ab, kcs-s3, kcs-clicklickhouse, kcs-eb).

[Topic 276636]

Установка решения

Компоненты Kaspersky Security для контейнеров поставляются в виде образов в реестре производителя решения и развертываются в виде контейнеров.

Установка Платформы контейнерной безопасности Kaspersky Security для контейнеров состоит из следующих этапов:

1. Установка компонентов Модуль основной бизнес-логики и Сканер.
2. Первый запуск консоли управления.
3. Настройка групп агентов и развертывание агентов на контролируемых узлах кластеров.

После завершения установки нужно подготовить решение к работе:

• Настроить интеграцию с реестрами образов.
• Настроить интеграцию со средствами уведомлений.
• Настроить политики безопасности.
• Настроить профили среды выполнения контейнеров.
• Настроить параметры компонента Защита от файловых угроз.
• Настроить интеграцию с модулями проверки подписей образов.
• Настроить интеграцию с CI/CD.
• Настроить учетные записи пользователей, роли и области применения.
• Настроить интеграцию с LDAP-сервером.

[Topic 292077]

Установка модуля основной бизнес-логики и сканера

Перед установкой решения необходимо проверить целостность данных в подготовленном пакете Helm Chart.

Чтобы проверить целостность данных:

1. Скачайте архив с подготовленным пакетом Helm Chart и файл хеша и перейдите в эту директорию.
2. Выполните команду:

   sha256sum -c kcs-2.0.0.tgz.sha

   Целостность данных подтверждается, если отображается следующее сообщение:

   kcs-2.0.0.tgz: OK

Перед началом установки (в том числе в AWS EKS или Microsoft Azure) обратите внимание на параметры storageClass и ingressClass в блоках конфигурационного файла default и ingress.kcs. Эти параметры указываются для кластера и при необходимости их требуется изменить в соответствии с вашей инфраструктурой. Например, для Azure используется следующий вариант:

default:
  storageClass: azurefile
  networkPolicies:
    ingressControllerNamespaces:
      - app-routing-system

ingress:
  kcs:
    ingressClass: webapprouting.kubernetes.azure.com

Чтобы выполнить установку модуля основной бизнес-логики и сканера Kaspersky Security для контейнеров,

после подготовки конфигурационного файла запустите установку решения:

cd kcs/

helm upgrade --install kcs . \

--create-namespace \

--namespace kcs \

--values values.yaml \

--set default.domain="example.com" \

--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \

--set secret.infracreds.envs.POSTGRES_USER="user" \

--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \

--set secret.infracreds.envs.MINIO_ROOT_USER="user" \

--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \

--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \

--set secret.infracreds.envs.MCHD_USER="user" \

--set-string secret.infracreds.envs.MCHD_PASS="pass" \

--set pullSecret.kcs-pullsecret.username="user" \

--set-string pullSecret.kcs-pullsecret.password="pass"

В результате установки будут развернуты компоненты решения.

Также при установке модуля основной бизнес-логики и сканера Kaspersky Security для контейнеров настраивается возможность безопасной передачи паролей, токенов и секретов. Для этого используется хранилище HashiCorp Vault, значения параметров которого указываются в файле values.yaml и разворачиваются при запуске пакета Helm Chart.

После выполнения установки в командной оболочке останется запись о выполнении команды по установке решения. Вы можете открыть файл с историей команд и удалить эту запись или перед выполнением установки запретить запись истории команд в командной оболочке.

Панель управления будет доступна по адресу, указанному в подсекции envs раздела переменных окружения для создания объекта ConfigMap для параметра API_URL:

http://${DOMAIN}

[Topic 250380]

Запуск консоли управления

Чтобы запустить консоль управления Kaspersky Security для контейнеров:

1. В браузере перейдите по адресу, заданному для консоли управления при установке Сервера.

   Откроется страница авторизации.

2. Введите имя и пароль учетной записи, нажмите на кнопку Войти.

   При установке решения задается одинаковое значение имени и пароля учетной записи – admin. После запуска консоли управления вы можете изменить имя и пароль учетной записи.

   В случае трех неправильных попыток ввода пароля пользователь временно блокируется. По умолчанию период блокировки составляет 1 минуту.

3. По запросу измените текущий пароль учетной записи: укажите новый пароль, подтвердите его и нажмите на кнопку Изменить.

   К паролю предъявляются следующие требования:

   • Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
   • Минимальная длина пароля – 6 знаков, максимальная – 72 знака.

Откроется главная страница консоли управления.

По умолчанию сеанс работы зарегистрированного пользователя в консоли составляет 9 часов. В разделе Параметры → Параметры подключения вы можете задать свою продолжительность сеанса работы от минимум 1 часа до максимум 168 часов. По истечению установленного времени сеанс работы в консоли завершается.

Вы можете изменить параметры подключения в разделе Параметры → Параметры подключения.

[Topic 255780]

Просмотр и принятие Лицензионного соглашения

При первом запуске консоли управления в браузере Kaspersky Security для контейнеров предлагает вам ознакомиться с Лицензионным соглашением, которое заключается между вами и АО "Лаборатория Касперского". Для продолжения работы с решением требуется подтвердить, что вы полностью прочитали и принимаете условия Лицензионного соглашения Kaspersky Security для контейнеров.

Чтобы подтвердить принятие условий Лицензионного соглашения,

в нижней части окна с текстом Лицензионного соглашения нажмите на кнопку Принять.

Откроется страница авторизации для запуска консоли управления.

После установки новой версии решения необходимо повторно принять Лицензионное соглашение.

[Topic 266166]

Проверка функционирования решения

После установки Kaspersky Security для контейнеров и запуска консоли управления вы можете убедиться, что решение выявляет проблемы безопасности и обеспечивает защиту контейнеризированных объектов.

Чтобы проверить работоспособность Kaspersky Security для контейнеров:

1. Активируйте решение с помощью кода активации или файла ключа.
2. Настройте интеграцию с реестром образов. Для проверки работоспособности достаточно интеграции с одним реестром.
3. При необходимости настройте параметры политики сканирования, которая по умолчанию создается после установки решения.
4. Добавьте образ на сканирование и убедитесь, что задание на сканирование отправлено на обработку.
5. После окончания сканирования перейдите на страницу с подробной информацией о результатах сканирования образа.

Проведение сканирования образа и получение действительных результатов подтверждают правильное функционирование Kaspersky Security для контейнеров. После этого можно переходить к дальнейшей настройке параметров решения.

[Topic 294539]

Развертывание агентов

Агенты должны быть установлены на всех узлах кластера, который вы хотите защищать.

На каждый кластер устанавливается отдельная группа агентов.

Чтобы развернуть агенты в кластере:

1. В главном меню перейдите в раздел Компоненты → Агенты.
2. В рабочей области нажмите на кнопку Добавить группу агентов.
3. На вкладке Общая информация выполните следующие действия:
   1. Заполните поля формы:
      • Введите название группы. В качестве названия группы для удобства управления агентами рекомендуется указывать имя кластера, на узлах которого будут развернуты агенты.
      • Если требуется, введите описание группы агентов.
      • Выберите используемый оркестратор.
      • Укажите название пространства имен.
   2. В блоке Реестр введите веб-адрес реестра, где находятся образы, с которых производится установка агентов. Для доступа к реестру требуется указать имя пользователя и пароль, которые используются для этого реестра.
   3. В блоке Связанная SIEM-система из раскрывающегося списка выберите SIEM-систему.

      Для связывания группы агентов в Kaspersky Security для контейнеров необходимо создать и настроить хотя бы одну интеграцию с SIEM-системой.
      Одну группу агентов можно связать только с одной SIEM-системой.

      Для каждой интеграции с SIEM-системой в раскрывающемся списке указывается статус ее подключения – Успешно, С предупреждением или Ошибка.

4. На вкладке Мониторинг состояния узлов с помощью переключателя Выключить / Включить запустите действия по мониторингу и анализу состояния сети, процессов в контейнерах и защиты от файловых угроз для следующих параметров:
   • Мониторинг сетевых соединений. Состояние сетевых соединений отслеживается с помощью устройств для фиксации сетевого трафика (сетевых мониторов) и модулей на базе технологии eBPF. При этом учитываются применимые политики среды выполнения и профили среды выполнения контейнеров.
   • Мониторинг процессов в контейнерах. Процессы в контейнерах отслеживаются с помощью модулей на базе технологии eBPF, учитывая применимые политики среды выполнения и профили среды выполнения контейнеров.
   • Защита от файловых угроз. Для отслеживания обновлений антивирусных баз необходимо указать одно из следующих значений:
     • URL инструмента обновлений антивирусных баз – веб-адрес сервера обновлений Kaspersky Security для контейнеров.
     • Прокси-сервер обновлений антивирусных баз – прокси-сервер HTTP для облачного или локального сервера обновлений.

     Если для обновления антивирусных баз используется контейнер kcs-updates, URL инструмента обновлений антивирусных баз требуется указать следующим образом: <домен>/kuu/updates (например, https://kcs.company.com/kuu/updates).

     По умолчанию базы данных компонента Защита от файловых угроз обновляются с помощью облачных серверов "Лаборатории Касперского".

   • Файловые операции. Решение отслеживает файловые операции с помощью модулей на базе технологии eBPF, учитывая применимые политики среды выполнения и профили среды выполнения контейнеров.

     Вне зависимости от режима, указанного в политике среды выполнения, для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

   Ненужные действия в рамках процесса мониторинга можно выключить, чтобы избежать нецелесообразной нагрузки на узлы.

5. Нажмите на кнопку Сохранить.

В рабочей области на вкладке Данные для развертывания агентов отобразятся следующие данные, необходимые для развертывания агентов на кластере:

• Автоматически сгенерированный токен для развертывания – это идентификатор, который будет использовать агент при подключении к серверу. Вы можете скопировать токен, нажав на значок копирования () рядом с полем Токен для развертывания.
• Инструкция для развертывания агентов на кластере. Вы можете скопировать инструкцию из поля Конфигурация, нажав на значок копирования (), или загрузить ее в виде файла в формате .YAML.

  С помощью этой инструкции вы можете развернуть агенты на кластере. Например:

  kubectl apply -f <файл> -n <пространство имен>

  После применения инструкции агент будет развернут на всех рабочих узлах кластера.

Решение автоматически обновляет инструкцию для развертывания агентов, если вы изменяете следующие параметры:

• TLS-сертификаты решения;
• URL, имя пользователя и пароль для скачивания образов агентов kube-agent и node-agent;
• cвязанную SIEM-систему;
• параметры в блоке Мониторинг состояния узлов.

Необходимо повторно скопировать или загрузить обновленную инструкцию в виде файла в формате .YAML, а затем применить ее с помощью команды kubectl apply -f <файл> -n <пространство имен>. Если этого не сделать, изменения указанных параметров для развернутых агентов не будут применены.

[Topic 283087]

Просмотр и изменение групп агентов

В разделе Компоненты → Агенты в таблице отображаются созданные и развернутые группы агентов. Для каждой из таких групп представлена следующая информация:

• Название группы агентов.
• Количество подключенных агентов в группе.
• Оркестратор.
• Включенные действия по мониторингу состояния узлов.
• Связанная SIEM-система.

Вы можете настроить отображение групп агентов по статусу подключения агентов (Все, Подключен, Отключен, Ожидает) с помощью соответствующих кнопок, расположенных над таблицей.

Нажав на значок развертывания (), каждую группу агентов в таблице можно развернуть, чтобы посмотреть следующую информацию по агентам в ее составе:

• Название агента и статус его подключения.
• Версия узла, на котором развернут агент (главный или рабочий узел).
• Имя пода, с которым связан агент.
• Действия по мониторингу состояния узлов (Процессы в контейнерах, Сетевые соединения, Защита от файловых угроз и Файловые операции).
• Статус подключения к SIEM-системе.
• Дата и время последнего подключения агента.

По ссылке на названии агента вы можете раскрыть боковую панель, чтобы посмотреть информацию о состоянии агента.

Чтобы изменить параметры группы агентов:

1. В разделе Компоненты → Агенты в таблице со списком групп агентов нажмите на ссылку на названии группы агентов.
2. В открывшемся окне измените параметры группы.
3. Нажмите на кнопку Сохранить.

[Topic 293087]

Конфигурация работы через прокси-сервер

В версии 2.0 Kaspersky Security для контейнеров предоставляет возможность проксирования запросов из закрытых контуров корпоративной сети во внешнюю информационную среду. Настройка параметров, обеспечивающих взаимодействие через прокси-сервер, осуществляется с помощью следующих переменных окружения в пакете Helm Chart, который входит в комплект поставки решения:

• HTTP_PROXY – прокси-сервер для запросов по протоколу HTTP.
• HTTPS_PROXY – прокси-сервер для запросов по протоколу HTTPS.
• NO_PROXY – переменная, в которой указываются домены или соответствующие им маски для исключения из проксирования.

  Если используется HTTP_PROXY или HTTPS_PROXY, то переменная NO_PROXY формируется в пакете Helm Chart автоматически, в ней указываются все применяемые решением компоненты.

  Вы можете изменить переменную NO_PROXY, если вам требуется указать домены и маски инфраструктуры для работы Kaspersky Security для контейнеров, чтобы исключить их из проксирования.

• SCANNER_PROXY – специализированная переменная для указания прокси-сервера, на который направляются запросы сканера компонента Защита от файловых угроз к серверам "Лаборатории Касперского" для актуализации баз данных.
• LICENSE_PROXY – специализированная переменная для указания прокси-сервера, на который направляются запросы модуля kcs-licenses к серверам "Лаборатории Касперского" для проверки и актуализации информации о действующей лицензии.

В зависимости от поддерживаемых вашим прокси-сервером масок доменных имен для указания серверов "Лаборатории Касперского" в списках разрешений прокси-серверов требуется использовать следующие маски: *.kaspersky.com или .kaspersky.com, *.kaspersky-labs.com или .kaspersky-labs.com. Для доступа к этим прокси-серверам необходимо открыть порт 80.

Параметры прокси серверов поддерживают указание с помощью IP-адреса или FQDN.

Необходимо экранировать спецсимволы.

В таблице ниже представлены компоненты Kaspersky Security для контейнеров, которые могут использовать переменные окружения, а также указаны цели использования таких переменных окружения.

Использование переменных окружения компонентами Kaspersky Security для контейнеров

Вы можете настроить работу агентов с помощью прокси-сервера, и прокси-сервер будет пропускать запросы на адрес установки Kaspersky Security для контейнеров.

Чтобы настроить работу агентов с помощью прокси-сервера:

1. В разделе Компоненты → Агенты в таблице со списком групп агентов нажмите на ссылку на названии группы агентов.
2. В открывшемся окне перейдите на вкладку Мониторинг состояния узлов и выполните следующие действия:
   • Убедитесь, что компонент Защита от файловых угроз активирован с помощью переключателя Выключить / Включить.
   • В блоке Защита от файловых угроз в значении параметра Прокси-сервер обновлений антивирусных баз укажите прокси-сервер.
   • Нажмите на кнопку Сохранить.
3. Перейдите на вкладку Данные для развертывания агентов.
4. Скопируйте или загрузите обновленную инструкцию для развертывания агентов в виде файла в формате .YAML, а затем примените ее с помощью команды kubectl apply -f <файл> -n <пространство имен>.
5. Настройте переменные окружения HTTP_PROXY, HTTPS_PROXY или NO_PROXY в объектах Deployment и DaemonSet агентов.

[Topic 298985]

Подключение к внешним ресурсам для хранения данных

Кроме компонентов Kaspersky Security для контейнеров, которые входят в комплект поставки, решение может также работать со следующими внешними ресурсами для хранения данных:

• база данных PostgreSQL;
• СУБД ClickHouse;
• s3-совместимое файловое хранилище MinIO.

Настройка параметров подключения к внешним ресурсам для хранения данных осуществляется с помощью конфигурационного файла values.yaml.

[Topic 292954]

Создание пользователя для внешней базы данных PostgreSQL

При работе с Kaspersky Security для контейнеров вы можете использовать базы данных PostgreSQL в составе решения или собственные базы данных PostgreSQL. Для установки внешней базы данных PostgreSQL, которая не работает со схемой Kaspersky Security для контейнеров, требуется создать отдельного пользователя. Вы можете сделать это с помощью установки пакета Helm Chart с заданными параметрами схемы для внешней базы данных PostgreSQL.

Чтобы создать пользователя с индивидуальной схемой для внешней базы данных PostgreSQL:

1. Выполните следующую команду для создания отдельного пространства имен для внешней базы данных PostgreSQL:

   kubectl create ns kcspg

   где kcspg – пространство имен для внешней базы данных PostgreSQL.

2. Выполните следующие действия для развертывания внешней базы данных PostgreSQL:
   1. Укажите параметры для развертывания внешней базы данных PostgreSQL в конфигурационном файле pg.yaml.

      Параметры для развертывания внешней базы данных PostgreSQL

      apiVersion: apps/v1

      kind: Deployment

      metadata:

      annotations:

      deployment.kubernetes.io/revision: "1"

      labels:

      app: postgres

      component: postgres

      name: postgres

      namespace: kcspg

      spec:

      replicas: 1

      selector:

      matchLabels:

      app: postgres

      component: postgres

      strategy:

      type: Recreate

      template:

      metadata:

      creationTimestamp: null

      labels:

      app: postgres

      component: postgres

      spec:

      containers:

      - name: postgres

      image: postgres:13-alpine

      ports:

      - containerPort: 5432

      env:

      - name: POSTGRES_DB

      value: api

      - name: POSTGRES_USER

      value: postgres

      - name: POSTGRES_PASSWORD

      value: postgres

      volumeMounts:

      - mountPath: "/var/lib/postgresql/data"

      name: "pgdata"

      imagePullSecrets:

      - name: ci-creds

      volumes:

      - hostPath:

      path: "/home/docker/pgdata"

      name: pgdata

      В параметрах задается пароль к базе данных. Этот пароль затем требуется указать в разделе infraconfig конфигурационного файла values.yaml, который входит в состав пакета Helm Chart в комплекте поставки решения.

   2. Выполните следующую команду:

      kubectl apply -f pg.yaml -n kcspg

   Название этой внешней базы данных формируется следующим образом:

   <имя_пода>.<название пространства имен>.<сервис>.cluster.local

   Например, postgres.kcspg.svc.cluster.local

3. Выполните следующие действия для развертывания объекта Service в кластере:
   1. Укажите параметры для развертывания объекта Service в конфигурационном файле svc.yaml.

      Параметры для развертывания объекта Service в кластере

      apiVersion: v1

      kind: Service

      metadata:

      name: postgres

      spec:

      type: ClusterIP

      selector:

      component: postgres

      ports:

      - port: 5432

      targetPort: 5432

   2. Выполните следующую команду:

      kubectl apply -f svc.yaml -n kcspg

4. Выполните следующие действия для создания пользователя, применяемой схемы и связи пользователя и схемы:
   1. С помощью развернутого в п.2b элемента postgres зайдите в под.
   2. Запустите интерактивный терминал psql с помощью следующей команды:

      psql -h localhost -U postgres -d api

   3. Выполните следующие команды:

      CREATE ROLE kks LOGIN PASSWORD 'kks' NOINHERIT CREATEDB;

      CREATE SCHEMA kks AUTHORIZATION kks;

      GRANT USAGE ON SCHEMA kks TO PUBLIC;

5. В конфигурационном файле values.yaml укажите параметры для использования внешней базы PostgreSQL.

   Параметры в файле values.yaml

   default:

   postgresql:

   external: true

   configmap:

   infraconfig:

   type: fromEnvs

   envs:

   POSTGRES_HOST: postgres.kcspg.svc.cluster.local

   POSTGRES_PORT: 5432

   POSTGRES_DB_NAME: api

   secret:

   infracreds:

   type: fromEnvs

   envs:

   POSTGRES_USER: kks

   POSTGRES_PASSWORD: kks

   Значения параметров, указанных в values.yaml, должны совпадать со значениями сходных параметров в конфигурационных файлах pg.yaml и svc.yaml.

6. Запустите обновление решения.

   Пример выполнения команд для создания пользователя с внешней базой данных PostgreSQL

   export KUBECONFIG=/root/.kube/config

   export CHART_URL=repo.kcs.kaspersky.com

   export CHART_USERNAME=<CHART_USERNAME>

   export CHART_PASSWORD=<CHART_PASSWORD>

   export VERSION=2.0.0

   export KCS_HOSTNAME=kcs.apps.aws.ext.company.com

   export IMAGE_URL=company.gitlab.examplecloud.com:5050

   export IMAGE_USERNAME=<repo_user>

   export IMAGE_PASSWORD=<repo_pass>

   cd /tmp

   helm registry login --username $IMAGE_USERNAME --password $IMAGE_PASSWORD company.gitlab.examplecloud.com:5050/company/kcs/chart

   helm pull oci://company.gitlab.examplecloud.com:5050/company/kcs/chart/kcs --version $VERSION

   tar -xf kcs*.tgz -C /tmp

   cp -rf /tmp/values.yaml /tmp/kcs

   cd /tmp/kcs

   helm upgrade --install kcs-release --create-namespace --namespace kcs --values values.yaml --version $VERSION --timeout 30m --wait --debug .

[Topic 298717]

Использование внешней СУБД ClickHouse

Кроме СУБД ClickHouse, которая является компонентом Kaspersky Security для контейнеров и входит в комплект поставки, решение может также работать с ресурсами внешней СУБД ClickHouse. Для этого необходимо выполнить следующее:

• Создать базу данных для Kaspersky Security для контейнеров, добавить и настроить пользователей, а также определить политику работы с дисками, если разные диски используются для долгосрочного и краткосрочного хранения данных.
• Указать необходимые значения переменных в конфигурационном файле values.yaml для внешней СУБД ClickHouse.

[Topic 298742]

Создание базы данных для Kaspersky Security для контейнеров

Чтобы создать базу данных для Kaspersky Security для контейнеров,

в ClickHouse на рабочей станции выполните команду:

CREATE DATABASE IF NOT EXISTS kcs

где kcs – имя базы данных для Kaspersky Security для контейнеров.

Чтобы настроить параметры созданной базы данных для Kaspersky Security для контейнеров:

1. Добавьте пользователей и определите способ их авторизации. Для этого выполните следующие шаги:
   1. Добавьте следующих пользователей:
      • пользователя с правами на чтение данных, полученных ядром Kaspersky Security для контейнеров (англ. reader).

        <roles>

        <kcs_reader_role>

        <grants>

        <query>GRANT SELECT ON kcs.*</query>

        </grants>

        </kcs_reader_role>

      • пользователя с правами на запись данных из запросов от внешних агентов (англ. writer).

        <roles>

        <kcs_writer_role>

        <grants>

        <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

        <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

        </grants>

        </kcs_writer_role>

   2. Определите способ авторизации пользователей: с помощью пароля или сертификата.

      Пример настройки пользователей с авторизацией с помощью пароля

      <clickhouse>

      ...

      <kcsuser-write>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <password>*********</password>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

      Пример настройки пользователей с авторизацией с помощью сертификата

      <clickhouse>

      ...

      <kcsuser-write>

      <ssl_certificates>

      <common_name>kcsuser-write</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_writer_role</query>

      </grants>

      </kcsuser-write>

      <kcsuser-read>

      <ssl_certificates>

      <common_name>kcsuser-read</common_name>

      </ssl_certificates>

      <networks>

      <ip>::/0</ip>

      </networks>

      ...

      <grants>

      <query>GRANT kcs_reader_role</query>

      </grants>

      </kcsuser-read>

      ...

      <roles>

      <kcs_reader_role>

      <grants>

      <query>GRANT SELECT ON kcs.*</query>

      </grants>

      </kcs_reader_role>

      <kcs_writer_role>

      <grants>

      <query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>

      <query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>

      </grants>

      </kcs_writer_role>

      ...

      </roles>

      ...

      </clickhouse>

2. Определите диски для краткосрочного и долгосрочного хранения данных. При работе с ClickHouse Kaspersky Security для контейнеров может сохранять большой объем данных с разными сроками хранения. По умолчанию основной объем событий хранится максимум 30 минут, а информация об инцидентах сохраняется до 90 дней. Поскольку для записи событий требуется много ресурсов, обеспечивающих высокую скорость записи и выделение места хранения, рекомендуется использовать разные диски для размещения данных на краткосрочное и долгосрочное хранение.

   Пример настройки параметров хранения данных

   <clickhouse>

   ...

   <storage_configuration>

   <disks>

   <kcs_disk_hot>

   <path>/etc/clickhouse/hot/</path>

   </kcs_disk_hot>

   <kcs_disk_cold>

   <path>/etc/clickhouse/cold/</path>

   </kcs_disk_cold>

   </disks>

   <policies>

   <kcs_default>

   <volumes>

   <default>

   <disk>kcs_disk_hot</disk>

   </default>

   <cold>

   <disk>kcs_disk_cold</disk>

   </cold>

   </volumes>

   </kcs_default>

   </policies>

   </storage_configuration>

   ...

   </clickhouse>

[Topic 298743]

Настройка параметров внешней СУБД ClickHouse

Чтобы настроить параметры Kaspersky Security для контейнеров для использования внешней СУБД ClickHouse:

1. В конфигурационном файле values.yaml укажите, что решение использует внешнюю СУБД ClickHouse:

   default:

   kcs-clickhouse:

   external: true

2. Укажите значения переменных для использования внешней СУБД ClickHouse:

   configmap:

   infraconfig:

   type: fromEnvs

   envs:

   ...<переменные для использования внешней СУБД ClickHouse>

   В этом разделе необходимо указать следующие переменные:

   • EXT_CLICKHOUSE_PROTOCOL – протокол подключения к внешней СУБД ClickHouse.
   • EXT_CLICKHOUSE_HOST – хост подключения к внешней СУБД ClickHouse.
   • EXT_CLICKHOUSE_PORT – порт для подключения к внешней СУБД ClickHouse.
   • EXT_CLICKHOUSE_DB_NAME – имя базы данных, подготовленной для использования с Kaspersky Security для контейнеров.
   • EXT_CLICKHOUSE_COLD_STORAGE_NAME – имя диска, на котором ClickHouse будет долгосрочно хранить данные об инцидентах.
   • EXT_CLICKHOUSE_STORAGE_POLICY_NAME – название политики хранения данных, согласно которой ClickHouse будет переносить данные об инцидентах на диск для долгосрочного хранения.

     Если используется один диск для краткосрочного и долгосрочного хранения данных значения EXT_CLICKHOUSE_COLD_STORAGE_NAME и EXT_CLICKHOUSE_STORAGE_POLICY_NAME не указываются.

   • EXT_CLICKHOUSE_SSL_AUTH – переменная для авторизации пользователей ClickHouse с использованием ssl. Если указано значение true, авторизация осуществляется с использованием клиентских сертификатов и без паролей.

     Если переменная TLS_INTERNAL имеет значение false, значение EXT_CLICKHOUSE_SSL_AUTH также должно быть false.

   • EXT_CLICKHOUSE_ROOT_CA_PATH – путь до CA-сертификата, который указывается в случае использования протокола https (EXT_CLICKHOUSE_PROTOCOL: https) для подключения к ClickHouse. Вы можете указать путь одним из следующих способов:
     • Разместить CA-сертификат ClickHouse по указанному пути. В этом случае нужно раскомментировать блок secret.cert-kcs-clickhouse-ca.
     • Использовать Vault для хранения данных сертификата. В этом случае нужно раскомментировать блок cert-kcs-clickhouse-ca в разделе vault.certificate.
3. Укажите значения секретов для использования внешней СУБД ClickHouse:

   configmap:

   secret:

   infracreds:

   type: fromEnvs

   envs:

   ...<секреты для использования внешней СУБД ClickHouse>

   В этом разделе необходимо указать следующее:

   • EXT_CLICKHOUSE_WRITE_USER – имя пользователя с правами на запись, подготовленного для использования с Kaspersky Security для контейнеров.
   • CLICKHOUSE_WRITE_PASSWORD – пароль пользователя с правами на запись, подготовленного для использования с Kaspersky Security для контейнеров.
   • EXT_CLICKHOUSE_READ_USER – имя пользователя с правами на чтение, подготовленного для использования с Kaspersky Security для контейнеров.
   • CLICKHOUSE_READ_PASSWORD – пароль пользователя с правами на чтение, подготовленного для использования с Kaspersky Security для контейнеров.

     CLICKHOUSE_READ_PASSWORD и CLICKHOUSE_WRITE_PASSWORD не используются, если для переменной EXT_CLICKHOUSE_SSL_AUTH указано значении true.

   Имена пользователей и пароли к ним также можно указать с помощью хранилища секретов Vault.

   Пример настройки параметров внешней СУБД ClickHouse

   kcs-clickhouse:

   external: true

   persistent: true

   ...

   configmap:

   infraconfig:

   type: fromEnvs

   envs:

   ...

   EXT_CLICKHOUSE_PROTOCOL: https

   EXT_CLICKHOUSE_HOST: clickhouse.ns.svc.cluster.local

   EXT_CLICKHOUSE_PORT: 8443

   EXT_CLICKHOUSE_DB_NAME: kcs

   EXT_CLICKHOUSE_COLD_STORAGE_NAME: cold

   EXT_CLICKHOUSE_STORAGE_POLICY_NAME: kcs_default

   EXT_CLICKHOUSE_SSL_AUTH: false

   EXT_CLICKHOUSE_ROOT_CA_PATH: /etc/ssl/certs/kcs-clickhouse-ca.crt

   ...

   secret:

   ...

   infracreds:

   type: fromEnvs

   envs:

   ...

   EXT_CLICKHOUSE_WRITE_USER: kcsuser-write

   EXT_CLICKHOUSE_READ_USER: kcsuser-read

   CLICKHOUSE_WRITE_PASSWORD: **************

   CLICKHOUSE_READ_PASSWORD: ***********

   ...

   При использовании Vault:

   vault:

   ...

   secret:

   type: managedByVault

   ...

   EXT_CLICKHOUSE_WRITE_USER: kv/secret/kcs/clickhouse@EXT_CLICKHOUSE_WRITE_USER

   EXT_CLICKHOUSE_READ_USER: kv/secret/kcs/clickhouse@EXT_CLICKHOUSE_READ_USER

   CLICKHOUSE_WRITE_PASSWORD: kv/secret/kcs/clickhouse@CLICKHOUSE_WRITE_PASSWORD

   CLICKHOUSE_READ_PASSWORD: kv/secret/kcs/clickhouse@CLICKHOUSE_READ_PASSWORD

   ...

[Topic 298749]

Настройка параметров внешнего хранилища MinIO

Чтобы настроить параметры Kaspersky Security для контейнеров для использования внешнего s3-совместимого файлового хранилища MinIO:

1. В конфигурационном файле values.yaml укажите, что решение использует внешнее хранилище MinIO:

   default:

   kcs-s3:

   external: true

2. Укажите значения переменных для использования MinIO:

   configmap:

   infraconfig:

   type: fromEnvs

   envs:

   ...<переменные для использования внешнего хранилища MinIO>

   В этом разделе необходимо указать следующие переменные:

   • MINIO_HOST – хост для подключения к MinIO.
   • MINIO_PORT – порт для подключения к MinIO.
   • MINIO_BUCKET_NAME – имя раздела в MinIO, выделенного для хранения данных Kaspersky Security для контейнеров.
   • MINIO_SSL – переменная для подключения к MinIO с использованием ssl (в том числе с помощью протокола https).

     Если переменная TLS_INTERNAL имеет значение false, значение MINIO_SSL также должно быть false.

   • MINIO_ROOT_CA_PATH – путь до CA-сертификата, который указывается в случае использования протокола https (MINIO_SSL: true) для подключения к MinIO. Вы можете указать путь одним из следующих способов:
     • Разместить CA-сертификат MinIO по указанному пути. В этом случае нужно раскомментировать блок secret.cert-minio-ca.
     • Использовать Vault для хранения данных сертификата. В этом случае нужно раскомментировать блок cert-minio-ca в разделе vault.certificate.
3. Укажите значения секретов для использования внешнего хранилища MinIO:

   configmap:

   secret:

   infracreds:

   type: fromEnvs

   envs:

   ...<секреты для использования внешнего хранилища MinIO>

   В этом разделе необходимо указать следующее:

   • MINIO_ROOT_USER - имя пользователя MinIO, выделенного для Kaspersky Security для контейнеров.
   • MINIO_ROOT_PASSWORD - пароль пользователя MinIO, выделенного для Kaspersky Security для контейнеров.

   Имена пользователей и пароли к ним также можно указать с помощью хранилища секретов Vault.

   Пример настройки параметров внешнего файлового хранилища MinIO

   kcs-s3:

   enabled: true

   external: true

   ...

   configmap:

   infraconfig:

   type: fromEnvs

   envs:

   ...

   MINIO_HOST: kcs-s3

   MINIO_PORT: 9000

   MINIO_BUCKET_NAME: reports

   MINIO_SSL: true

   MINIO_ROOT_CA_PATH: /etc/ssl/certs/minio-ca.crt

   ...

   secret:

   ...

   infracreds:

   type: fromEnvs

   envs:

   ...

   MINIO_ROOT_USER: kcs_user

   MINIO_ROOT_PASSWORD: ********

   ...

   При использовании Vault:

   vault:

   ...

   secret:

   type: managedByVault

   ...

   MINIO_ROOT_USER: kv/test/minio@MINIO_ROOT_USER

   MINIO_ROOT_PASSWORD: kv/test/minio@MINIO_ROOT_PASSWORD

[Topic 298784]

Установка закрытых исправлений

Ввиду особенностей различных корпоративных сетей, в которых развертывается Kaspersky Security для контейнеров, иногда возникает необходимость установки закрытых исправлений для решения. Закрытое исправление представляет собой один или несколько индивидуально подготовленных Docker-образов. Такие исправления не публикуются на официальном источнике образов "Лаборатории Касперского", а передаются непосредственно компании-покупателю для размещения в корпоративном реестре образов.

Чтобы разместить полученный Docker-образ в реестре образов:

1. Сохраните архив с Docker-образом в выбранной директории.
2. Выполните команду docker load -i <имя_архива>.
3. Выполните команду docker tag <имя хеша, полученного в шаге 2> <реестр заказчика/<компонент>:fix>.
4. Выполните команду docker push <реестр заказчика/<компонент>:fix>.
5. В зависимости от компонента, для которого устанавливается исправление, замените тег образа с <компонент>:2.0 на <реестр заказчика/<компонент>:fix> в одном из следующих конфигурационных файлов:
   • В YAML-файле с инструкцией для развертывания агентов на кластере, если исправление устанавливается для агентов (node-agent и kube-agent). Например, node-agent:2.0 требуется изменить на <реестр заказчика/node-agent:fix>.
   • В файле values.yaml, если исправление устанавливается для компонентов ядра решения. Например, kcs-ih:2.0 требуется изменить на <реестр заказчика/kcs-ih:fix>

[Topic 276671]

Удаление решения

Чтобы удалить модуль основной бизнес-логики Kaspersky Security для контейнеров, выполните одно из следующих действий:

• На рабочей станции с установленным менеджером пакетов Helm, доступом к целевому кластеру и пространству имен, в которое установлено решение, выполните команду:

  helm uninstall kcs

  Менеджер пакетов Helm не удаляет объекты PVC, PV и секреты. Вам нужно удалить их вручную с помощью команд:

  kubectl delete pvc <имя PVC>

  kubectl delete secret <имя секрета>

  kubectl delete pv <имя PV>

• Если решение установлено в отдельное пространство имен, выполните команду:

  kubectl delete ns <пространство имен>

Чтобы удалить агента Kaspersky Security для контейнеров,

на узле кластера, где установлен агент, выполните команду:

kubectl delete -f <файл> -n kcs

где <файл> – имя YAML-файла с конфигурацией, который использовался для развертывания агента.

Если вы удалили всех агентов на узлах какого-либо кластера, рекомендуется удалить группу, в которую входили эти агенты.

Чтобы удалить группу агентов:

1. В главном меню Kaspersky Security для контейнеров перейдите в раздел Компоненты → Агенты.
2. В строке с названием группы агентов, которую вы хотите удалить, нажмите на значок удаления ().
3. Подтвердите удаление в открывшемся окне.

[Topic 292946]

Обновление решения

Вы можете обновить Kaspersky Security для контейнеров 1.2.х до версии Kaspersky Security для контейнеров 2.0.

Обновление решения не приводит к потере данных.

Перед началом обновления решения вам нужно выполнить следующие действия:

• Удалить объект StatefulSet для СlickHouse с помощью команды:

  kubectl delete statefulset/kcs-clickHouse -n kcs

• Удалить объект PVC для СlickHouse с помощью команды:

  kubectl delete pvc/pvc-clickhouse-kcs-clickhouse-0 -n kcs

• Если у вас установлена версия решения, в которой используется компонент kcs-nats, и он находится под управлением контролера StatefulSet, необходимо удалить из кластера PVC этого компонента с помощью команды:

  kubectl delete pvc/pvc-nats-js-kcs-nats-0 -n kcs

Во всех указанных выше командах -n kcs необходимо заменить на название своего пространства имен.

Далее процесс обновления идентичен процессу установки решения.

Длительность процесса обновления зависит от объема сформированных баз данных и может достигать нескольких часов. Мы рекомендуем проводить обновление решения в нерабочее время.

Об актуальных версиях приложения вы можете узнать на веб-сайте "АО Лаборатория Касперского" или у компаний-партнеров.

[Topic 250383]

Интерфейс решения

Консоль управления реализована в виде веб-интерфейса и состоит из следующих элементов:

• Главное меню. Разделы и подразделы главного меню обеспечивают доступ к основным функциям решения.
• Рабочая область. Информация и элементы управления в рабочей области зависят от раздела или подраздела, выбранного в главном меню.

[Topic 295364]

Главное меню

В веб-интерфейсе главное меню Kaspersky Security для контейнеров находится в левой панели и состоит из разделов, соответствующих основным функциональным возможностям решения.

Раздел Ресурсы

Раздел содержит результаты контроля всех доступных Kaspersky Security для контейнеров ресурсов: кластеров, реестров, интегрированных с решением, и процессов CI/CD.

Раздел Исследование

Раздел содержит результаты проведенного Kaspersky Security для контейнеров исследования произошедших в контейнерах событий и обнаруженных в образах уязвимостей.

Раздел Соответствие стандартам

Раздел содержит результаты проверки узлов и ресурсов кластеров на соответствие требованиям следующих стандартов: отраслевому стандарту Kubernetes и отраслевым стандартам безопасности кластеров.

Раздел Политики

Раздел позволяет настраивать политики безопасности, применяемые в работе решения.

Подраздел Принятые риски содержит список всех обнаруженных угроз и уязвимостей, риск наличия которых принят пользователем. В подразделе вы можете отменять принятие рисков или устанавливать срок, в течение которого риск считается принятым.

Раздел Компоненты

Раздел содержит информацию о состоянии компонентов решения – агентов, сканеров и ядра.

Раздел Администрирование

Раздел позволяет выполнять следующие задачи:

• В подразделе Управление доступом вы можете управлять правами доступа пользователей, определять роли и права доступа, а также разграничивать доступ к ресурсам и функциональным возможностям в рамках областей применения.
• В подразделе Отчеты можно просматривать список сформированных отчетов по образам, а также скачивать и удалять отчеты.
• Подраздел Интеграции дает возможность настраивать интеграции с публичными реестрами образов, со средствами проверки подписей образов, со средствами уведомлений, с LDAP-сервером, с SIEM-системами, с хранилищем HashiCorp Vault, а также получать информацию об их состоянии.
• В подразделе События вы можете просматривать список реализованных решением событий, которые могут быть полезны для отслеживания происходящих процессов и анализа потенциальных угроз безопасности.

Раздел Параметры

Раздел позволяет выполнять следующие задачи:

• В подразделе Параметры подключения вы можете настраивать параметры запуска консоли управления Kaspersky Security для контейнеров и управлять параметрами подключения.
• Подраздел Лицензирование дает возможность управлять параметрами лицензирования и просматривать доступную по лицензии функциональность.
• Подраздел О платформе содержит информацию о версии решения, обновлении баз данных уязвимостей и вредоносного ПО. Также вы можете посмотреть условия лицензионного соглашения Kaspersky Security для контейнеров, информацию о стороннем коде, документацию с описанием запросов к API-серверу и открыть справку Kaspersky Security для контейнеров для получения подробного описания решения и его работы.

Блок с именем текущего пользователя

В блоке отображается информация о пользователе, под учетной записью которого запущена консоль управления Kaspersky Security для контейнеров. С помощью команд контекстного меню в блоке можно перейти на страницу профиля пользователя и выйти из консоли.

[Topic 255368]

Информационная панель

На главной странице Kaspersky Security для контейнеров можно настроить информационную панель для получения актуальных аналитических данных об объектах, которые обрабатываются решением. Настройка осуществляется с помощью фильтров, что позволяет отсортировать информацию по объектам и периоду.

Аналитические данные отображаются с помощью виджетов или специализированных инструментов, которые показывают аналитическую информацию.

Информационная панель Kaspersky Security для контейнеров открывается при входе в учетную запись или при нажатии на область с логотипом и названием решения над главным меню.

[Topic 255372]

Применение фильтров

Kaspersky Security для контейнеров предоставляет возможность настроить информационную панель с помощью следующих фильтров:

• Фильтр по периоду:
  • за весь период работы решения;
  • за год;
  • за квартал;
  • за месяц;
  • за неделю;
  • за вчерашний день;
  • за заданный вами период.

  Для любого выбранного вами периода отсчет времени начинается с текущего дня. По умолчанию отображается информация за неделю.

• Фильтр по ресурсам:
  • все образы;
  • все образы вне кластеров;
  • все образы в кластерах;
  • образы конкретного кластера;
  • образы CI/CD.

  По умолчанию отображается информация по всем образам.

[Topic 295368]

Виджеты в информационной панели

Kaspersky Security для контейнеров представляет аналитические данные в информационной панели с помощью виджетов, которые организованы в группы по типу данных. В Kaspersky Security для контейнеров доступны следующие группы виджетов и виджеты:

• Соответствие образа требованиям политик безопасности. Решение отображает следующую информацию:
  • Общее количество образов.
  • Количество образов со статусом Соответствует.
  • Количество образов со статусом Не соответствует.
• Оценка риска образов. Виджет представляет следующую информацию по статусам объектов:
  • Общее количество образов.
  • Количество образов со статусом Критический.
  • Количество образов со статусом Высокий.
  • Количество образов со статусом Средний.
  • Количество образов со статусом Низкий.
  • Количество образов со статусом Незначительный.
  • Количество образов со статусом Ок.
• Топ 10 контрольных показателей, по которым объекты наиболее часто не проходят проверку узлов кластера на соответствие отраслевому стандарту Kubernetes:
  • 10 контрольных показателей на узлах (nodes) кластеров, по которым наиболее часто не проходит проверка.
  • Количество узлов кластеров, которые не прошли проверку по указанному контрольному показателю.
• Топ 10 реестров о количестве образов с максимально высокой оценкой риска.
• Уязвимости:
  • Топ 10 обнаруженных уязвимостей с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих указанную уязвимость.

    Если уязвимость содержит эксплойт, рядом с уровнем критичности отображается значок эксплойта (). С помощью переключателя Доступен эксплойт над списком уязвимостей вы можете настроить отображение уязвимостей и решение будет показывать все соответствующие уязвимости или только уязвимости с эксплойтом.

  • Топ 10 образов с максимальным количеством выявленных уязвимостей с уровнями критичности Критический и Высокий.
• Вредоносное ПО:
  • Топ 10 самого часто обнаруживаемого вредоносного ПО и количество образов, содержащих это вредоносное ПО.
  • Топ 10 образов с максимальным количеством найденного вредоносного ПО.
• Конфиденциальные данные:
  • Топ 10 обнаруженных конфиденциальных данных с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
  • Топ 10 образов с максимальным количеством найденных конфиденциальных данных с уровнями критичности Критический и Высокий.
• Ошибки конфигурации:
  • Топ 10 обнаруженных ошибок конфигурации с уровнем критичности Критический, Высокий или Средний и количество образов, содержащих такие конфиденциальные данные.
  • Топ 10 образов с максимальным количеством найденных ошибок конфигурации с уровнями критичности Критический и Высокий.

  В списках объектов с указанием уровня критичности сортировка осуществляется со снижением уровня критичности (на первых позициях списка представлены объекты с максимально высоким уровнем критичности).

[Topic 267266]

Профиль пользователя

Чтобы перейти на страницу с профилем пользователя:

1. В главном меню нажмите на блок с именем текущего пользователя.
2. Выберите Мой профиль.

На странице Мой профиль в Kaspersky Security для контейнеров отображается основная информация об активной учетной записи пользователя. Эта информация разделена на следующие блоки:

• Общая информация – показаны имя пользователя и отображаемое в веб-интерфейсе имя пользователя, контактный адрес электронной почты, а также перечень ролей, назначенных пользователю.

  В этом блоке вы также можете изменить пароль для входа в консоль управления, нажав на кнопку Изменить пароль.

• Токен API – представлена информация о токене для подключения и получения доступа к решению через API. Значение действующего токена API скрыто маской, и вы можете просмотреть его, нажав на значок демаскировки (), расположенный справа от токена. Скрыть значение токена маской можно, нажав на значок маскировки ().

  В этом блоке вы также можете скопировать значение действующего токена с помощью кнопки Копировать и при необходимости сгенерировать новый токен API, нажав на кнопку Повторно создать токен.

• Права – перечислены все права, назначенные пользователю.

[Topic 263603]

Способы настройки отображения данных

Для таблиц в интерфейсе Kaspersky Security для контейнеров предусмотрены следующие способы настройки отображения данных:

• Фильтрация. Поля фильтра расположены над таблицами данных. Состав полей фильтра и способы управления фильтром зависят от специфики данных, отображаемых в разделе.

  В некоторых разделах для открытия полей фильтра требуется нажать на значок фильтра ().

• Сортировка по возрастания или убыванию. В некоторых разделах вы можете сортировать список данных по выбранному столбцу с помощью значка сортировки () в заголовке столбца.
• Поиск. Вы можете выполнять поиск по отображаемым данным с помощью поля Поиск, расположенного над таблицей и обозначенного значком поиска ().
• Меню. В некоторых таблицах вы можете выполнять действия с объектами с помощью команд из меню в строках. Чтобы открыть меню для выбранного объекта, требуется нажать на значок меню () в строке объекта.
• Выбор. В некоторых таблицах вы можете выбирать элементы, установив флажок в поле (). Чтобы снять флажок и отменить выбор, требуется повторно нажать на флажок в этом поле.
• Удаление. Вы можете удалять объекты в решении с помощью значка удаления () или ссылки Удалить, которая появляется при выборе объектов.
• Развертывание и свертывание списков. В некоторых таблицах с помощью значка развертывания () вы можете развернуть строку объекта для просмотра его составляющих. Чтобы свернуть элементы таблицы, требуется нажать на значок свертывания ().

[Topic 250749]

Лицензирование решения

Этот раздел содержит информацию об основных понятиях, связанных с лицензированием Kaspersky Security для контейнеров.

[Topic 251945]

О Лицензионном соглашении

Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать приложение.

Внимательно ознакомьтесь с условиями Лицензионного соглашения перед началом работы с приложением.

Вы можете ознакомиться с условиями Лицензионного соглашения во время установки Kaspersky Security для контейнеров.

Вы принимаете условия Лицензионного соглашения, подтверждая свое согласие с текстом Лицензионного соглашения во время установки приложения. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать установку приложения и не должны использовать приложение.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы) может быть недоступна в приложении на территории США.

[Topic 251954]

О лицензии

Лицензия – это ограниченное по времени право на использование Kaspersky Security для контейнеров, предоставляемое вам на основании Лицензионного соглашения.

Лицензия включает в себя право на использование приложения в соответствии с условиями Лицензионного соглашения, а также на получение технической поддержки. Список доступных функций и срок использования приложения зависят от типа лицензии, по которой было активировано приложение.

В Kaspersky Security для контейнеров предусмотрены следующие типы лицензий:

• NFR (not for resale / не для перепродажи) – бесплатная лицензия на определенный период, предназначенная для ознакомления с приложением и тестовых развертываний приложения.
• Коммерческая – платная лицензия, предоставляемая при приобретении приложения.

Функциональность решения, доступная по лицензии, зависит от вида лицензии. В Kaspersky Security для контейнеров предусмотрены следующие виды лицензии:

• Стандартная лицензия – предоставляет доступ к функциональным возможностям по интеграции с реестрами образов и платформами, сканированию для выявления угроз безопасности, оценке рисков и мониторингу статуса объектов.
• Расширенная лицензия – в дополнение к доступным в рамках стандартной лицензии функциональным возможностям предоставляет доступ к компонентам для мониторинга, контроля и анализа объектов, а также выявления ошибок конфигурации и защиты от угроз безопасности.

По истечении срока действия лицензии приложение продолжает работу, но с ограниченной функциональностью. Чтобы использовать Kaspersky Security для контейнеров в режиме полной функциональности, вам нужно приобрести коммерческую лицензию или продлить срок действия коммерческой лицензии.

[Topic 251955]

О лицензионном сертификате

Лицензионный сертификат – это документ, который передается вам вместе с файлом ключа или кодом активации.

В Лицензионном сертификате содержится следующая информация о предоставляемой лицензии:

• номер лицензии или заказа;
• информация о пользователе, которому предоставляется лицензия;
• информация о приложении, которое можно активировать по предоставляемой лицензии;
• ограничение на количество единиц лицензирования (например, устройств, на которых можно использовать приложение по предоставляемой лицензии);
• дата начала срока действия лицензии;
• дата окончания срока действия лицензии или срок действия лицензии;
• тип лицензии.

[Topic 251956]

О лицензионном ключе

Лицензионный ключ – последовательность бит, с помощью которой вы можете активировать и затем использовать приложение в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".

Вы можете добавить лицензионный ключ в приложение одним из следующих способов: применить файл ключа или ввести код активации.

Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для работы приложения требуется добавить другой лицензионный ключ.

[Topic 251958]

О файле ключа

Файл ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл ключа предназначен для добавления лицензионного ключа, активирующего приложение.

Вы получаете файл ключа по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.

Чтобы активировать решение с помощью файла ключа, не требуется подключение к серверам активации "Лаборатории Касперского".

Если файл ключа был случайно удален, вы можете его восстановить.

Для восстановления файла ключа вам нужно выполнить одно из следующих действий:

• Обратиться к продавцу лицензии.
• Получить файл ключа на веб-сайте "Лаборатории Касперского" на основе имеющегося кода активации.

[Topic 251957]

О коде активации

Код активации – это уникальная последовательность из двадцати латинских букв и цифр. Вы вводите код активации, чтобы добавить лицензионный ключ, активирующий Kaspersky Security для контейнеров. Вы получаете код активации по указанному вами адресу электронной почты после приобретения Kaspersky Security для контейнеров.

Чтобы активировать приложение с помощью кода активации, требуется доступ в интернет для подключения к серверам активации "Лаборатории Касперского".

Если код активации был потерян после активации приложения, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 253551]

Процедура активации приложения

Активация приложения – это процедура введения в действие лицензии, дающей право на использование Kaspersky Security для контейнеров в течение срока действия лицензии.

Вы можете активировать приложение с помощью кода активации или файла ключа, предоставленных вам при покупке решения.

Активация с использованием кода активации применяется при установке решения в открытом контуре корпоративной сети с доступом в интернет. Активация с применением файла ключа используется при установке Kaspersky Security для контейнеров как в открытом контуре корпоративной сети, так и в закрытом контуре корпоративной сети без возможности подключения к интернету.

Чтобы активировать приложение с помощью кода активации:

1. В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
2. В появившемся окне способов добавления лицензионного ключа выберите Ввести код активации.
3. В поле Код активации введите код активации и нажмите на кнопку Добавить.

Приложение активируется и открывается страница просмотра информации о лицензии.

Чтобы активировать приложение с помощью файла ключа:

1. В разделе Параметры → Лицензирование нажмите на кнопку Добавить лицензионный ключ.
2. В открывшемся окне способов добавления лицензионного ключа выберите Применить файл ключа и нажмите на кнопку Загрузить и добавить.
3. В открывшемся окне выберите файл с расширением key и нажмите на кнопку Открыть.

Приложение активируется и откроется страница просмотра информации о лицензии.

При активации приложения новый код активации или файл ключа замещают собой ранее введенный код активации или файл ключ.

[Topic 253956]

Просмотр информации о лицензии

Вы можете просмотреть информацию о введенной в действие лицензии в веб-интерфейсе Kaspersky Security для контейнеров в разделе Параметры → Лицензирование.

На странице просмотра информации о лицензии представлены следующие параметры:

• Информация о лицензии. Kaspersky Security для контейнеров отображает следующее:
  • Название компании-партнера "Лаборатории Касперского", у которого вы приобрели лицензию.
  • Срок действия лицензии.

    Срок действия начинается с момента покупки лицензии, а не с момента активации приложения.

• Информация о клиенте. В этом подразделе указываются данные о компании, которая приобрела лицензию:
  • Название компании.
  • Страна, в которой находится компания.
  • Адрес электронной почты представителя клиента.
• Период, оставшийся до истечения срока действия лицензии. Решение отображает точную дату и время прекращения действия лицензии.
• Количество узлов (англ. nodes) – максимально разрешенное в рамках лицензии количество узлов и количество задействованных узлов.
• Количество сканирований образов в месяц – максимально разрешенное в рамках лицензии количество сканирований образов и проведенных сканирований. Месяцем считаются последние 30 дней (текущий день - 30 дней).
• Функциональность в рамках лицензии. Решение отображает список функциональных возможностей, которые доступны вам в рамках приобретенной вами лицензии.

[Topic 254015]

Продление срока действия лицензии

Когда срок действия лицензии подходит к концу, Kaspersky Security для контейнеров отображает следующие уведомления:

• О приближении к окончанию срока действия лицензии с указанием оставшегося срока действия. Вы получаете такое уведомление за 30, 14 и 7 дней до окончания срока действия лицензии.
• Об окончании срока действия лицензии и переходе решения в режим ограниченной функциональности. Такое уведомление направляется в день, когда срок действия лицензии истекает.

В режиме ограниченной функциональности возможности Kaspersky Security для контейнеров ограничиваются:

• Не производятся новые сканирования образов.
• В веб-интерфейсе не отображаются новые узлы (англ. nodes), которые были добавлены в ранее созданные кластера после окончания срока действия лицензии.
• Добавление новых кластеров на мониторинг невозможно.
• Не производится обновление баз данных уязвимостей.

Вы можете продлить срок действия лицензии, применив новый код активации или добавив новый файл ключа. Чтобы продлить срок действия лицензии, свяжитесь с партнером "Лаборатории Касперского", у которого вы приобрели лицензию.

[Topic 255742]

Удаление лицензионного ключа

Чтобы удалить лицензионный ключ:

1. В разделе Параметры → Лицензирование нажмите на кнопку Удалить лицензионный ключ.
2. Подтвердите удаление, нажав на кнопку Удалить.

[Topic 250750]

Предоставление данных

Этот раздел содержит информацию о данных, которые решение Kaspersky Security для контейнеров может сохранять на устройстве и передавать в "Лабораторию Касперского" в ходе своей работы.

Если для активации решения Kaspersky Security для контейнеров вы использовали код активации, вы соглашаетесь в автоматическом режиме предоставлять в "Лабораторию Касперского" информацию в рамках процесса регулярного подтверждения статуса лицензионного ключа. Для подтверждения статуса лицензионного ключа решение Kaspersky Security для контейнеров периодически обращается на серверы активации "Лаборатории Касперского" и передает в "Лабораторию Касперского" следующую информацию:

• идентификатор регионального центра активации;
• заголовок лицензии на использование решения;
• тип контрольной суммы и контрольную сумму лицензионного ключа;
• дату и время создания лицензионного ключа;
• дату и время истечения срока действия лицензии на использование решения;
• идентификатор лицензии на использование решения;
• идентификатор информационной модели, примененной при предоставлении лицензии на использование решения;
• текущий статус лицензионного ключа;
• тип лицензии, с помощью которой активировано решение;
• уникальный идентификатор устройства;
• название семейства операционной системы на устройстве;
• идентификатор установки решения (PCID);
• идентификатор, локализацию и полную версию решения;
• идентификатор решения, полученный из лицензии;
• набор идентификаторов совместимого ПО;
• идентификатор ребрендинга решения;
• список юридических соглашений, показываемых пользователю решения;
• тип и версию юридического соглашения, условия которого были приняты пользователем в ходе использования решения.

Кроме того, используя код активации, вы соглашаетесь передавать в "Лабораторию Касперского" следующую информацию:

• код активации, введенный пользователем для активации решения;
• дату и время на устройстве пользователя;
• версию, номер сборки, номер обновления и редакцию операционной системы на устройстве;
• признак принятия пользователем условий юридического соглашения в ходе использования решения.

Используя код активации, вы соглашаетесь на автоматическую передачу в "Лабораторию Касперского" данных, перечисленных выше. Если вы не согласны предоставлять эту информацию, для активации Kaspersky Security для контейнеров следует использовать файл ключа.

Если вы используете серверы обновлений "Лаборатории Касперского" для загрузки обновлений, вы соглашаетесь предоставлять в автоматическом режиме следующую информацию:

• идентификатор решения Kaspersky Security для контейнеров, полученный из лицензии;
• полную версию решения;
• идентификатор лицензии на использование решения;
• вид действующей лицензии;
• идентификатор установки решения (PCID);
• идентификатор запуска обновления решения;
• обрабатываемый веб-адрес.

"Лаборатория Касперского" может использовать всю передаваемую информацию для формирования статистической информации о распространении и использовании программного обеспечения "Лаборатории Касперского".

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Более подробная информация об обработке, хранении и уничтожении информации, полученной во время использования решения и переданной в "Лабораторию Касперского", приведена в Лицензионном соглашении и Политике конфиденциальности на веб-сайте "Лаборатории Касперского".

[Topic 294418]

Работа с кластерами

Kaspersky Security для контейнеров предоставляет инструмент для отображения и анализа связей различных объектов внутри пространств имен в кластерах.

Кластер представляет собой набор

Использование кластеров позволяет осуществлять массовое сканирование образов в составе кластеров. При этом автоматически создаются реестры, найденные в кластере при сканировании. Kaspersky Security для контейнеров автоматически учитывает и фиксирует идентификационные данные для доступа к реестрам в составе кластера (имя пользователя, пароль, токен), а также формирует ссылку на этот объект. Таким реестрам присваивается имя в формате <имя кластера>_<название реестра>. При работе с объектами кластера полученные идентификационные данные используются для доступа к реестрам.

Kaspersky Security для контейнеров отображает список доступных кластеров в виде таблицы в разделе Ресурсы → Кластеры.

[Topic 294424]

Просмотр списка кластеров

В разделе Ресурсы → Кластеры в виде таблицы отображается список кластеров, доступных в Kaspersky Security для контейнеров. Для каждого кластера приводятся следующие данные:

• Имя кластера. По ссылке на имени кластера в столбце Имя кластера вы можете перейти на страницу просмотра пространств имен в составе такого кластера.
• Количество входящих в состав кластера пространств имен.
• Название оркестратора, в котором развернут кластер.
• Информация о максимальной оценке риска. Максимальная оценка риска присваивается кластеру на основе данных об оценках риска образов, входящих в состав такого кластера.

С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:

• По имени кластера – решение дает возможность расположить кластеры в столбце Имя кластера в алфавитном порядке по возрастанию (от А до Я) или по убыванию (от Я до А).
• По количеству пространств имен – с помощью сортировки в столбце Пространства имен вы можете расположить кластеры по убыванию или возрастанию количества пространств имен в них.
• По названию оркестратора – с помощью сортировки в столбце Оркестратор вы можете сгруппировать кластеры по оркестратору, в котором они развернуты.
• По максимальной оценке риска – решение дает возможность расположить кластеры по убыванию или возрастанию максимальной оценки риска, которая отображается в столбце Макс. оценка риска.

Визуальное отображение пространств имен в кластере и связей между ними вы можете посмотреть, нажав на кнопку Посмотреть в столбце Просмотр на графе. Kaspersky Security для контейнеров откроет граф пространства имен выбранного кластера.

Сканирование и визуальное представление ресурсов кластера доступны только при наличии развернутых агентов.

[Topic 294420]

Пространства имен в кластере

Чтобы просмотреть пространства имен в составе кластера:

1. Перейдите во вкладку Таблица в разделе Ресурсы → Кластеры.
2. В столбце Имя кластера таблицы со списком кластеров нажмите на имя кластера.

   Kaspersky Security для контейнеров откроет страницу, на которой представлена таблица со списком пространств имен в составе выбранного кластера.

Для каждого из пространств имен в кластере указывается следующее:

• Название пространства имен. По ссылке на названии пространства имен в столбце Пространство имен вы можете перейти на страницу просмотра подов в составе такого пространства имен.
• Количество контейнеров во всех подах выбранного пространства имен.
• Количество просканированных образов. В столбце Просканированные образы эта информация указывается в формате X/Y, например 1/8. Первое значение (X) представляет собой количество просканированных образов, а второе (Y) – общее количество образов в составе пространства имен.
• Количество образов со статусом В очереди. В столбце Обрабатываемые задания на сканирование решение отображает количество образов, входящих в состав заданий, которые поставлены в очередь и ожидают сканирования.
• Количество образов со статусом Ошибка. В столбце Невыполненные задания на сканирование показывается количество образов, сканирование которых завершилось с ошибкой.
• Максимальная оценка риска, присвоенная образам в пространстве имен.

С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:

• По названию пространства имен – решение дает возможность расположить объекты в столбце Пространство имен в алфавитном порядке по возрастанию (от А до Я) или по убыванию (от Я до А).
• По возрастанию или убыванию количества контейнеров в подах выбранного пространства имен.
• По возрастанию или убыванию количества образов со статусом В очереди.
• По возрастанию или убыванию количества образов со статусом Ошибка.
• По максимальной оценке риска – решение дает возможность расположить пространства имен по убыванию или возрастанию максимальной оценки риска, которая отображается в столбце Макс. оценка риска.

Визуальное отображение объектов в составе пространства имен и связей между ними вы можете посмотреть, нажав на кнопку Посмотреть в столбце Просмотр на графе. Kaspersky Security для контейнеров откроет граф приложений выбранного пространства имен.

Чтобы просмотреть визуальное отображение пространств имен в кластере и связей между ними,

перейдите во вкладку Граф в разделе Ресурсы → Кластеры.

[Topic 294423]

Поды в кластере

Чтобы просмотреть список подов в составе пространства имен:

1. В разделе Ресурсы → Кластеры откройте таблицу со списком пространств имен в кластере.
2. В столбце Пространство имен этой таблицы нажмите на название пространства имен.

   Kaspersky Security для контейнеров откроет страницу, на которой представлена таблица со списком подов в составе выбранного кластера.

Для каждого из подов в выбранном вами пространстве имен отображается следующее:

• Имя пода.
• Перечень наименований контейнеров, соответствующих поду.
• Имя образа, из которого развернут контейнер. По ссылке на имени образа вы можете перейти на страницу с результатами сканирования этого образа в разделе Ресурсы → Реестры.
• Статус соответствия требованиям политик безопасности.
• Оценка риска. Решение отображает оценку риска для образа, указанного в столбце Образ.
• Количество выявленных проблем безопасности (уязвимостей, вредоносного ПО, признаков конфиденциальных и ошибок конфигурации). Для уязвимостей решение отдельно приводит количество проблем безопасности с разделением по уровням критичности.
• Дата и время последнего сканирования объекта.

С помощью сортировки вы можете реорганизовать данные в таблице следующим образом:

• По имени пода, наименованию контейнера или имени образа – решение дает возможность расположить объекты в столбцах Под, Контейнер и Образ в алфавитном порядке по возрастанию или по убыванию.
• По соответствию или не соответствию требованиям политик безопасности. Kaspersky Security для контейнеров может сгруппировать объекты по статусам Соответствует и Не соответствует.
• По оценке риска – решение дает возможность расположить объекты по уровню критичности.
• По дате и времени – Kaspersky Security для контейнеров может отобразить объекты, начиная с самых ранних или самых поздних по дате и времени сканирования.

[Topic 271446]

Визуализация ресурсов кластера

Kaspersky Security для контейнеров дает возможность посмотреть визуальное представление объектов в составе одного или нескольких кластеров, а также связей между объектами в кластере и ресурсами вне кластера или области применения. В зависимости от уровня представления ресурсов кластера решение отображает следующее:

• Граф пространств имен – представлен кластер и входящие в его состав пространства имен.
• Граф приложений выбранного кластера – показывается кластер, входящие в его состав пространства имен, а также приложения раскрываемых пространств имен. Граф приложений можно максимально детализировать, раскрыв объекты до самого низкого уровня.

При работе с графами ресурсов кластера необходимо учитывать следующие особенности отображения объектов:

• Цифра справа вверху от иконки объекта показывает количество объектов более низкого уровня в составе указанного объекта (объектов-потомков).
• Объекты на графе представлены с учетом цветовой градации: с выделением цветом и без цветового выделения. Объект выделяется, если он соответствует параметрам, установленным в отношении оценки риска и соответствия объекта требованиям примененных политик безопасности.
• Группировка объектов на графе осуществляется по следующим принципам:
  1. выделенные цветом объекты группируются, если количество объектов больше пяти;
  2. невыделенные объекты группируются, если количество объектов больше двух.
• Объекты на графе могут быть скрыты при необходимости.

Визуальное представление ресурсов кластера формируется, если для этого кластера существуют активные агенты.

[Topic 273534]

Ресурсы кластера на графе

Kaspersky Security для контейнеров проверяет и отображает входящие в кластер ресурсы и связи между ними. Такая проверка проводится для всех кластеров с активными агентами.

Ресурсы кластера – это сущности или объекты, которые хранятся в оркестраторе и используются для представления состояния кластера. С их помощью можно получить информацию о запущенных контейнеризированных приложениях, месте их запуска (узлах), и доступных для них ресурсах. Также объекты кластера определяют стратегии управления запущенными приложениями (например, повторный запуск или обновление).

В интерфейсе Kaspersky Security для контейнеров объектом самого высокого уровня (объектом-родителем) является кластер. Он включает в себя пространства имен, в которых запускаются приложения. В свою очередь, приложения включают в себя поды и другие объекты.

Кластер представляет собой несколько физических или виртуальных машин (узлов), которые выполняют контейнеризированные приложения. В Kubernetes выделяются следующие виды узлов:

• Мастер-узел – реализует API-объекты и используется для управления кластером и ресурсами в нем.
• Рабочий узел – используется для запуска полезной рабочей нагрузки. В состав кластера входит один или несколько рабочих узлов.

Kaspersky Security для контейнеров отображает кластер на графе с помощью значка кластера ().

В зависимости от требуемого уровня детализации, с которой показываются ресурсы кластера, Kaspersky Security для контейнеров отображает необходимый тип графа: граф пространства имен или граф приложений. В таблице далее представлены все объекты, которые могут входить в состав кластера и показываются на графе.

Объекты в составе кластера

[Topic 272591]

Граф пространств имен

Чтобы посмотреть граф пространств имен выбранного кластера,

в таблице со списком кластеров нажмите на кнопку Посмотреть.

Kaspersky Security для контейнеров показывает кластер с входящими в него пространствами имен.

Kaspersky Security для контейнеров дает возможность посмотреть информацию о кластере и пространствах имен на графе пространств имен на боковой панели или в форме таблицы. На боковой панели информация представляет собой краткую общую информацию об объекте. В таблице более подробно показывается статус проверки объектов в составе кластера на наличие угроз безопасности. Данные на боковой панели и в таблице частично дублируются.

[Topic 272699]

Просмотр информации об объектах графа в боковой панели

Чтобы посмотреть информацию о кластере в боковой панели:

1. Нажмите на левую кнопку мыши на значке кластера () или на значке пространства имен () на графе пространств имен.
2. В открывшемся меню выберите Подробная информация.

   В открывшейся боковой панели с подробной информацией в зависимости от объекта Kaspersky Security для контейнеров отображает следующие данные:

   1. Для кластера:
      • Имя кластера.
      • Количество пространств имен в составе кластера.
      • Платформа оркестрации кластера.
      • Максимальная оценка риска, присвоенная объектам в составе кластера.
      • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
   2. Для пространства имен:
      • Имя пространства имен.
      • Количество контейнеров и приложений в пространстве имен.
      • Количество просканированных образов в составе пространства имен.
      • Количество обрабатываемых и невыполненных заданий на сканирование.
      • Максимальная оценка риска, присвоенная объектам в составе кластера.
      • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
      • Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.

[Topic 272700]

Просмотр информации об объектах графа в таблице

Чтобы посмотреть информацию об объектах на графе в форме таблицы:

1. Нажмите на левую кнопку мыши на одном из следующих значков на графе пространств имен:
   • На значке кластера ().
   • На значке группы пространств имен ().
   • На значке пространства имен ().
2. В открывшемся меню выберите Открыть в таблице.

   Решение открывает таблицу с информацией о выбранном объекте или группе объектов внизу рабочей области под графом. В зависимости от объекта в открывшейся таблице Kaspersky Security для контейнеров отображает следующую информацию:

   1. Для кластера или группы пространств имен:
      • Список пространств имен в составе кластера.
      • Количество контейнеров в каждом пространстве имен.
      • Количество просканированных образов, обрабатываемых и невыполненных заданий на сканирование для каждого пространства имен.
      • Максимальная оценка риска, присвоенная объектам в составе кластера.
      • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
   2. Для выбранного пространства имен:
      • Перечень приложений в составе этого пространства имен и их типы.
      • Количество подов и контейнеров в каждом приложении.
      • Максимальная оценка риска, присвоенная объектам в составе пространства имен.
      • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.

Также с помощью таблицы вы можете настроить отображение объектов на графе, чтобы скрыть или показать пространства имен.

[Topic 294421]

Граф приложений

Чтобы посмотреть граф приложений выбранного кластера:

1. Перейдите в раздел Ресурсы → Кластеры.
2. Выполните одно из следующих действий:
   • На вкладке Таблица откройте таблицу со списком пространств имен и нажмите на кнопку Посмотреть.
   • На вкладке Граф откройте граф пространства и выполните одно из следующих действий:
     • Двойным щелчком мыши разверните пространство имен до приложений.
     • Нажмите на левую кнопку мыши на значке пространства имен () и в открывшемся меню выберите Развернуть на графе.

   Kaspersky Security для контейнеров отобразит все приложения в составе выбранного пространства имен.

Каждое приложение можно раскрыть до уровня подов. Вы можете посмотреть подробную информацию о следующих объектах на графе приложений выбранного кластера:

• О приложениях.
• Об объектах в составе выбранного приложения.
• О подах на графе.

[Topic 273663]

Просмотр информации о приложении

Чтобы открыть информацию о приложении на графе приложений,

нажмите на левую кнопку мыши на значке приложения () и в открывшемся меню выберите Подробная информация.

Kaspersky Security для контейнеров откроет боковую панель с подробной информацией о приложении.

Решение отображает следующую информацию о приложении:

• Тип объекта и тип приложения (например, Приложение: Deployment).
• Название приложения.
• Максимальная оценка риска. Решение присваивает приложению оценку риска в соответствии с самым высоким уровнем критичности среди всех объектов в составе рассматриваемого приложения.
• Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
• На вкладке Контейнеры приводится следующая информация о контейнерах в рассматриваемом поде:
  • Название контейнера.
  • Имя образа, из которого развернут контейнер.
  • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
  • Максимальная оценка риска, присвоенная контейнерам в поде.
  • Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.
  • Дата и время последнего сканирования образа, из которого развернут контейнер.
• На вкладке Политики отображается информация о примененных к приложению политиках безопасности образов и политиках среды выполнения.

  В блоке Политики безопасности образов представлена следующая информация:

  • Статус применения политики (Пройдено/Не пройдено).
  • Название политики.
  • Указание на имеющиеся угрозы безопасности. В рамках примененной политики результаты проверки могут отображаться следующим образом:
    • Проверка проводилась, выявлены угрозы безопасности ().
    • Проверка проводилась, угрозы безопасности не выявлены ().
    • Проверка на наличие этого типа угроз безопасности не проводилась ().

  В блоке Политики среды выполнения представлена следующая информация:

  • Название политики.
  • Режим применения политики (Аудит/Блокирование).

  Нажав на ссылку на названии политики во вкладке Политики, вы можете просмотреть ее детальное описание. На боковой панели отображается следующая информация:

  • Тип политики и ее название.
  • Описание политики (при наличии).
  • Автор политики.
  • Режим (для политики среды выполнения).
  • Перечень заданных областей применения.
  • Действия, которые выполняются при применении политики (для политики безопасности образов).
  • Установленные контрольные показатели и их параметры.

  Вы можете изменить параметры политики безопасности образов, нажав на кнопку Изменить политику.

  Для просмотра детального описания политик необходимо иметь права на их просмотр. Чтобы вносить изменения в параметры политики, необходимы права на управление политиками.

[Topic 273666]

Просмотр информации об объектах в составе приложения

Чтобы открыть информацию об объектах на графе приложений:

1. На графе приложений выберите приложение, об объектах которого вы хотите получить информацию, и выполните одно из следующих действий:
   • Двойным щелчком мыши разверните приложение до составляющих его объектов.
   • Нажмите на левую кнопку мыши на значке приложения () и в открывшемся меню выберите Развернуть на графе.
2. Выберите интересующий вас объект и двойным щелчком мыши раскройте информацию о нем на боковой панели.

   Kaspersky Security для контейнеров откроет боковую панель с подробной информацией о выбранном объекте.

В зависимости от типа объекта приводятся дополнительные сведения о выбранной сущности. В таблице далее описывается состав информации, которую решение отображает по различным объектам в составе приложения.

Информация об объектах в составе приложения

Для всех объектов с помощью кнопки .Загрузить файл в формате .yaml вы можете сформировать и загрузить файл с описанием текущего состояния объекта в формате .YAML.

[Topic 273755]

Просмотр информации о поде

Чтобы открыть информацию о поде,

на графе выберите под, о котором вы хотите получить информацию, и двойным щелчком мыши раскройте информацию о нем на боковой панели.

Kaspersky Security для контейнеров отображает поды на всех типах графов: на графе пространств имен и на графе приложений.

Решение откроет боковую панель с подробной информацией о поде.

Kaspersky Security для контейнеров отображает следующую информацию о поде:

• Тип объекта.
• Максимальная оценка риска среди образов пода.
• Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.
• Название пода.
• На вкладке Общая информация приводится следующая информация об объекте:
  • Дата и время создания.
  • Метки.
  • Статус запуска пода.
  • Время жизни пода – период между датой и временем на момент просмотра информации о поде и датой и временем создания пода.
  • Перечень используемых контейнерами пода портов в следующем формате: <"название порта" протокол порт>. Например, "dns" UDP 53.
  • Доступные системные функции пода.
  • Название PV, которое используется подом.
  • Название используемого PVC.
  • Название приложения, пространства имен и кластера, внутри которых находится под.

  Также на этой вкладке с помощью кнопки Загрузить файл в формате *.yaml вы можете сформировать и загрузить файл с описанием рассматриваемого пода.

• Во вкладке Контейнеры представлена следующая информация по контейнерам в составе пода:
  • Название контейнера.
  • Название образа, из которого развернут контейнер.
  • Статус соответствия развернутого образа требованиям политик безопасности – Соответствует или Не соответствует.
  • Максимальная оценка риска развернутого образа.
  • Количество проблем безопасности по всем видам риска. Для уязвимостей указывается количество проблем безопасности с детализацией по уровням критичности риска.
  • Дата и время последнего сканирования образа, из которого развернут контейнер.
  • Перечень используемых контейнерами пода портов в следующем формате: <"название порта" протокол порт>.
  • Указание на дополнительные свойства контейнера – он является
    init-контейнером

    Специальный контейнер, который запускается при инициализации пода до запуска основных контейнеров. Init-контейнеры подготавливают окружение для работы (например, получают доступ к секретам или осуществляют редирект сетевого трафика) и могут содержать в себе утилиты, которые не обязательны или не желательны в основном контейнере.

    .
• Во вкладке Политики отображается информация о примененных к поду политиках безопасности образов и политиках среды выполнения. Данные о примененных к поду политиках приводятся в двух блоках (Политики безопасности образов и Политики среды выполнения) аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе.

  Для просмотра детального описания политик необходимо иметь права на их просмотр. Чтобы вносить изменения в параметры политики, необходимы права на управление политиками.

[Topic 274980]

Просмотр информации об объектах графа приложений в таблице

Чтобы посмотреть информацию об объектах на графе приложений в форме таблицы:

1. Выполните одно из следующих действий:
   • Нажмите на левую кнопку мыши на значке пространства имен () с указанием количества приложений внутри пространства имен на графе.
   • Нажмите на левую кнопку мыши на значке группы приложений в составе пространства имен ().
2. В открывшемся меню выберите Открыть в таблице.

   Решение открывает таблицу с информацией о приложениях внизу рабочей области под графом. Kaspersky Security для контейнеров отображает следующую информацию:

   • Название приложений в составе этого пространства имен и их типы (типы объектов-родителей).
   • Количество подов и контейнеров в каждом приложении.
   • Максимальная оценка риска, присвоенная объектам в составе пространства имен.
   • Статус соответствия требованиям политик безопасности – Соответствует или Не соответствует.

[Topic 273477]

Цветовое выделение объектов на графе

Чтобы выделить объекты на графе:

1. Нажмите на кнопку Выделить объекты, расположенную над графом.

   Kaspersky Security для контейнеров откроет боковую панель для настройки параметров выделения объектов.

2. Установите флажки, чтобы указать значения следующих параметров:
   1. Оценка риска. Вы можете выбрать один или несколько уровней критичности риска (Критический, Высокий или Средний). Если флажки не устанавливаются, объекты на графе не выделяются цветом.

      По умолчанию установлены флажки для значений Критический и Высокий.

   2. Соответствие требованиям. Если установлен флажок Не соответствует, решение будет выделять цветом объекты, которые не соответствуют требованиям примененных политик безопасности. Если этот флажок не установлен, объекты на графе не будут выделяться цветом вне зависимости от их соответствия или несоответствия стандартам.

      По умолчанию указано Не соответствует.

3. Нажмите на кнопку Применить.

   Kaspersky Security для контейнеров обновит граф и отобразит объекты с учетом установленных вами значений параметров.

   Для каждого пользователя решение сохраняет установленные этим пользователем значения параметров для выделения объектов и применяет их к отображению объектов кластеров, которые этот пользователь откроет позднее.

[Topic 272713]

Настройка видимости объектов на графе

По умолчанию Kaspersky Security для контейнеров отображает на графе все пространства имен в составе кластера. При необходимости вы можете скрыть пространства имен, если они и входящие в них объекты неинтересны вам в рамках конкретной аналитической задачи.

Настройка видимости объектов на графе осуществляется:

• На графе.
• В таблице с информацией об объекте-потомке.

Чтобы скрыть пространство имен с помощью графа:

1. Нажмите на левую кнопку мыши на значке объекта на графе.
2. В открывшемся меню выберите Скрыть.

   Kaspersky Security для контейнеров обновит граф и скроет указанный объект.

   Восстановить видимость объекта можно с помощью таблицы с подробной информацией об объекте-родителе или группе объектов.

Чтобы настроить видимость пространства имен с помощью таблицы:

1. В таблице с пространствами имен в составе графа выберите один или несколько объектов, для которых вы хотите изменить настройки видимости.
2. С помощью расположенных над таблицей кнопок выполните одно из следующих действий:
   • Чтобы отобразить объект на графе, нажмите на кнопку Показать на графе.
   • Чтобы не показывать объект на графе, нажмите на кнопку Скрыть на графе.

   Kaspersky Security для контейнеров обновит граф и отобразит объекты с учетом установленных вами значений параметров. В столбце Отображение данных в таблице приводится информация о том, показан или скрыт объект на графе.

[Topic 294425]

Сетевые соединения на графе

Kaspersky Security для контейнеров отображает на графе сетевые взаимодействия между сущностями, а также предоставляет информацию о возникших сетевых соединениях между ресурсами кластера.

Чтобы посмотреть сетевые соединения в кластере:

1. В разделе Ресурсы → Кластеры перейдите во вкладку Граф.
2. Нажмите на кнопку Сетевые соединения над областью графа.

   Решение откроет боковую панель с доступными для отображения типами сетевых соединений.

3. С помощью установки флажков выберите один или несколько вариантов показа сетевых соединений на графе. Для выбора доступны следующие варианты показа:
   • Показать соединения в режиме Аудит. Решение отображает сетевые соединения, который были выявлены в соответствии с примененными политиками среды выполнения в режиме Аудит.
   • Показать соединения в режиме Блокирование. Решение отображает попытки сетевых соединений, которые были заблокированы в соответствии с примененными политиками среды выполнения в режиме Блокирование.
   • Показать остальные соединения. Решение показывает сетевые соединения, которые не попали под действие примененных политик среды выполнения в режимах Аудит и Блокирование.
4. Нажмите на кнопку Применить.

   Решение обновит граф и отобразит выбранные сетевые соединения.

[Topic 297994]

Принципы отображения сетевых соединений

В отношении отображения сетевых соединений на графе в Kaspersky Security для контейнеров применяются следующие принципы:

• Решение отображает соединения между двумя объектами (группами объектов в составе кластера), либо между объектом (группой объектов) и ресурсами вне кластера. Стрелка на графе начинается от объекта-отправителя и указывает на объект-получатель. Если между парой связанных сетевым соединением объектов осуществляются одинаковые типы сетевых соединений (например, соединения в режиме Аудит) и трафик между ними носит двусторонний характер, решение отображает их с помощью двунаправленной стрелки.
• Если объект-получатель находится за рамками рассматриваемого кластера, соответствующей инфраструктуры или назначенной пользователю области применения, решение указывает его как Ресурсы вне кластера/области.
• Сетевые соединения с группой пространств имен или группой приложений на графе отображаются, если выявлен входящий или исходящий трафик хотя бы с одним объектом внутри такой группы. При развертывании группы до составляющих ее объектов соединение показывается с конкретным ресурсом.
• Если от объекта к другому объекту осуществляется несколько сетевых соединений, решение отображает их с учетом приоритета сетевых соединений. Максимальный приоритет имеют соединения в режиме Блокирование, минимальный – остальные соединения.

Решение отображает различные виды сетевых процессов следующим образом:

• Соединения в режиме Блокирование на графе показываются с помощью красной пунктирной линии с крестиком ().
• Соединения в режиме Аудит на графе представлены с помощью сплошной красной линии со стрелкой ().
• Остальные соединения на графе отображаются с помощью сплошной черной линии со стрелкой ().
• Двусторонние сетевые соединения на графе показываются с помощью линии, определяющей один из видов сетевых соединений, со стрелками с двух сторон ().
• Если навести курсор на линию сетевого соединения на графе, она становится выделенной и меняет цвет ().

[Topic 297999]

Просмотр информации о сетевых соединениях

Kaspersky Security для контейнеров предоставляют информацию о сетевых соединениях в краткой и полной форме.

Чтобы посмотреть краткую информацию о сетевых соединениях,

наведите курсор мыши на интересующее вас сетевое соединение.

Решение отобразит всплывающую подсказку с количеством неуникальных соединений для каждого типа сетевого соединения (для соединений в режимах Аудит и Блокирование и остальных соединений).

Чтобы посмотреть полную информацию о сетевых соединениях,

нажмите на левую кнопку мыши на интересующем вас соединении.

Решение откроет боковую панель с информацией о сетевых соединениях для выбранного соединения.

В боковой панели представлены данные о сетевых соединениях, полученные в течение 15 минут до вызова панели. Информация по сетевым соединениям приводится в форме таблиц во вкладках Соединения в режиме Аудит, Соединения в режиме Блокирование, Остальные соединения. Рядом с названием вкладок указывается количество найденных соединений.

Таблицы имеют одинаковую структуру и содержат следующие данные:

• В столбце Источник указывается имя пода, который является отправителем сетевого трафика, и IP-адрес пода в формате <IP-адрес пода:порт исходящего трафика>. По ссылке в имени пода вы можете открыть подробное описание этого пода.
• В столбце Протокол указывается протокол взаимодействия подов.
• В столбце Точка назначения отображается имя пода, который является получателем сетевого трафика, и IP-адрес пода в формате <IP-адрес пода:порт входящего трафика>. По ссылке в имени пода вы можете открыть подробное описание этого пода.
• В столбце Количество соединений указывается общее количество неуникальных соединений между отправителем и получателем трафика.
• В столбце Последнее соединение показываются дата и время последнего неуникального соединения между отправителем и получателем трафика.

Если объект-отправитель или объект-получатель находится вне рассматриваемого кластера, в столбцах Источник или Точка назначения, соответственно, указывается доменное имя и IP-адрес такого объекта (если решение может их получить).

[Topic 275421]

Отображение графа с учетом области применения

Отображение ресурсов кластера на графе осуществляется с учетом назначенной роли пользователя области применения. При этом необходимо учитывать следующее:

• Если роли пользователя назначена глобальная область применения, на графе показываются все ресурсы кластера.
• Если роли пользователя назначена область применения с доступом к конкретному образу в составе пространства имен, на графе это пространство имен отображается полностью (показываются все сущности в пространстве имен).
• Если роли пользователя назначена область применения, у которой доступ к конкретным пространствам имен отсутствует, эти пространства имен на графе не отображаются.

  Если с учетом назначенной области применения для выбранного кластера невозможно показать ни одного пространства имен, решение информирует об отсутствии данных для отображения.

[Topic 294300]

Работа с образами из реестров

Раздел Ресурсы → Реестры содержит список репозиториев образов, которые сканирует Kaspersky Security для контейнеров, и результаты сканирования образов. В список попадают образы из реестров, интегрированных с решением. Образы могут добавляются в список автоматически или вручную.

Список образов пуст, пока вы не настроили интеграцию с реестрами и параметры выгрузки и сканирования образов для реестра в разделе Администрирование.

Список образов отображается в виде таблицы, образы сгруппированы по репозиториям.

Вы можете выполнять следующие действия в разделе Ресурсы  → Реестры:

• Искать образы по имени или контрольной сумме образа.

  Поиск осуществляется только по выбранному активному реестру образов. Если образ отсутствует в выбранном реестре, но входит в состав другого реестра, поиск не даст результатов.

• Фильтровать список. Фильтр позволяет отображать в списке образы, соответствующие указанным критериям:
  • только образы из определенных реестров;
  • образы, соответствующие или не соответствующие стандартам;
  • образы, просканированные в определенный промежуток времени;
  • образы, в которых обнаружены указанные риски.
• Запускать повторное сканирование выбранных образов (кнопка Сканировать повторно отображается над таблицей после выбора одного или нескольких образов).
• Формировать отчеты по выбранным образам (кнопка Создать отчет отображается над таблицей после выбора одного или нескольких образов).
• Добавлять образы в список и удалять образы из списка.
• Просматривать подробную информацию о результатах сканирования образа.

[Topic 294302]

Добавление и удаление образов

Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут добавляться в список образов автоматически, в соответствии с настроенными параметрами выгрузки и сканирования образов для каждого реестра. Также вы можете добавлять образы в список образов из реестров вручную. Новые образы ставятся в очередь на сканирование.

Чтобы вручную добавить образы в список:

1. В разделе Ресурсы → Реестры нажмите на кнопку Добавить образы над таблицей.

   Вы не можете добавлять образы в реестр образов, созданный по запросу внешнего реестра Harbor.

2. В открывшемся окне из раскрывающегося списка Реестр выберите реестр.
3. В поле Найти укажите имя или часть имени репозитория или образа и нажмите на кнопку Найти.
4. Выберите репозиторий в блоке Репозитории.
5. С помощью флажков укажите нужные образы в блоке Теги образа.

   Вы можете выбрать образы из нескольких репозиториев.

6. Нажмите на кнопку Добавить образы.

Для оптимизации нагрузки на реестры образов список образов в подключенных реестрах формируется каждые 10 минут. После появления нового образа в реестре допускается задержка его отображения в интерфейсе Kaspersky Security для контейнеров на указанный период времени.

Чтобы удалить образы из списка:

1. В разделе Ресурсы → Реестры выполните одно из следующих действий:
   • Выберите в списке один или несколько образов, которые вы хотите удалить, и запустите удаление по ссылке Удалить, расположенной над таблицей.
   • Выберите в списке репозиторий, все образы которого вы хотите удалить, откройте меню действий в строке с названием репозитория и выберите команду Удалить репозиторий.
2. Подтвердите удаление в открывшемся окне.

[Topic 294283]

Просмотр результатов сканирования образов из реестров

Краткая информация о результатах сканирования всех образов репозитория и каждого отдельного образа отображается в списке образов в составе репозиториев в разделе Ресурсы → Реестры.

По ссылке на названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа.

Вкладки, расположенные в верхней части окна, содержат следующую информацию:

• Риск – сводная информация о результатах сканирования. В нижней части страницы отображаются рекомендуемые действия для обеспечения безопасности образа, если в процессе сканирования выявлены угрозы. По кнопке Сканировать повторно можно запустить повторную проверку образа.
• Уязвимости – уязвимости, обнаруженные в образе. По ссылке в названии уязвимости вы можете открыть подробное описание уязвимости, а также узнать, есть ли у нее
  эксплойт

  Программный код, который использует какую-либо уязвимость в системе или программном обеспечении. Эксплойты часто используются для установки вредоносного программного обеспечения на компьютере без ведома пользователя.

  .

  Kaspersky Security для контейнеров получает описание уязвимостей из подключенных баз уязвимостей. Описание представлено на языке, на котором ведется база уязвимостей. Например, описание уязвимостей из NVD выводится на английском языке.
  Классификация уязвимостей в решении соответствует классификации в подключенной базе уязвимостей.

• Слои – слои, которые используются в образе, с указанием найденных уязвимостей. По ссылке в названии слоя вы можете открыть подробное описание найденных в нем уязвимостей.
• Ресурсы – ресурсы (компоненты) с указанием найденных уязвимостей. По ссылке в названии ресурса вы можете открыть подробное описание обнаруженных уязвимостей.
• Поиск вредоносного ПО – обнаруженное при сканировании в образе вредоносное ПО. По ссылке в названии вредоносного ПО вы можете открыть его подробное описание.
• Конфиденциальные данные – обнаруженные в образе конфиденциальные данные (секреты), например пароли, ключи доступа или токены.
• Ошибки конфигурации – обнаруженные ошибки конфигурации образа, представляющие угрозу. По ссылке в названии ошибки вы можете открыть ее подробное описание.
• Информация – основная информация об образе и история образа.
• История сканирований хеша – результаты последнего сканирования для каждой версии образа. Результаты обновляются при повторном сканировании одной версии образа, либо добавляются в отдельной строке таблицы, если сканируется другая версия образа.

Для каждого образа указывается следующая информация:

• Статус соответствия требованиям политик безопасности.
• Оценка риска с указанием уровня критичности риска.
• Дата и время последнего сканирования.
• Количество объектов с уязвимостями, вредоносным ПО, конфиденциальными данными и ошибками конфигурации в составе образа. Для уязвимостей отдельно указывается количество объектов по каждому выявленному уровню критичности риска.
• Результаты проверки образа с применением соответствующих политик безопасности в рамках действующих областей применения.

Если образ входит в состав реестра образов, созданного при интеграции с решением по запросу Harbor, решение указывает на это и помечает образ значком Harbor ().

С помощью кнопки Сформировать отчет вы можете сформировать детализированный отчет по образам. Вы также можете инициировать повторное сканирование образа, нажав на кнопку Сканировать повторно.

Повторное сканирование недоступно для образов, полученных Kaspersky Security для контейнеров из реестра образов, созданного при интеграции с решением по запросу Harbor.

Каждый выявленный риск можно принять.

[Topic 291077]

Подробная информация о выявленных уязвимостях

Список выявленных при сканировании образа уязвимостей представлен в виде таблицы на вкладке Уязвимости в окне с результатами сканирования образа. Для каждой уязвимости приводится следующая информация:

• Идентификатор записи об уязвимости. Идентификатор представлен в формате CVE-YYYY-X..., где:
  • CVE – префикс, свидетельствующий о включении уязвимости в базу данных известных уязвимостей и дефектов безопасности;
  • YYYY – указание года, когда было сообщено об уязвимости;
  • X... – номер, присвоенный этой уязвимости уполномоченными организациями.
• Уровень критичности уязвимости, исходя из ее оценки риска.

  Если уязвимость содержит эксплойт, рядом с уровнем критичности отображается значок эксплойта ().

• Установленный контейнеризированный ресурс, в котором выявлена уязвимость.
• Наличие исправления уязвимости от производителя. Решение показывает номер версии с исправлением или отмечает отсутствие исправления.

Вы можете принять риск в отношении уязвимости с помощью кнопки Принять в столбце Принятие риска.

Для принятия риска требуются права на управление рисками.

Чтобы посмотреть подробную информацию о выявленной уязвимости:

1. Нажмите на ссылку идентификатора записи об уязвимости в одном из следующих разделов:
   • На вкладке Уязвимости в окне с результатами сканирования образа.
   • В блоке Уязвимости в информационной панели.
   • В таблице с полным списком уязвимостей в разделе Исследование → Уязвимости.
2. В открывшейся боковой панели отображается следующая информация о выявленной уязвимости:
   • Идентификатор записи об уязвимости.
   • Описание уязвимости из базы данных уязвимостей. Описание представлено на языке, на котором ведется база уязвимостей. Например, описание уязвимостей из NVD выводится на английском языке.
   • На вкладке Общая информация отображается следующее:
     • Уровень критичности уязвимости, исходя из ее оценки риска.
     • Установленный ресурс, в котором выявлена уязвимость.
     • Оценка критичности уязвимости по открытому стандарту оценки уязвимостей
       CVSS

       Common Vulnerability Scoring System – открытый стандарт оценки уязвимостей. В CVSS закреплен набор метрик и формул для оценки критичности уязвимости со значениями от 0 (мин.) до 10 (макс.). CVSS позволяет распределить усилия по реагированию на уязвимости в зависимости от их критичности.

       в базах данных уязвимостей
       NVD

       National Vulnerability Database – национальная база данных уязвимостей. Американский правительственный репозиторий данных управления уязвимостями на основе стандартов, представленных с использованием протокола автоматизации содержимого безопасности.

       ,
       БДУ

       Банк данных угроз безопасности информации – база данных угроз информационной безопасности, разработанная ФСТЭК.

       и
       РЕД ОС

       Российская операционная система общего назначения. В РЕД ОС обеспечивается поиск уязвимостей, которые могут представлять угрозу для функционирования серверов и рабочих станций.

       , а также итоговая совокупная оценка критичности уязвимости.
   • На вкладке Артефакты отображается подробная информация по артефактам для образов из реестров и среды выполнения или объектов CI/CD и указывается их количество.

     В блоке для образа из реестра или среды выполнения показана следующая информация:

     • Тип объекта Образ и имя образа. Если на основе контрольной суммы этого образа созданы автопрофили, рядом с именем образа появляется значок наличия автопрофиля ().

       Нажав на имя образа, вы можете перейти на страницу, содержащую подробную информацию о результатах сканирования образа.

       Для просмотра подробной информации требуются права на просмотр результатов сканирования образа.

     • Операционная система образа.
     • Статус соответствия образа требованиям: Соответствует или Не соответствует.
     • Оценка риска.
     • Дата и время последнего сканирования образа.
     • Дата и время первого обнаружения уязвимости в рассматриваемом образе.

     В блоке для объекта из CI/CD показана следующая информация:

     • Тип объекта, соответствующий типу артефакта, и его наименование.

       Нажав на имя артефакта, вы можете перейти на страницу, содержащую подробную информацию о результатах проверки объектов на этапе сборки проекта.

       Для просмотра подробной информации требуются права на просмотр результатов сканирования объектов в процессах CI/CD.

     • Операционная система, в которой проводилось сканирование объекта.
     • Статус соответствия образа требованиям: Соответствует или Не соответствует.
     • Оценка риска.
     • Дата и время последнего сканирования объекта.
     • Дата и время первого обнаружения уязвимости в рассматриваемом объекте.
     • Отметка о сканировании объекта в процессе CI/CD.
   • На вкладке Рабочие нагрузки отображается список подов, содержащих образы с уязвимостью, и указывается их количество. Для каждого объекта представлена следующая информация:
     • Имя кластера, содержащего под, в образе или образах которого обнаружена рассматриваемая уязвимость.
     • Название пространства имен, содержащего под, в образе которого обнаружена рассматриваемая уязвимость.

       Если вы нажмете на название пространства имен, решение откроет боковую панель пространства имен из графа.

     • Имя пода, в образе которого обнаружена рассматриваемая уязвимость.

       Если вы нажмете на название пространства имен, решение откроет боковую панель пода из графа.

   • На вкладке Принятие риска отображается следующая информация:
     • Дата принятия риска.
     • Срок действия принятия риска.
     • Уровень применения.
     • Инициатор принятия риска.
     • Причина принятия риска.

     Вкладка Принятие риска доступна, если у вас есть права на просмотр принятых рисков.

     Для каждого принятия риска вы можете выполнить следующие действия:

     • Нажав на значок , вы можете определить срок действия этого принятия риска.
     • Нажав на значок , вы можете отозвать принятие риска.

     Также на этой вкладке с помощью кнопки Добавить принятие риска можете добавить принятие риска в отношении рассматриваемой уязвимости.

     Для внесения изменений в параметры принятия риска требуются права на управление рисками.

[Topic 294285]

Подробная информация об обнаруженном вредоносном ПО

Если во время сканирования в образах обнаруживается вредоносное ПО, решение отображает это на странице с информацией о результатах сканирования образа. Для просмотра подробной информации о выявленном вредоносном объекте в окне с результатами сканирования образов требуется выбрать вкладку Поиск вредоносного ПО.

Для каждого объекта решение формирует хеш MD5 или SHA256 и указывает путь до места его обнаружения.

Подробную информацию об обнаруженных вредоносных объектах можно посмотреть в базах киберугроз, которые сформированы в

Страница с описанием угрозы на веб-портале Kaspersky OpenTIP находится в открытом доступе. Для доступа к Kaspersky TIP требуется ввести учетные данные пользователя этого ресурса.

[Topic 293438]

Проверка на ошибки конфигурации в образах

Kaspersky Security для контейнеров позволяет выявлять ошибки в файлах конфигурации с помощью сканера конфигурационных файлов. Сканер может проверять образы, файловые системы и репозитории, содержащие файлы IaC (например, Terraform, CloudFormation, шаблоны Azure ARM, пакеты Helm Chart и Dockerfile).

Kaspersky Security для контейнеров выполняет проверки следующих файлов конфигурации:

• Файлы конфигурации объектов Kubernetes.
  • Pod.
  • ReplicaSet.
  • ReplicationController.
  • Deployment.
  • DeploymentConfig.
  • StatefulSet.
  • DaemonSet.
  • CronJob.
  • Job.
  • Services.
  • ConfigMaps.
  • Права и команды Roles и СlusterRoles.
  • ClusterRoleBindings и RoleBindings.
  • Сетевая политика (входящие и исходящие соединения).
• Файлы конфигурации компонентов кластера.
• Файлы конфигурации образов.
• Файлы конфигурации сервисов облачной среды Amazon.
  • Политики Amazon IAM.
  • API Gateway.
  • Amazon Athena.
  • Amazon CloudFront.
  • Amazon CloudTrail.
  • Amazon CloudWatch.
  • Amazon CodeBuild.
  • Amazon Config.
  • Базы данных Amazon DocumentDB.
  • Amazon DynamoDB Accelerator.
  • Amazon Elastic Compute Cloud.
  • AWS Elastic Container Registry.
  • Amazon Elastic Container Service.
  • Amazon Elastic File System.
  • Amazon Elastic Kubernetes Service.
  • Amazon ElastiCache.
  • Amazon Elasticsearch.
  • Amazon Elastic Load Balancing.
  • Amazon Elastic MapReduce.
  • Amazon Identity and Access Management.
  • Amazon Kinesis.
  • Amazon Key Management Service.
  • Amazon Lambda.
  • Amazon MQ Broker.
  • Amazon Managed Streaming for Apache Kafka.
  • Amazon Neptune.
  • Amazon Relational Database Service.
  • Amazon Redshift.
  • Amazon Simple Storage Service.
  • Amazon Serverless Application Model.
  • Amazon Simple Notification Service.
  • Amazon Simple Queue Service.
  • Amazon Secrets Manager.
  • Amazon Workspaces.

• Файлы конфигурации сервисов облачной среды Azure.
  • Azure App Service.
  • Azure Compute.
  • Azure Container Service.
  • Azure SQL Database.
  • Azure Data Factory.
  • Azure Data Lake.
  • Azure Key Vault.
  • Azure Monitor.
  • Сервисы, обеспечивающие сетевое взаимодействие Azure.
  • Azure Security Center.
  • Azure Storage.
  • Azure Synapse Analytics.
  • Политики Azure IAM.
• Файлы конфигурации облачной среды DigitalOcean.
• Файлы конфигурации облачной среды ApacheCloudStack.
• Файлы конфигурации Terraform GitHub Provider.
• Файлы конфигурации сервисов облачной среды Google.
  • Google BigQuery.
  • Google Compute Engine.
  • Google Cloud DNS.
  • Google Cloud IAM policies.
  • Google Cloud Key Management Service.
  • Google Cloud SQL.
  • Google Cloud Storage.
• Файлы конфигурации Nifcloud Provider.
  • Computing.
  • DNS.
  • NAS.
  • Network.
  • Rdb.
  • Сертификаты SSL.
• Файлы конфигурации OpenStack.
  • Computing.
  • Networking.
• Файлы конфигураций Oracle Compute Cloud.

В таблице ниже представлены типы файлов конфигурации и их форматы, которые поддерживает Kaspersky Security для контейнеров.

Типы и форматы файлов конфигурации

[Topic 271977]

Об оценке риска

Результатом проверки, которую проводит Kaspersky Security для контейнеров, становится определение оценки риска просканированного объекта. При сканировании в объектах могут быть обнаружены все или некоторые из следующих угроз безопасности:

• Уязвимости.
• Вредоносное ПО.
• Конфиденциальные данные.
• Ошибки конфигурации.

Каждому риску в обнаружениях, исходя из уровня критичности угрозы безопасности, присваивается одна из следующих оценок риска:

• Незначительный.
• Низкий.
• Средний.
• Высокий.
• Критический.

Если угроз безопасности при сканировании не выявлено, такой образ считается неопасным и помечается Ок.

Оценки риска обнаруженных уязвимостей, вредоносного ПО, конфиденциальных данных или ошибок конфигурации соответствуют оценкам, указанным в базах данных угроз безопасности, по которым ведется проверка (например, NVD, БДУ). В таких базах уязвимостей и угроз применяются специальные шкалы оценки критичности угроз безопасности. Например, в NVD применяется шкала оценки Common Vulnerability Scoring System (CVSS).

Объекту присваивается максимально высокий уровень критичности из всех обнаруженных с соответствующей оценкой риска.

Например, при проверке объекта обнаружены следующие угрозы безопасности:

• уязвимости с незначительным уровнем критичности;
• конфиденциальные данные высокого и критического уровней критичности;
• ошибки конфигурации среднего уровня критичности;
• вредоносное ПО с низким уровнем критичности.

Риск в этом случае оценивается как критический в соответствии с максимально высоким уровнем критичности найденных угроз.

[Topic 250391]

Работа с рисками

Для угроз, выявленных Kaspersky Security для контейнеров (уязвимостей, вредоносного ПО, конфиденциальных данных и ошибок конфигурации), предусмотрена процедура принятия риска. Если риск наличия угрозы принят, в течение указанного промежутка времени эта угроза не учитывается политиками безопасности образов при определении статуса безопасности образа (Соответствует / Не соответствует политикам безопасности). Угроза по-прежнему обнаруживается при сканировании образа, но образ не отмечается как не соответствующий политикам безопасности в результате обнаружения этой угрозы.

Если вы принимаете риск в отношении уязвимости, обнаруженной в образе, такой риск принимается для конкретного реестра образов. Если риск принят в отношении всех уязвимостей в образе, образ считается соответствующим требованиям политик безопасности и получает статус Соответствует.

Если вы изменяете параметры политики безопасности образов, которая применяется в отношении образов, меняется статуса безопасности образа.

По умолчанию риск наличия угрозы принимается на 30 дней. Вы можете продлевать срок, в течение которого риск считается принятым. Вы также можете в любой момент отменить принятие риска. В случае отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа.

Вы можете просматривать список всех принятых рисков в разделе Политики → Принятые риски.

[Topic 292001]

Принятие риска

Вы можете принять выявленные решением риски с учетом следующего:

• Для уязвимостей, ошибок конфигурации и конфиденциальных данных можно принять риски со всеми уровнями критичности.
• Для вредоносного ПО можно принять риски с уровнями критичности Средний, Низкий и Незначительный.

  Принятие риска в отношении вредоносного ПО с уровнями критичности Высокий и Критический невозможно.

Вы можете принять риск в следующих разделах:

• В окне результатов сканирования образа – риски принимаются для всех типов угроз (уязвимости, вредоносное ПО, ошибки конфигурации и конфиденциальные данные), выявленных в результате сканирования определенного образа.
• В разделе Исследование → Уязвимости – риски принимаются для всех выявленных решением уязвимостей. Риски принимаются в отношении всех артефактов, обнаруженных в процессе сканирования, в том числе объектов CI/CD.

Для принятия риска требуются права на управление рисками.

Чтобы принять риск по результатам сканирования образа:

1. В окне результатов сканирования образа откройте вкладку с информацией о выявленных угрозах нужного типа.
2. В таблице выберите угрозу и нажмите на кнопку Принять в столбце Принятие риска.
3. В открывшемся окне укажите параметры принятия риска:
   • Выберите, в каком объеме принимается риск:
     • для выбранного образа, в котором риск обнаружен;
     • для всех образов репозитория, в котором находится образ с обнаруженной угрозой;
     • для всех образов, в которых обнаружена или будет обнаружена эта угроза.
   • Установите срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образа.
   • Укажите причину принятия риска.
4. Нажмите на кнопку Принять.

Выбранная угроза не влияет на статус безопасности образа, образов репозитория или всех образов в течение указанного количества дней или бессрочно.

Принятый риск можно посмотреть в разделе Политики → Принятые риски.

Чтобы принять риск в отношении выявленной уязвимости:

1. Нажмите на идентификатор записи об уязвимости в одном из следующих разделов:
   • На вкладке Уязвимости в окне результатов сканирования образа.
   • В разделе Исследование → Уязвимости.
2. В открывшейся боковой панели перейдите на вкладку Принятие риска.

   Вкладка Принятие риска доступна, если у вас есть права на просмотр принятых рисков.

3. Нажмите на кнопку Добавить принятие риска.
4. В открывшемся окне укажите параметры принятия риска:
   • Выберите, в каком объеме принимается риск:
     • для выбранного артефакта (образа или объекта CI/CD);
     • для репозитория, в котором находится объект с обнаруженной уязвимостью;
     • для артефактов, в которых на текущий момент обнаружена эта уязвимость;
     • для всех артефактов, в том числе артефактов, которые решение может обнаружить при последующих проверках.

     Риск принимается без учета области применения.

   • Укажите период от 1 до 999 дней, по истечении которого принятие риска, связанного с этой уязвимостью, будет отозвано. По умолчанию установлен период 30 дней.
   • Укажите причину принятия риска.
5. Нажмите на кнопку Добавить.

Принятый риск отображается для уязвимости на вкладке Принятие риска. Его также можно посмотреть в разделе Политики → Принятые риски.

[Topic 292012]

Просмотр информации о принятых рисках

Список всех принятых рисков отображается в разделе Политики → Принятые риски.

В списке вы можете выполнять следующие действия:

• Выполнять поиск по названию риска, имени репозитория, образа или ресурса, в котором риск обнаружен.
• Фильтровать список по типу риска и наличию исправления от производителя.
• Формировать отчет по принятым рискам с помощью кнопки Сформировать отчет, расположенной над таблицей.
• Сортировать список по дате принятия, названию риска, охвату (действию на все образы или на один образ) и сроку действия. Сортировка осуществляется с помощью значка сортировки ().
• Просматривать подробную информацию о принятии риска и связанной угрозе. Окно с подробной информацией открывается по ссылке на названии риска.

С помощью кнопок в окне с подробной информацией вы можете выполнить следующие действия:

• Установить или продлить срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образов.
• Отменить принятие риска.

Информацию о принятом риске вы также можете посмотреть в списке обнаруженных угроз в результатах сканирования образов. В строке с угрозой, риск наличия которой был принят, отображается время принятия риска, по ссылке доступно окно с подробной информацией о принятии риска и связанной угрозе.

Информация о принятии риска в отношении определенной уязвимости также указывается в таблице со списком всех найденных решением уязвимостей в разделе Исследование → Уязвимости. В столбце Принятие риска отображается количество артефактов (образов, объектов CI/CD), для которых был принят риск.

Для просмотра о принятых в отношении уязвимости рисков требуются права на просмотр принятых рисков.
Информация о принятых рисках показываются без учета областей применения.

Более подробная информация по каждому принятию риска в отношении определенной уязвимости представлена в подробном описании уязвимости на вкладке Принятие риска.

[Topic 292016]

Отмена принятия риска

Чтобы отменить принятие риска:

1. Откройте таблицу со списком объектов, в которых обнаружен риск, в одном из следующих разделов:
   • На вкладке, соответствующей рассматриваемому риску, в окне результатов сканирования образа.
   • В разделе Исследование → Уязвимости.
2. Выберите риск и нажмите на кнопку Изменить в столбце Принятие риска.

   Кнопка Изменить показывается только для ранее принятых рисков.

3. Нажмите на кнопку Отозвать и подтвердите свое действие в открывшемся окне.

Отозвать принятие риска для уязвимостей вы также можете из окна с подробной информацией об уязвимости, нажав на значок на вкладке Принятие риска.

В результате отмены принятия риска угроза, связанная с риском, снова влияет на статус безопасности образа или образов, для которых риск был принят.

[Topic 279524]

Cканирование Java-пакетов в образах

Kaspersky Security для контейнеров предоставляет возможность сканировать Java-пакеты в составе образов в реестрах. Для этого решение использует базы данных уязвимостей Java-пакетов.

Сканирование Java-пакетов доступно в версии Kaspersky Security для контейнеров v1.2.1 и выше. Если у вас установлена более ранняя версия, для реализации этой функциональной возможности требуется обновить решение до версии v1.2.1.

Вы можете настроить сканирование Java-пакетов с помощью переменной окружения ENABLE_JAVA_VULN в файле values.yaml. Если ENABLE_JAVA_VULN = true, решение осуществляет сканирование с использованием баз данных уязвимостей Java-пакетов. Если ENABLE_JAVA_VULN = false, сканирование Java-пакетов не проводится.

По умолчанию для ENABLE_JAVA_VULN установлено значение false.

Компонент kcs-updates, начиная с версии v1.2.1, в комплекте поставки содержит базы данных уязвимостей Java-пакетов. При использовании этого компонента достаточно убедиться, что переменные окружения в файле values.yaml заданы следующим образом:

ENABLE_JAVA_VULN = true
KCS_UPDATES_TAG=vХ.Х.Х (значение переменной версии указывается в соответствии с версией установленного решения)
KCS_UPDATES=true

Если возможность сканирования Java-пакетов активирована (ENABLE_JAVA_VULN = true), компонент решения kcs-scanner загружает базы данных уязвимостей Java-пакетов и уведомляет об этом компоненты kcs-middleware и kcs-ih. После этого компонент kcs-ih получает от kcs-scanner файлы базы данных, осуществляет ее сборку и валидацию, а затем применяет в процессе сканирования.

Уязвимости, найденные по базе данных уязвимостей Java-пакетов, отображаются в результатах сканирования образов из реестров.

Kaspersky Security для контейнеров может также осуществлять сканирование Java-пакетов в образах во внешних реестрах и в процессе CI/CD с использованием внешнего сканера. При этом необходимо использовать сборку сканера с тегом vХ.Х.Х-with-db-java, которая содержит в себе предустановленную базу данных по уязвимостям Java. Настройка и использование указанной сборки осуществляются аналогично сборке vХ.Х.Х-with-db.

[Topic 290879]

Исследование событий безопасности

Для исследования произошедших в контейнерах событий и обнаруженных в образах уязвимостей Kaspersky Security для контейнеров предоставляет возможность выполнять следующие задачи:

• Анализ событий контейнеров. Решение позволяет определять события в контейнерах по запущенным процессам, файловым операциям, сетевому трафику и обнаруженному вредоносному ПО.
• Анализ уязвимостей. Решение формирует список уязвимостей, которые были обнаружены при статическом анализе образов реестров, сканирования образов в среде выполнения и объектов CI/CD.

[Topic 291028]

Анализ событий контейнеров

В разделе Исследование → События контейнеров Kaspersky Security для контейнеров дает возможность систематизировать произошедшие в контейнерах события для последующего анализа. Информация о событиях представлена в виде таблицы.

Раздел доступен при наличии прав на просмотр событий.

В таблице решение показывает следующую информацию о событиях:

• Дата и время наступления события.
• Тип события – Процесс, Файловые операции, Сетевой трафик или Защита от файловых угроз.
• Дополнительные данные о событии, которые отображаются следующим образом:
  • для запуска процессов показывается выполненная в контейнере команда;
  • для файловых операций приводится тип операции (например, запись или удаление);
  • для сетевого трафика отображается источник и получатель трафика, а именно имя пода или домена источника, порты и IP-адреса;
  • для событий, произошедших в рамках работы компонента Защита от файловых угроз, показывается название найденного вредоносного ПО.
• Режим примененной политики среды выполнения – Аудит или Блокирование.
• Имя запускаемого исполняемого файла контейнера с полным путем расположения. Для файловых операций путь к файлу отображается как имя и расположение файла или директории в файловой системе контейнера, в отношении которого были проведены какие-либо действия.

С помощью фильтров вы можете настроить отображение информации в таблице следующим образом:

• По типам событий:
  • по запущенным процессам;
  • по файловым операциям;
  • по сетевому трафику;
  • по обнаруженному в рамках работы компонента Защита от файловых угроз вредоносному ПО.
• По времени наступления события (требуется указать дату и время события). По умолчанию решение показывает события за текущий день.
• По данным о событии или пути (требуется ввести данные или путь в поле поиска).

Нажав на строку события в таблице, вы можете раскрыть боковую панель с подробной информацией о выбранном событии.

[Topic 293485]

Поиск событий контейнеров

В разделе Исследование → События контейнеров вы можете искать интересующие вас события, которые произошли в контейнерах.

Чтобы найти произошедшие в контейнере события безопасности,

В поле Поиск по информации о событии и пути укажите данные для поиска события.

В зависимости от типа события для поиска требуется указать следующее:

• Идентификатор контейнера или имя контейнера (для всех типов событий).
• Путь до файлов (для событий типа Процесс, Файловые операции или Защита от файловых угроз).
• IP-адрес или доменное имя (для событий типа Сетевой трафик).

Решение отобразит результаты поиска в таблице событий безопасности в разделе Исследование → События контейнеров.

[Topic 292170]

Подробная информация о запущенном процессе

Чтобы открыть подробную информацию о запущенном процессе:

1. Нажмите на любое место в строке события Процесс в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время запуска процесса.
  • Запущенная команда, включая аргументы.
  • Путь к файлу или директории.
  • Режим примененной политики среды выполнения.
• В блоке Местоположение приводится следующая информация о контейнере, где был запущен процесс:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о запущенном процессе:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • Идентификатор группы пользователей (англ. Group Identifier, GID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с запущенным процессом. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

[Topic 292232]

Подробная информация о файловых операциях

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Файловые операции в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Тип файловой операции (например, Создание или Удаление).

    Примеры файловых операций в Kaspersky Security для контейнеров

    Kaspersky Security для контейнеров выявляет следующие типы файловых операций:

    • Открытие.
    • Создание.
    • Чтение.
    • Запись.
    • Переименование или перемещение.
    • Удаление.
    • Изменение владельца.
    • Изменение прав доступа.
  • Путь к файлу или директории.
  • Новый путь к файлу или директории (отображается только для файловой операции типа Переименование или перемещение).
  • Новые права (отображается только для файловой операции типа Изменение прав доступа).
  • Режим примененной политики среды выполнения.
  • Код ошибки.
• В блоке Местоположение приводится следующая информация о контейнере, где были найдены файловые операции:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя этого образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором были найдены файловые операции:
  • Идентификатор родительского процесса (англ. Parent Process Identifier, PPID).
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Идентификатор пользователя (англ. User Identifier, UID).
  • Идентификатор группы (англ. Group Identifier, GID).
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
  • Действующий идентификатор группы (англ. Effective Group Identifier, EGID).
  • UID нового владельца (отображается только для файловой операции типа Изменение владельца).
  • GID нового владельца (отображается только для файловой операции типа Изменение владельца).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с обнаруженными файловыми операциями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

[Topic 292235]

Подробная информация о сетевом трафике

Чтобы открыть подробную информацию о файловых операциях,

1. Нажмите на любое место в строке события Сетевой трафик в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выполнения файловой операции.
  • Режим примененной политики среды выполнения.
  • Тип трафика: входящее или исходящее соединение.
• В блоке Источник приводится следующая информация о соединении:
  • Имя пода или домен источника соединения. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • IP-адрес источника сетевого трафика.
  • Используемый для соединения порт.
• В блоке Точка назначения представлены следующие данные о соединении:
  • Имя пода или домен получателя сетевого трафика. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • IP-адрес получателя сетевого трафика.
  • Используемый для соединения порт.
• В блоке Местоположение приводится следующая информация о контейнере, где был обнаружен сетевой трафик:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.
  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденными сетевыми соединениями. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

[Topic 292237]

Подробная информация о выявленных вредоносных объектах

Чтобы открыть подробную информацию о выявленных вредоносных объектах:

1. Нажмите на любое место в строке события Защита от файловых угроз в таблице событий безопасности в разделе Исследование → События контейнеров.
2. В открывшейся боковой панели перейдите на вкладку Информация.

Kaspersky Security для контейнеров отображает следующие данные:

• В блоке Общая информация указываются общие данные:
  • Дата и время выявления вредоносного ПО.
  • Название вредоносного ПО.
  • Тип обнаруженного вредоносного ПО (например, вирусное ПО).
  • Уровень критичности вредоносного ПО.
  • Контрольные суммы файла в форматах MD5 и SHA286.
  • Тип события (например, выявленная угроза).
  • Путь к файлу или директории.
  • Идентификатор владельца.
  • Идентификатор объекта.
  • Режим примененной политики среды выполнения.
  • Режим работы файлового перехватчика (работает вне зависимости от режима примененной политики среды выполнения).
• В блоке Местоположение приводится следующая информация о контейнере, где было найдено вредоносное ПО:
  • Идентификатор и имя контейнера.
  • Имя и контрольная сумма образа. Вы можете открыть страницу с результатами сканирования образа, нажав на имя образа.

    Для просмотра результатов сканирования образа требуются права на просмотр результатов сканирования образов. Также вам должна быть доступна область применения по кластерам.

  • Имя пода. Вы можете открыть подробную информацию о поде, нажав на имя пода.

    Для просмотра информации о поде требуются права на просмотр и управление ресурсами кластера. Также вам должна быть доступна соответствующая область применения.

  • Название пространства имен.
  • Имя кластера.
  • Имя и IP-адрес узла.
• В блоке Процесс представлены следующие данные о процессе, в котором было выявлено вредоносное ПО:
  • Идентификатор процесса (англ. Process Identifier, PID) и новый PID.
  • Действующий идентификатор пользователя (англ. Effective User Identifier, EUID).
• В блоке Примененные в контейнере политики среды выполнения в виде таблицы приводится список всех политик среды выполнения, которые могли применяться к контейнеру с найденным вредоносным ПО. Для каждой политики решение показывает название и режим применения политики.

  Вы можете открыть боковую панель с подробным описанием примененной политики, нажав на название политики. Данные о политике отображаются аналогично представлению информации о применимых политиках при просмотре информации о приложении на графе. При просмотре информации о политике действуют ограничения.

[Topic 292240]

Ограничения в отношении политик среды выполнения

Для каждого типа событий Kaspersky Security для контейнеров показывает список всех политик среды выполнения, которые могут применяться к контейнеру, где найдено анализируемое событие безопасности. Доступ к списку политик предоставляется с учетом следующих ограничений:

• Если пользователю предоставлены права на управление политиками среды выполнения и назначена такая же роль, как у автора политики, ему доступна вся информация по политикам, а также есть возможность изменять параметры политик среды выполнения.
• Если пользователю предоставлены права на просмотр политик среды выполнения, ему доступна для просмотра вся информация по политикам.
• Если пользователю не предоставлены права на просмотр политик среды выполнения, у него нет возможности открыть подробное описание политики среды выполнения. Пользователю доступна только информация по списку примененных политик среды выполнения на вкладке Информация в боковой панели с подробным описанием события безопасности.

[Topic 292233]

Исследование событий контейнеров с учетом соседних событий

При рассмотрении события следует обращать внимание и анализировать те события, которые произошли до и после интересующего вас события.

Чтобы посмотреть события, которые произошли до и после интересующего вас события:

1. Нажмите на любое место в строке события в таблице событий безопасности в разделе Исследование → События контейнеров.
2. Перейдите на вкладку Соседние события.

По умолчанию решение в виде таблицы показывает следующее:

• Рассматриваемое событие.
• 3 события, произошедшие до рассматриваемого события.
• 46 событий, произошедших после рассматриваемого события.

Для каждого события вы также можете посмотреть события в диапазоне 90 дней. Например, если вы просматриваете событие за текущий день, то можете открыть события за прошедшие 90 дней. Если интересующее вас событие произошло 45 дней назад, вы можете открыть события, произошедшие за 45 дней до рассматриваемого события.

Для каждого события в таблице решение показывает следующую информацию:

• Дата и время наступления события.
• Тип события.
• Дополнительные данные о событии.
• Полный путь расположения.

Вы можете открыть боковую панель с подробной информацией о выбранном событии, нажав на строку события в таблице.

Вы также можете загрузить информацию обо всех событиях с подробным описанием каждого из них в текстовом формате.

[Topic 290891]

Анализ выявленных уязвимостей

Kaspersky Security для контейнеров выявляет уязвимости в рамках статического анализа образов реестров, сканирования образов в среде выполнения и объектов CI/CD. Для целей анализа полный перечень обнаруженных уязвимостей представлен в виде таблицы в разделе Исследование → Уязвимости.

В таблице для каждой выявленной уязвимости представлено следующее:

• В столбце Уязвимость указывается идентификатор записи об уязвимости. Нажав на идентификатор, вы можете открыть страницу с подробной информацией о выявленной в образе уязвимости.
• В столбце Уровень критичности отображается уровень критичности обнаруженной уязвимости и наличие в ней эксплойта.
• В столбце Ресурс указывается наименование ресурса, где обнаружена уязвимость.
• В столбце Исправлено производителем отображается наличие исправления уязвимости от производителя. Решение показывает номер версии с исправлением или отмечает отсутствие исправления.
• В столбце Артефакты показывается количество артефактов (образы в реестрах и среде выполнения, а также объекты CI/CD), которые проверяет Kaspersky Security для контейнеров.

  Решение отображает количество уникальных образов по imagename:tag для выбранной области применения. При определении количества артефактов применяются следующие правила:

  • Если образ по imagename:tag попадает в ресурсы области применения по ресурсам и по кластерам, то такой образ учитывается один раз.
  • Если у пользователя есть доступ к ресурсам области применения по кластерам, но нет доступа к ресурсам по реестрам в этой области применения, учитывается только количество образов в среде выполнения.
  • Если в фильтре областей применения указывается значение Все, отображается общее количество артефактов для всех областей применения.
  • Артефакты CI/CD доступны для учета только при работе с глобальной областью применения.
• В столбце Рабочие нагрузки отображается количество подов, содержащих образы с уязвимостью.

С помощью фильтров вы можете выбрать уязвимости для отображения в таблице в разделе Исследование → Уязвимости.

[Topic 291052]

Выбор уязвимостей для отображения

Чтобы выбрать уязвимости для отображения в таблице с помощью кнопок фильтров, расположенных над таблицей:

1. Щелкните мышью на кнопках фильтра со значениями, которые нужно отображать. Уязвимости можно выбрать по следующим критериям:
   • Уязвимости по месту обнаружения:
     • Образ в реестрах.
     • Образ, развернутый в среде выполнения.
     • Объект CI/CD.
   • Уязвимости по уровню критичности:
     • Незначительный.
     • Низкий.
     • Средний.
     • Высокий.
     • Критический.

   По умолчанию выбраны все места обнаружения и уровни критичности уязвимостей.

2. При необходимости с помощью переключателя Выключено / Включено активируйте или отключите отображение только уязвимостей с доступными эксплойтами. По умолчанию переключатель установлен на значение Выключено.
3. При необходимости в поле поиска укажите идентификатор уязвимости или наименование ресурса.

Чтобы выбрать уязвимости для отображения в таблице с помощью фильтра:

1. Нажмите на значок фильтра () над таблицей со списком уязвимостей.
2. В открывшейся боковой панели с помощью переключателя Выключено / Включено активируйте или отключите отображение только уязвимостей с доступными эксплойтами. По умолчанию переключатель установлен на значение Выключено.
3. Для определения уровня критичности выберите один из предложенных вариантов: Уровень критичности или Оценка, а затем выполните следующие действия:
   • Если вы выбрали Уровень критичности, выберите кнопки со значениями, которые нужно отображать. Для выбора доступны следующие значения:
     • Незначительный.
     • Низкий.
     • Средний.
     • Высокий.
     • Критический.

     По умолчанию выбраны все уровни критичности уязвимостей.

   • Если вы выбрали Оценка, с помощью ползунка определите оценку уязвимости. Доступны значения от 0 до 10. Решение будет отображать уязвимости, соответствующие установленной оценке уязвимости.
4. Для параметра Исправлено производителем укажите наличие исправления производителя: Все, Доступно или Недоступно. По умолчанию указано значение Все.
5. Для параметра Принятие риска укажите наличие факта принятия риска для выбранной уязвимости в указанном ресурсе: Все, Принято или Не принято. По умолчанию указано значение Все.
6. Для параметра Место обнаружения укажите место обнаружения уязвимости:
   • Образ в реестрах.
   • Образ, развернутый в среде выполнения.
   • Объект CI/CD.

   По умолчанию выбраны все места обнаружения уязвимостей.

[Topic 291067]

Ограничения, связанные с областями применения

Доступ к списку обнаруженных уязвимостей осуществляться по областям применения, назначенным пользователю следующим образом.

• Если пользователю назначена глобальная область применения, ему доступна вся информация по выявленным уязвимостям, в том числе объектам CI/CD.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по реестрам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки равно 0.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по кластерам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки больше 0.
• Если назначенная пользователю область применения предполагает доступ к ресурсам по реестрам и по кластерам, пользователю показываются уязвимости, у которых значение в столбце Рабочие нагрузки больше или равно 0.

[Topic 282364]

Интеграция со сторонними ресурсами

Для выявления проблем безопасности и обеспечения защиты контейнеризированных приложений Kaspersky Security для контейнеров осуществляет интеграции со следующими сторонними ресурсами:

• Внешние реестры образов. Решение позволяет проводить сканирование образов контейнеров и IaC, размещенных на платформах управления и хранения репозиториев, в том числе в рамках процесса CI/CD, на уязвимости, вредоносное ПО, ошибки конфигурации и наличие конфиденциальных данных.
• Модули проверки подписей образов. Kaspersky Security для контейнеров может осуществлять проверку подлинности и действительности цифровых подписей образов с помощью внешнего приложения для подписи.
• Средства уведомления. При реализации политик реагирования решение может уведомлять пользователей о событиях безопасности с помощью сообщений, направленных по электронной почте или Telegram.
• Внешние службы каталогов по протоколу LDAP. При определении ролей пользователей и областей применения решение позволяет настраивать учетные записи пользователей с учетом данных из внешней службы каталогов и соотносить роли пользователей с группами пользователей из Active Directory.
• SIEM-системы. Решение позволяет подключаться к системам управления событиями и информацией о безопасности, чтобы отправлять сообщения о событиях для их анализа и последующего реагирования на потенциальные угрозы.
• Внешнее хранилище HashiCorp Vault. Решение обеспечивает возможность безопасного хранения и использования паролей, токенов и секретов с помощью хранилища HashiCorp Vault.

[Topic 292431]

Настройка интеграции с внешними реестрами образов

Kaspersky Security для контейнеров может сканировать образы из следующих внешних реестров образов:

• Harbor.
• GitLab Registry.
• JFrog Artifactory.
• Sonatype Nexus Repository OSS.
• Yandex Registry.
• Docker Hub.
• Docker Registry.

  Интеграция с Docker Registry требует поддержки Docker Registry V2 API на стороне сервера внешнего реестра.

• Red Hat Quay.
• Amazon Elastic Container Registry.

Вам нужно настроить интеграцию решения с внешними реестрами, чтобы решение могло сканировать образы из внешних реестров. Образы из реестров, интегрированных с Kaspersky Security для контейнеров, могут сканироваться автоматически или вручную, в зависимости от настроенных параметров выгрузки и сканирования образов для каждого реестра.

[Topic 295773]

Минимально достаточные права для интеграции с реестрами

Для осуществления интеграции с внешними реестрами образов учетной записи Kaspersky Security для контейнеров требуется обладать определенным набором прав, который различается в зависимости от типа реестра. Ниже для каждого типа реестра представлен перечень минимально достаточных для интеграции прав учетной записи.

GitLab

Для интеграции решения с реестром учетной записи пользователя GitLab требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: Репортер (Reporter).
• Уровень доступа к проекту: Репортер (Reporter).
• Права, назначенные токену пользователя: read_api, read_registry.

JFrog Artifactory

Для интеграции решения с реестром учетной записи пользователя JFrog требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: Управление отчетами (Manage Reports).
• Вариант доступа к проекту: Полномочия на обновление профиля (Can Update Profile).
• Права пользователя: право на чтение любого репозитория (репозиторий ANY).

Harbor

Для интеграции решения с реестром учетной записи пользователя Harbor требуется определить значения параметров следующим образом:

• Тип участия в проекте: пользователь. Для этого в столбце Тип участия (Member Type) таблицы в разделе Проекты → Участники требуется указать Пользователь (User).
• Роль пользователя в проекте или группе: пользователь с ограниченными правами. Для этого в столбце Роль (Role) таблицы в разделе Проекты → Участники требуется указать Гость (Guest).
• Права пользователя: пользователь без прав администратора. Для этого в столбце Администратор таблицы в разделе Пользователи (Users) требуется выбрать Нет (No).

Nexus

Для интеграции решения с реестром учетной записи пользователя Nexus требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: пользователь.
• Права, назначенные роли пользователя в проекте или группе: nx-apikey-all, nx-repository-view-docker-*-browse, nx-repository-view-docker-*-read.

Docker Hub

Интеграция решения с реестром учетной записи пользователя Docker Hub осуществляется после авторизации с использованием имени пользователя и пароля.

Этот вариант интеграции с реестром Docker Hub применяется только для личного пространства имен.

RedHat Quay

Для интеграции решения с реестром учетной записи пользователя RedHat Quay требуются следующие права:

• Права пользователя для правильной работы функции проверки соединения (англ. Test Connection): пользователь с правом администрирования (Administer Organization).
• Права на просмотр всех видимых репозиториев (View all visible repositories).
• Права на чтение и запись в доступных репозиториях (Read/Write to any accessible repositories).

Yandex

Для интеграции решения с реестром учетной записи пользователя Yandex требуется определить значения параметров следующим образом:

• Роль пользователя в проекте или группе: container-registry.viewer.
• Права, назначенные роли пользователя в проекте или группе: права на просмотр реестров в контейнере.

Amazon Elastic Container Registry

Для интеграции решения с реестром учетной записи пользователя Amazon Elastic Container Registry требуется определить значения параметров следующим образом:

• Политика AWS для доступа к проекту или группе: AmazonEC2ContainerRegistryReadOnly.
• Права, назначенные роли пользователя в проекте или группе: права на просмотр и чтение.

[Topic 294428]

Работа с публичными реестрами образов без авторизации

В версии 2.0 Kaspersky Security для контейнеров не работает с публичными реестрами образов без авторизации. Например, вы не можете осуществлять проверку образов с помощью решения при анонимном доступе в Docker Hub.

Без процедуры авторизации в публичных реестрах образов вы можете использовать такие реестры образов в кластере, добавлять в Kaspersky Security для контейнеров и вручную назначать определенной области применения. Если область применения включает в себя только один или несколько публичных реестров, в которых вы не авторизованы, и вы попытаетесь добавить образ в разделе Ресурсы → Реестры, решение отображает ошибку о невозможности добавления образов в связи с отсутствием интеграции с реестрами образов.

[Topic 292488]

Создание интеграции с внешним реестром образов

Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 2.0 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.

Чтобы создать интеграцию с внешним реестром:

1. В разделе Администрирование → Интеграции → Реестры образов нажмите на кнопку Добавить реестр.

   Откроется окно ввода параметров интеграции.

2. На вкладке Параметры реестра укажите параметры подключения к реестру:
   1. Введите название реестра.
   2. Если требуется, введите описание реестра.
   3. Выберите тип реестра из раскрывающегося списка поддерживаемых типов. Решение поддерживает следующие типы реестров:
      • Harbor (интеграция с использованием Harbor V2 API).
      • GitLab Registry (интеграция с использованием GitLab Container Registry API).
      • JFrog Artifactory (интеграция с использованием JFrog API).
      • Sonatype Nexus Repository OSS (интеграция с использованием Nexus API).
      • Yandex Registry (интеграция с использованием Yandex Container Registry API).
      • Docker Hub (интеграция с использованием Docker Hub API).
      • Docker Registry (интеграция с использованием Docker Registry V2 API).
      • Red Hat Quay (интеграция с использованием Red Hat Quay API).
      • Amazon Elastic Container Registry (интеграция с использованием Amazon Elastic Container Registry API).

      Доступ к реестру Docker Registry с использованием Docker Registry V2 API можно получить, если вы настраиваете интеграцию с Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (с помощью порта или поддомена) или Yandex Registry. Интеграции с GitLab Registry, Docker Hub и JFrog Artifactory (с помощью Repository Path) не поддерживаются.

   4. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker Hub из раскрывающегося списка Метод Repository Path выберите один из следующих методов:
      • Repository path.
      • Поддомен.
      • Порт.
   5. Если вы настраиваете интеграцию с реестром Sonatype Nexus Repository OSS, выберите режим выгрузки: Образы с тегами или Все образы. Если выбран режим Все образы, решение выгружает все образы реестра вне зависимости от наличия у них тегов. Образы без тегов отображаются по имени хеша сборки.
   6. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry или Red Hat Quay, введите полный веб-адрес (URL) реестра, который указывает непосредственно на реестр контейнеров. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).

      При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.

   7. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS и Red Hat Quay, введите полный веб-адрес (URL), который указывает на API реестра.
   8. Выберите метод аутентификации и укажите для него необходимые данные следующим образом:
      • Если вы настраиваете интеграцию с реестром типа GitLab Registry, выберите аутентификацию с помощью учетной записи или токена доступа.
      • Если вы настраиваете интеграцию с реестром типа Yandex Registry, выберите аутентификацию с помощью ключа API (OAuth-токен Yandex) или с помощью имени пользователя и токена. В качестве имени пользователя укажите oauth при использовании OAuth-токена Yandex или iam при использовании IAM-токена Yandex.
      • Для реестров типа Sonatype Nexus Repository OSS и Docker Hub аутентификация возможна только с помощью учетной записи.
      • Для реестров типа Harbor аутентификация возможна только с помощью учетной записи пользователя или робота.
      • Для реестров типа Docker Registry аутентификация возможна только с помощью имени пользователя и пароля, значения которых предоставляются Docker V2 API.
      • Для реестров типа Red Hat Quay аутентификация возможна только с помощью названия организации и токена доступа. Укажите значения этих параметров в полях Название организации и OAuth-токен.
      • Для реестров типа Amazon Elastic Container Registry аутентификация возможна с помощью указания региона, идентификатора ключа доступа (англ. Access key ID) и секретного ключа доступа (англ. Secret access key).

        В поле Регион требуется указать один из принятых в Amazon Web Services регионов (например, us-west-2 или us-east-2).

        Для параметров Идентификатор ключа доступа и Ключ доступа необходимо указать значения, полученные с помощью консоли управления AWS.

3. Перейдите на вкладку Кеширование репозиториев и с помощью переключателя Выключено / Включено при необходимости включите кеширование репозиториев. Если кеширование выключено, репозитории и образы в разделе Реестры отображаются только при использовании поля Поиск. Если кеширование включено, решение отображает доступный список репозиториев и образов. По умолчанию кеширование репозиториев выключено.

   При включенном кешировании репозиториев эффективность работы Kaspersky Security для контейнеров может быть снижена.

4. Перейдите на вкладку Параметры сканирования образов и укажите следующие параметры сканирования образов:
   • Максимальное время сканирования образов из этого реестра в минутах. По умолчанию установлено значение 60 минут.

     Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.

     Параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.

     Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:

     • Интервал сканирования (дн.) – периодичность выгрузки образов из реестра для сканирования в днях. По умолчанию установлено значение 1 день.
     • Время сканирования (по Гринвичу) – время осуществления сканирования образов из реестра.
     • При необходимости установите флажок для повторного сканирования ранее выгруженных образов при каждом сканировании новых образов.
     • При необходимости в блоке Расширенные настройки установите флажок Шаблоны имени/тега, чтобы с помощью шаблонов имен и/или тегов образов указать, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.

       Вы можете использовать шаблоны следующих форматов:

       • шаблон по имени и тегу образа – <имя><:тег>;
       • шаблон только по имени образа – <имя>;
       • шаблон только по тегу образа – <:тег>.

       Например:

       • по шаблону alpine будут выгружаться все образы с именем alpine, независимо от тега;
       • по шаблону :4 будут выгружаться все образы с тегом 4, независимо от имени образа;
       • по шаблону alpine:4 будут выгружаться все образы, с именем alpine и с тегом 4.

       При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.

       Вы можете добавить один или несколько шаблонов.

     • Выберите один из вариантов дополнительных условий для выгрузки образов:
       • Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
       • Если необходимо выгружать только образы, созданные за определенный период, выберите этот вариант и в полях справа укажите длительность периода и единицу измерения. По умолчанию установлено 60 дней.
       • Если требуется выгружать только образы с последними тегами, считая от даты создания образа, выберите этот вариант и в поле справа укажите, сколько последних тегов из каждого репозитория требуется учитывать.
     • При необходимости в блоке Исключения с помощью установки флажков определите исключения для выгрузки образов:
       • Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
       • Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
5. Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с реестром.
6. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.

Пример параметров интеграции с реестром Red Hat Quay

[Topic 292566]

Просмотр информации об интеграциях с реестрами

В разделе Администрирование → Интеграции → Реестры образов отображается таблица со списком всех реестров, интегрированных с Kaspersky Security для контейнеров.

В таблице отображаются следующие данные об интегрированных реестрах:

• Название интеграции с реестром образов.
• Описание, если оно указывалось при создании интеграции с реестром образов.
• Тип подключенного реестра.
• Веб-адрес реестра.
• Статус последнего соединения с реестром образов – Успешно или Ошибка. Если указывается Ошибка, решение также отображает краткое описание ошибки при соединении.

В таблице вы можете выполнять следующие действия:

• Добавлять новые интеграции с реестрами. Окно ввода параметров интеграции открывается с помощью кнопки Добавить реестр над таблицей.
• Просматривать и изменять параметры интеграции с реестром, в том числе параметры выгрузки и сканирования образов. Окно редактирования открывается по ссылке на названии реестра.

  В этом окне с помощью кнопки Проверить соединение вы также можете посмотреть, устанавливается ли соединение с реестром.

• Удалять интеграции с реестром.

[Topic 274590]

Удаление интеграции с внешним реестром

Чтобы удалить интеграцию с внешним реестром:

1. В разделе Администрирование → Интеграции → Реестры образов выберите интеграцию для удаления, установив флажок в строке с названием реестра. Вы можете выбрать одну или несколько интеграций.
2. Нажмите на кнопку Удалить, которая расположена над таблицей.

   Кнопка Удалить становится активной после выбора одной или нескольких интеграций.

3. Подтвердите удаление в открывшемся окне.

Kaspersky Security для контейнеров не сканирует образы из реестра, интеграция с которым удалена.

[Topic 272923]

Интеграция с Harbor

Интеграция Kaspersky Security для контейнеров с внешним реестром Harbor осуществляется двумя способами:

• аналогично стандартной интеграции с другими внешними реестрами;
• по запросу внешнего реестра Harbor.

Harbor рассматривает решение как дополнительный внешний сканер для проверки объектов на наличие в них уязвимостей. Интеграция с Kaspersky Security для контейнеров настраивается с помощью плагина интеграции со сканером для Harbor (Harbor scanner plugin). Решение присваивает такому автоматически созданному реестру образов название Harbor External Integration и отмечает репозиторий, в котором он находится, значком Harbor ().

Такая интеграция остается единственной автоматически созданной интеграцией с Harbor, а присвоенное реестру образов название невозможно изменить.

Для запуска процесса сканирования Harbor необходимо знать конечную точку API-интерфейса Kaspersky Security для контейнеров.

Для создания интеграции по запросу Harbor требуются права на просмотр и настройку сканирования в CI/CD. Если такие права отсутствуют, Harbor не сможет подключить решение в качестве сканера и проводить проверку объектов в рамках процесса CI/CD.

[Topic 273008]

Создание интеграции по запросу Harbor

Для создания интеграции с реестром по запросу Harbor необходимо иметь учетную запись Harbor с правами администратора, а также права на просмотр и настройку сканирования в CI/CD в Kaspersky Security для контейнеров. Если такие права отсутствуют, Harbor не сможет подключить решение в качестве сканера.

Чтобы создать интеграцию с Harbor по запросу Harbor:

1. В главном меню в левой панели в веб-интерфейсе Harbor выберите Administration → Interrogation Services.
2. Нажмите на кнопку New Scanner.
3. Введите следующую информацию:
   • Уникальное имя интеграции с решением для отображения в интерфейсе Harbor.
   • При необходимости, описание добавляемого внешнего сканера.
   • Адрес конечной точки API-интерфейса Kaspersky Security для контейнеров, который показывается Harbor.
4. В раскрывающемся списке Authorization выберите APIKey как способ авторизации при подключении реестра к решению.
5. В поле APIKey введите значение токена API.

   Если токен API меняется, необходимо указать его новое значение до запуска сканирования Harbor. Если новый токен API не будет добавлен в параметры внешнего сканера в Harbor, сканирование завершится с ошибкой.

6. Установите флажок Skip certificate verification, чтобы пропустить проверку сертификата.
7. При необходимости нажмите Test Connection, чтобы проверить, что Harbor может подключиться к решению.
8. Нажмите Add, чтобы создать интеграцию.

В списке доступных сканеров в разделе Administration → Interrogation Services → Scanners Harbor отображается имя, присвоенное решению в Harbor.

Новый сканер используется для сканирования объектов, если в Harbor он указан как сканер по умолчанию или назначен проекту. Оба варианта требуют дополнительной настройки в Harbor.

После запуска сканирования во внешнем реестре создается интеграция с решением по запросу Harbor. Kaspersky Security для контейнеров отображает созданный реестр Harbor External Integration в списке реестров образов в разделе Администрирование → Интеграции → Реестры образов. Репозиторий, в котором находятся образы из внешнего реестра, отмечен значком Harbor (). Harbor External Integration обновляется после запуска и проведения другого сканирования во внешнем реестре.

В автоматически созданный реестр образов из Harbor невозможно добавить образ с помощью кнопки Добавить образы в консоли управления.

Сканирование Harbor External Integration может инициироваться вручную или запускаться автоматически из внешнего реестра. Вы не можете запустить сканирование или повторное сканирование образов из автоматически созданного реестра образов из Harbor в Kaspersky Security для контейнеров.

Сканирование реестра Harbor External Integration (как и реестра, созданного в рамках стандартной интеграции с Harbor) осуществляется на основе параметров соответствующей политики сканирования.

По окончанию сканирования решение формирует отчет по уязвимостям, найденным при проверке выбранных объектов, и отправляет его в Harbor. Если отправка отчета занимает более пяти секунд (например, из-за качества сетевого подключения), в интерфейсе внешнего реестра отображается ошибка получения результатов сканирования.

[Topic 273028]

Просмотр и изменение параметров Harbor External Integration

Реестр образов Harbor External Integration отображается в списке реестров, интегрированных с Kaspersky Security для контейнеров, в разделе Администрирование → Интеграции → Реестры образов.

Чтобы изменить параметры Harbor External Integration:

1. Выберите реестр Harbor External Integration в списке реестров образов в разделе Администрирование → Интеграции → Реестры образов.
2. Укажите значения следующих доступных для изменения параметров:
   • Описание на вкладке Параметры реестра.
   • Максимальное время сканирования на вкладке Параметры сканирования образов.

   Вы не можете изменять другие параметры реестра Harbor External Integration.

3. Нажмите Сохранить.

[Topic 273010]

Повторное сканирование

После получения результатов сканирования объекты из реестра Harbor External Integration невозможно отправить на повторное сканирование из Kaspersky Security для контейнеров. Повторное сканирование можно инициировать только из Harbor.

Если вы создаете интеграцию с Harbor из Kaspersky Security для контейнеров и созданный реестр образов аналогичен Harbor External Integration, к повторному сканированию применяются следующие правила:

• Сканирование объектов в созданном в решении реестре не запускает повторное сканирование в Harbor External Integration.
• Сканирование объектов в Harbor External Integration не запускает повторное сканирование в созданном в решении реестре.

[Topic 267228]

Интеграция с CI/CD

Kaspersky Security для контейнеров позволяет проводить сканирование образов контейнеров и IaC, размещенных в системах управления репозиториями кода в рамках процесса CI/CD, на уязвимости, вредоносное ПО, ошибки конфигурации и наличие конфиденциальных данных.

На этапе сборки проекта в системе управления репозиториями можно запустить сканер Kaspersky Security для контейнеров для проверки содержащихся в репозитории объектов на соответствие требованиям включенных политик безопасности. Сканер запускается из реестра с помощью агента, например, GitLab Runner в GitLab. Данные о задании для сканирования и направлении результатов сканирования передаются посредством программного интерфейса приложения (API).

При запуске проверки объектов на этапе сборки проекта необходимо убедиться, что в настройках применимой политики безопасности образов не выбрано Блокировать этап CI/CD. Если эта настройка активирована, решение уведомит вас об ошибке при сканировании.

Результаты сканирования отображаются в таблице в разделе Ресурсы → CI/CD → Сканирование в CI/CD.

Для каждого из представленных в таблице объектов Kaspersky Security для контейнеров отображает следующее:

• Дату и время последнего сканирования.
• Название.
• Оценку уровня риска.
• Обобщенные результаты сканирования с указанием выявленных объектов, относящимся к уязвимостям, вредоносному ПО, конфиденциальным данным и ошибкам конфигурации.
• Тип артефакта.
• Номер и пайплайн сборки, в которой проводилось сканирование образа.

В разделе Ресурсы → CI/CD → Сканирование в CI/CD вы также можете сформировать отчет по образам, которые сканируются в рамках процесса CI/CD.

Отчеты формируются только для объектов с типом артефакта Образ. Для других типов артефактов формирование отчета недоступно.

[Topic 296997]

Проверка образов в процессах CI/CD

С помощью решения вы можете сканировать образы, которые используются в процессах CI/CD. Для проверки образов из CI/CD вам требуется настроить интеграцию решения с процессами CI/CD.

Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.

Чтобы выполнять проверку образов или репозиториев (для сканирования конфигурационных файлов), используемых в процессе CI/CD, вам нужно добавить в пайплайн CI/CD отдельный этап, на котором запускается сканер Kaspersky Security для контейнеров.

Для проведения сканирования образов из CI/CD в конфигурационном файле интеграции с репозиторием сканеру требуется указать переменные окружения API_BASE_URL (веб-адрес хост-сервера API Kaspersky Security для контейнеров) и API_TOKEN (токен для доступа к API Kaspersky Security для контейнеров). Также необходимо указать API_CA_CERT (сертификат для проверки хост-сервера API решения) или SKIP_API_SERVER_VALIDATION=true для пропуска такой проверки.

Результаты сканирования передаются на сервер и отображаются в консоли управления в разделе Ресурсы → CI/CD. В представленной таблице перечислены образы, для которых проводилась проверка, указываются результаты оценки риска и выявленные уязвимости.

По ссылке в названии образа вы можете открыть страницу, содержащую подробную информацию о результатах сканирования образа. Страница аналогична странице с результатами сканирования образов из реестров.

Kaspersky Security для контейнеров также отображает тип артефакта для каждого объекта. Используются два основных артефакта:

• Файловая система – это репозиторий с содержащимися в нем конфигурационными файлами.
• Образ контейнера – это шаблон, на основе которого реализуется контейнер в среде выполнения.

Для каждого объекта проверки можно указывать номер сборки (BUILD_NUMBER) и

Для образов из CI/CD недоступно повторное сканирование.

В Kaspersky Security для контейнеров осуществляются следующие виды сканирования в CI/CD:

• Сканирование образов из реестра образов. Решение осуществляет проверку после успешной сборки и сохранения образа в реестр образов.
• Сканирование образов, помещенных в архивы в формате TAR. Созданный TAR-архив сохраняется как артефакт сборки, который сканер решения проверяет в следующем пайплайне сборки.
• Сканирование Git-репозитория, которое может проводиться одним из следующих способов:
  • по ветке (отдельному направлению разработки) проекта в Git-репозитории;
  • по коммиту (снимку состояния или контрольной точке на временной шкале проекта).

Чтобы провести сканирование образа из реестра образов,

выполните команду запуска сканирования в следующем формате:

/scanner [TARGET] --stdout

где:

• <TARGET> – полный адрес образа в реестре;
• <--stdout> – вывод данных в журнал событий безопасности.

Для доступа к реестру необходимо установить в переменных окружения логин COMPANY_EXT_REGISTRY_USERNAME и пароль (токен) COMPANY_EXT_REGISTRY_PASSWORD.
Для использования сертификата для безопасного подключения к реестру необходимо указать данные сертификата в переменной окружения COMPANY_EXT_REGISTRY_TLS_CERT в виде следующей строки в формате .PEM: -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

Примеры сканирования образов в GitLab CI/CD и Jenkins CI/CD.

Чтобы провести сканирование образа из TAR-архива:

1. Соберите образ и сохраните его в виде TAR-архива с помощью любого приложения для создания контейнеризированных образов.
2. Выполните команду запуска сканирования в следующем формате:

   /scanner [TARGET] --file --stdout

   где:

   • <TARGET> – путь к файлу образа для сканирования;
   • <--file> – флаг, указывающий на сканирование файла TARGET;
   • <--stdout> – вывод данных в журнал событий безопасности.

   Пример конфигурационного файла со значениями параметров для сканирования TAR-архива

   stages:

   - build_tar

   - scan_tar

   - push_image

   build_tar:

   stage: build_tar

   tags:

   - k8s

   - docker

   image:

   name: gcr.io/kaniko-project/executor:v1.9.0-debug

   entrypoint: [""]

   dependencies:

   - scan_source_branch

   - scan_source_commit

   script:

   - mkdir -p /kaniko/.docker

   - echo "${DOCKER_AUTH_CONFIG}" > /kaniko/.docker/config.json

   - /kaniko/executor

   --context "${CI_PROJECT_DIR}"

   --dockerfile "${CI_PROJECT_DIR}/Dockerfile"

   --destination "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

   --compressed-caching=false

   --build-arg GITLAB_USER=gitlab-ci-token

   --build-arg GITLAB_TOKEN=${CI_JOB_TOKEN}

   --no-push

   --tarPath=image.tar

   artifacts:

   paths:

   - image.tar

   expire_in: 2 hours

   scan_tar:

   stage: scan_tar

   tags:

   - k8s

   - docker

   dependencies:

   - build_tar

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - /scanner image.tar --file --stdout

   artifacts:

   paths:

   - image.tar

   expire_in: 2 hours

   push_image:

   stage: push_image

   tags:

   - k8s

   image:

   name: gcr.io/go-containerregistry/crane:debug

   entrypoint: [""]

   dependencies:

   - scan_tar

   script:

   - mkdir -p $HOME/.docker

   - echo "${DOCKER_AUTH_CONFIG}" > $HOME/.docker/config.json

   - /ko-app/crane push image.tar "${CI_REGISTRY_IMAGE}:${CI_COMMIT_REF_NAME}"

Чтобы провести сканирование Git-репозитория:

1. В конфигурационном файле Git-репозитория в переменных окружения укажите токен для доступа к репозиторию (GITHUB_TOKEN или GITLAB_TOKEN).
2. Выполните команду запуска сканирования в следующем формате:

   /scanner [TARGET] --repo [--branch BRANCH] [--commit COMMIT] --stdout

   где:

   • <TARGET>– веб-адрес (URL) Git-репозитория;
   • <--repo> – флаг, указывающий на сканирование файла TARGET;
   • <--branch BRANCH> – ветка репозитория для сканирования;
   • <--commit COMMIT> – хеш коммита для сканирования;
   • <--stdout> – вывод данных в журнал событий безопасности.

   Пример конфигурационного файла с переменными окружения для сканирования образа из Git-репозитория

   stages:

   - scan_source_branch

   - scan_source_commit

   scan_source_branch:

   stage: scan_source_branch

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   tags:

   - k8s

   - docker

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --branch ${CI_COMMIT_BRANCH} --stdout

   scan_source_commit:

   stage: scan_source_commit

   image:

   name: "company.gitlab.cloud.net:5050/companydev/example/scanner:master-with-db"

   pull_policy: always

   entrypoint: [""]

   tags:

   - k8s

   - docker

   variables:

   API_BASE_URL: ${API_BASE_URL}

   API_TOKEN: ${API_TOKEN}

   API_CA_CERT: ${KCS_CA_CERT}

   script:

   - GITLAB_TOKEN=${CI_JOB_TOKEN} /scanner --repo ${CI_REPOSITORY_URL} --commit ${CI_COMMIT_SHA} --stdout

Результаты сканирования можно посмотреть в разделе Ресурсы → CI/CD, а также получить в форматах .SPDX, .JSON и .HTML.

[Topic 297122]

Настройка интеграции с GitLab CI/CD

В этом примере используется специальный образ сканера со встроенными базами данных уязвимостей, размещенный в реестре образов производителя решения.

Для использования возможности сканирования образов в процессе GitLab CI/CD вам нужно включить использование GitLab Container Registry.

Настройка интеграции состоит из следующих этапов:

1. Авторизация GitLab CI/CD в реестре образов производителя Kaspersky Security для контейнеров.
   1. На рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:

      printf "login:password" | openssl base64 -A

      где login и password – имя и пароль учетной записи в реестре образов производителя Kaspersky Security для контейнеров.

   2. В переменных окружения GitLab CI/CD создайте переменную DOCKER_AUTH_CONFIG (в GitLab репозитории выберите Settings -> CI/CD, нажмите на кнопку Expand, чтобы развернуть блок Variables, затем нажмите на кнопку Add variable).
   3. Укажите содержимое переменной в следующем виде:

      {

      "auths": {

      "repo.cloud.example.com": {

      "auth": "base64hash"

      }

      }

      }

      где base64hash – строка, полученная на этапе 1a.

2. Авторизация запросов из GitLab CI/CD при отправке данных в Kaspersky Security для контейнеров.
   1. Скопируйте токен API на странице Мой профиль.
   2. Укажите скопированное значение токена API в переменной API_TOKEN в конфигурационном файле .gitlab-ci.yml.
3. Добавление этапа сканирования образов в процесс CI/CD.

   Чтобы добавить этап сканирования в пайплайн CI/CD, необходимо добавить в файл .gitlab-ci.yml следующие строки:

   1. Добавьте информацию по образу сканера, содержащего базы уязвимостей и других вредоносных объектов, после этапа сборки кода в следующем виде:

      scan_image:

      stage: scanner

      image:

      name: repo.cloud.example.com/repository/company/scanner:v2.0-with-db

      entrypoint: [""]

      pull_policy: always

      Мы рекомендуем указывать always для параметра pull_policy, чтобы получать свежие сборки с обновленными базами уязвимостей и других вредоносных объектов при каждом сканировании.

   2. Укажите тег, идентификатор сборки, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

      SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master

      BUILD_NUMBER: ${CI_JOB_ID}

      BUILD_PIPELINE: ${CI_PIPELINE_ID}

      API_TOKEN: <значение токена API>

      В приведенном примере указан тег master, вы можете указать другой тег.

   3. Если вы настраиваете сканирование для приватного репозитория, для доступа сканера к образу укажите авторизационные данные. Их можно задать в виде переменных.

      COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}

      COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}

   4. Для использования сертификата для безопасного подключения к реестру укажите данные сертификата в переменной окружения COMPANY_EXT_REGISTRY_TLS_CERT в виде строки в формате .PEM:

      -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

   5. Укажите следующие параметры, обеспечивающие взаимодействие через прокси-сервер:

      HTTP_PROXY: <прокси-сервер для запросов по протоколу HTTP>

      HTTPS_PROXY: <прокси-сервер для запросов по протоколу HTTPS>

      NO_PROXY: <домены или соответствующие им маски для исключения из проксирования>

   6. При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:

      API_CA_CERT: ${KCS_CA_CERT}

      СА-сертификат Ingress-контроллера указывается в текстовом поле в виде строки в формате .PEM:

      -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----

      Если переменная API_CA_CERT не задана, проверка будет запускаться, но не будет пройдена.

      Использование СА-сертификата Ingress-контроллера позволяет запускаемому в CI/CD сканеру убедиться в подлинности сервера приема данных.

      Если вы используете самоподписанный сертификат или специально хотите пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера, укажите значение переменной для пропуска проверки следующим образом:

      SKIP_API_SERVER_VALIDATION: 'true'

   7. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

      API_BASE_URL: <веб-адрес>

      variables:

      API_BASE_URL: ${API_BASE_URL}

      script:

      - /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json

      artifacts:

      paths:

      - artifact-result.json

После настройки интеграции с внешним реестром вы можете проводить сканирование образов в процессе CI/CD, в том числе осуществлять сканирование в режиме SBOM. Результаты сканирования можно посмотреть в разделе Ресурсы → CI/CD, а также получить в форматах .SPDX, .JSON и .HTML.

[Topic 297198]

Настройка интеграции с Jenkins CI/CD

Настройка интеграции с Jenkins CI/CD состоит из следующих этапов:

1. Авторизация Jenkins CI/CD в реестре образов производителя Kaspersky Security для контейнеров. Для этого на рабочей станции оператора кластера подготовьте хеш по алгоритму Base64 от авторизационных данных, выполнив команду:

   printf "login:password" | openssl base64 -A

   где login и password – имя и пароль учетной записи в реестре образов производителя Kaspersky Security для контейнеров.

2. Авторизация API Kaspersky Security для контейнеров. Для авторизации требуется выполнить следующие действия:
   1. Скопируйте токен API на странице Мой профиль.
   2. Укажите скопированное значение токена API в переменной API_TOKEN в конфигурационном файле Jenkinsfile.
3. Проверка подлинности сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера. Для проведения проверки в конфигурационном файле Jenkinsfile укажите одну из следующих переменных:
   1. -e API_CA_CERT=${KCS_CA_CERT} – проверка будет проведена, и запускаемый в CI/CD сканер сможет убедиться в подлинности сервера приема данных.
   2. -e SKIP_API_SERVER_VALIDATION=true – проверка сервера приема данных с помощью СА-сертификата Ingress-контроллера проводиться не будет.
4. Создание переменных окружения Jenkins.

   Чтобы создать переменные окружения, необходимо добавить в файл Jenkinsfile следующие строки:

   1. Добавьте информацию по реестру контейнеров, где находится сканер в следующем виде:

      LOGIN – имя учетной записи в реестре сканера

      PASS – пароль для реестра сканера

   2. Если вы настраиваете сканирование для приватного репозитория, для доступа сканера к образу укажите следующие авторизационные данные:

      COMPANY_EXT_REGISTRY_USERNAME – имя учетной записи в реестре сканируемого образа

      COMPANY_EXT_REGISTRY_PASSWORD – пароль для реестра сканируемого образа

   3. Для использования сертификата для безопасного подключения к реестру укажите данные сертификата в переменной окружения COMPANY_EXT_REGISTRY_TLS_CERT в виде строки в формате .PEM:

      -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

   4. Укажите значения следующих переменных, обеспечивающих взаимодействие через прокси-сервер:

      HTTP_PROXY: <прокси-сервер для запросов по протоколу HTTP>

      HTTPS_PROXY: <прокси-сервер для запросов по протоколу HTTPS>

      NO_PROXY: <домены или соответствующие им маски для исключения из проксирования>

5. Добавление информации для запуска сканера. Информация для запуска сканера, содержащего базы уязвимостей и других вредоносных объектов, добавляется в конфигурационный файл Jenkinsfile в виде декларативного или скриптового пайплайна.

   Пример информации для запуска сканера в виде декларативного пайплайна

   pipeline {

   agent any

   stages {

   stage('run scanner') {

   steps {

   sh 'docker login -u ${LOGIN} -p ${PASS} company.example.com'

   sh 'docker run -e API_BASE_URL=https://kcs.cust02.int.example.com/ -e SKIP_API_SERVER_VALIDATION=true -e API_TOKEN=${API_TOKEN} -e COMPANY_EXT_REGISTRY_USERNAME=${COMPANY_EXT_REGISTRY_USERNAME} -e COMPANY_EXT_REGISTRY_PASSWORD=${COMPANY_EXT_REGISTRY_PASSWORD} company.example.com:5050/company/kcs/scanner:v2.0.0-with-db jfrog.company.com/demo-kcs/bad:bad-project-test --html --stdout > result.html'

   }

   }

   }

   }

   Пример информации для запуска сканера в виде скриптового пайплайна

   node {

   stage ('run scanner') {

   sh 'docker login -u ${LOGIN} -p ${PASS} company.example.com'

   sh 'docker run -e API_BASE_URL=https://kcs.cust02.int.company.com/ -e API_CA_CERT=${KCS_CA_CERT} -e API_TOKEN=${API_TOKEN} -e COMPANY_EXT_REGISTRY_USERNAME=${COMPANY_EXT_REGISTRY_USERNAME} -e COMPANY_EXT_REGISTRY_PASSWORD=${COMPANY_EXT_REGISTRY_PASSWORD} company.example.com:5050/company/kcs/scanner:v2.0.0-with-db jfrog.company.com/demo-kcs/bad:bad-project-test --html --stdout > result.html'

   }

   }

6. Формирование артефакта для скачивания.

   Для получения результатов сканирования вы можете сформировать артефакт для скачивания в формате .HTML или .JSON. Формат артефакта вы можете указать в строке --stdout, например:

   pipeline {

   agent any

   stages {

   stage('run scanner') {

   steps {

   sh 'docker login -u ${LOGIN} -p ${PASS} company.example.com'

   sh 'docker run -e API_BASE_URL=https://kcs.int.company.com -e SKIP_API_SERVER_VALIDATION=true -e API_TOKEN=${API_TOKEN} -e COMPANY_EXT_REGISTRY_USERNAME=${COMPANY_EXT_REGISTRY_USERNAME} -e COMPANY_EXT_REGISTRY_PASSWORD=${COMPANY_EXT_REGISTRY_PASSWORD} company.example.com:5050/company/kcs/scanner:v2.0.1-lite jfrog.company.com/demo-kcs/bad:bad-project-test --html --stdout > result.html'

   }

   }

   stage('archive') {

   steps {

   archiveArtifacts artifacts: 'result.html'

   }

   }

   }

   }

   Если необходимо сформировать артефакт в формате .JSON, строку --html --stdout > result.html'из приведенного выше примера требуется указать следующим образом:

   --stdout > result.json',

   и в строке archiveArtifacts artifacts: необходимо указать название файла в заданном вами формате: 'result.json'.

   Результаты сканирования можно получить в указанном вами формате, а также посмотреть в разделе Ресурсы → CI/CD.

[Topic 297409]

Настройка интеграции с TeamCity CI/CD

Чтобы настроить интеграцию с TeamCity CI/CD:

1. Скопируйте токен API на странице Мой профиль для авторизации API Kaspersky Security для контейнеров в TeamCity.
2. В меню настройки параметров в веб-интерфейсе TeamCity выберите Build Configuration Home → Parameters.
3. С помощью кнопки Add new parameters добавьте значения следующих переменных окружения:
   • API_TOKEN – укажите скопированное значение токена API Kaspersky Security для контейнеров.
   • API_BASE_URL – укажите URL Kaspersky Security для контейнеров.
   • RUST_BACKTRACE – при необходимости укажите значение full для использования обратной трассировки.
   • SKIP_API_SERVER_VALIDATION – укажите значение true, если используется самоподписанный сертификат или необходимо пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера.
   • COMPANY_EXT_REGISTRY_USERNAME – укажите имя учетной записи в реестре сканируемого образа.
   • COMPANY_EXT_REGISTRY_PASSWORD – укажите пароль для реестра сканируемого образа.
   • COMPANY_EXT_REGISTRY_TLS_CERT – укажите данные сертификата для безопасного подключения к реестру.

     Данные сертификата указываются в виде строки в формате .PEM:
     -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

   • HTTP_PROXY – указывается прокси-сервер для запросов по протоколу HTTP.
   • HTTPS_PROXY – указывается прокси-сервер для запросов по протоколу HTTPS.
   • NO_PROXY – указываются домены или соответствующие им маски для исключения из проксирования.
4. Перейдите в раздел Build Configuration Home → Build Step: Command Line и с помощью кнопки Add build step добавьте этап сборки.
5. В открывшемся окне укажите следующие параметры этапа сборки:
   • В раскрывающемся списке Runner type выберите Command Line.
   • В раскрывающемся списке Run выберите Custom script.
   • В поле Custom script укажите путь к контейнеру для сканирования (например, /bin/sh /entrypoint.sh nginx:latest).
6. В блоке Docker Settings укажите следующие параметры:
   • В поле Run step within Docker container укажите адрес сканера в реестре Docker. Например, company.gitlab.cloud.net:5050/companydev/example/scanner:v2.0.0-with-db.
   • В поле Additional docker run arguments повысьте значение привилегий до --privileged.
7. Нажмите на кнопку Save, чтобы сохранить параметры.
8. Нажмите на кнопку Run в верхнем правом углу страницы, чтобы запустить сборку.
9. При необходимости скачайте артефакт с результатами сканирования, который доступен на вкладке Artifacts на странице с результатами проверки сборки в веб-интерфейсе TeamCity.

[Topic 265788]

Определение пути до образов контейнеров

Для начала сканирования решению необходимо определить путь до образов контейнеров, которые требуется проверить. Путь до образов контейнеров может быть указан двумя способами:

• За названием реестра, репозитория и имени образа указывается тег образа. Тег представляет собой изменяемое легкочитаемое описание образа.

  Путь в этом случае выглядит следующим образом: <реестр>/<репозиторий>/<имя образа>:<тег>. Например, http://docker.io/library/nginx:1.20.1.

• За названием реестра, репозитория и имени образа указывается контрольная сумма образа. Контрольная сумма является неизменным внутренним свойством образа, а именно хешем его содержимого (используется хеш-алгоритм SHA256).

  При использовании контрольной суммы путь представляет собой следующее: <реестр>/<репозиторий>/<имя образа><контрольная сумма>. Например, http://docker.io/library/nginx@sha256:af9c...69ce.

Тег может соответствовать различным контрольным суммам, а контрольные суммы уникальны для каждого образа.

В зависимости от способа указания пути до образа перед началом сканирования Kaspersky Security для контейнеров осуществляет одно из следующих действий:

• Преобразовывает тег в доверенную контрольную сумму.
• Проверяет, является ли указанная в пути до образа контрольная сумма доверенной. Контрольная сумма считается доверенной, если обеспечена необходимая степень уверенности в поддержании требуемого режима безопасности в отношении кодируемого с помощью хеш-алгоритма объекта.

В среду выполнения контейнера передаются только доверенные контрольные суммы.

Перед запуском контейнера содержимое образа сравнивается с полученной контрольной суммой. Для признания контрольной суммы доверенной, а образа неискаженным Kaspersky Security для контейнеров проверяет целостность и подлинность подписи образа.

[Topic 263762]

Контроль целостности и происхождения образов

При сканировании образов в процессе CI/CD Kaspersky Security для контейнеров обеспечивает защиту от подмены образов на уровне реестров. Целостность и происхождение образов контейнеров, развертываемых в кластере оркестратора, контролируется при помощи проверки подписей образов, начиная с уровня сборки в CI.

Контроль целостности образов осуществляется в два этапа:

• Подписание образов контейнеров после создания. Этот процесс реализуется при помощи внешних приложений для подписи.
• Проверка подписей образов перед развертыванием.

  Решение сохраняет ключ подписи, который создается на основе хеш-функции SHA-256 и используется в качестве кода проверки подлинности подписи. При развертывании в оркестраторе Kaspersky Security для контейнеров запрашивает у сервера подписей подтверждение подлинности подписи.

Kaspersky Security для контейнеров осуществляет проверку подписей образа в рамках следующего процесса:

1. В разделе Администрирование → Интеграции → Модули проверки подписей образов настраиваются параметры интеграции решения с внешними модулями проверки подписей.
2. В разделе Политики → Среда выполнения → Политики создается политика среды выполнения для защиты содержания образа, которая отвечает за проверку подлинности подписей. Проверка цифровых подписей осуществляется на основе настроенных модулей проверки подписей.
3. Оркестратор запускает развертывание образа и при помощи
   динамического контроллера доступа

   Настраиваемый контроллер для доступа в Kubernetes, который помогает применять политики и поддерживает систему управления и контроля.

   делает запрос на развертывание агенту (kube-agent).

   Для направления запроса агенту Kaspersky Security для контейнеров требуется настроить динамический контроллер доступа в конфигурационном файле values.yaml.

4. На основании применимой политики среды выполнения агент проверяет параметры проверки подписи, настроенные в разделе Администрирование → Интеграции → Модули проверки подписей образов.
5. Если проверка подтверждает подлинность и действительность подписи, решение разрешает развертывание образа. В ином случае развертывание запрещается.

[Topic 297411]

Запуск сканера в режиме SBOM

Kaspersky Security для контейнеров поддерживает возможность запуска сканера для проверки образов на наличие уязвимостей в режиме

Преимущества использования SBOM включают в себя:

• Меньший объем ресурсов, необходимых для сканирования образов на уязвимости.
• Экономия времени на сканирование за счет автоматической проверки корректности использования и функционирования компонентов решения.
• Возможность сканирования всех имеющихся в образе уязвимостей без исключения.
• Большая надежность получаемых результатов сканирования.

В рамках работы в CI/CD процесс сканирования состоит из двух этапов: получение SBOM-файла и последующее сканирование образа с использованием полученной спецификации программного обеспечения. Процесс сканирования образов реализуется следующим образом:

• Сканер в CI/CD формирует перечень компонентов образа и направляет сгенерированный артефакт в Kaspersky Security для контейнеров.
• При помощи приложения для обработки заданий на сканирование решение передает принятый SBOM-файл в сканер для сканирования.

  Для сканирования в режиме SBOM Kaspersky Security для контейнеров запускает сканер с предустановленными базами уязвимостей и других вредоносных объектов (scanner:v2.0-with-db, scanner:v2.0-with-db-java).

Для сканирования образов в CI/CD в файле требуется указать значения следующих переменных окружения:

• API_TOKEN – указывается значение токена API Kaspersky Security для контейнеров.
• API_BASE_URL – указывается URL Kaspersky Security для контейнеров.
• API_CA_CERT – указывается СА-сертификат Ingress-контроллера, что позволяет запускаемому в CI/CD сканеру убедиться в подлинности сервера приема данных. Если вы используете самоподписанный сертификат или специально хотите пропустить проверку сервера приема данных с помощью СА-сертификата Ingress-контроллера, значение переменной для пропуска проверки указывается следующим образом:

  SKIP_API_SERVER_VALIDATION: 'true'

• COMPANY_EXT_REGISTRY_USERNAME – указывается имя учетной записи в реестре сканируемого образа.
• COMPANY_EXT_REGISTRY_PASSWORD – указывается пароль для реестра сканируемого образа.
• COMPANY_EXT_REGISTRY_TLS_CERT – указываются данные сертификата для безопасного подключения к реестру.

  Данные сертификата указываются в виде строки в формате .PEM:
  -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

• HTTP_PROXY – указывается прокси-сервер для запросов по протоколу HTTP.
• HTTPS_PROXY – указывается прокси-сервер для запросов по протоколу HTTPS.
• NO_PROXY – указываются домены или соответствующие им маски для исключения из проксирования.

Для последующего сканирования Kaspersky Security для контейнеров генерирует файл отчета в формате .JSON. Также вы можете сформировать артефакт c SBOM для скачивания в рамках процесса CI/CD в формате

Чтобы сгенерировать SBOM-файл в формате .SPDX при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --spdx --stdout > example.spdx

где:

<--sbom> – индикатор создания SBOM-файла;

<--spdx> – указание на сборку артефакта в формате .SPDX;

<--stdout > example.spdx> – индикатор вывода данных в файл в формате .SPDX.

Чтобы сгенерировать SBOM-файл в формате .СDX при работе сканера через создание SBOM,

в конфигурационном файле .gitlab-ci.yml укажите следующую команду:

- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --cdx --stdout > example.cdx.json

где:

<--sbom> – индикатор создания SBOM-файла;

<--cdx> – указание на сборку артефакта в формате .CDX

<--stdout > example.cdx.json> – индикатор вывода данных в файл в формате .JSON.

Полученный при этом файл (например, example.cdx.json) указывается как артефакт: artifacts: paths:

Сканирование при помощи создания SBOM-файла относится только к проверке образа на наличие уязвимостей. Если в процессе CI/CD требуется провести сканирование на другие риски и угрозы (например, на наличие ошибок конфигурации), требуется отдельно запускать соответствующее сканирование и добавлять полученные результаты в приложение для обработки заданий на сканирование в дополнение к SBOM-файлу.

[Topic 297412]

Запуск сканера в режиме lite SBOM

Kaspersky Security для контейнеров предоставляет возможность запуска сканера для проверки образов на наличие уязвимостей в режиме lite SBOM. В данном случае решение осуществляет сканирование специально созданного SBOM-файла, а результаты этого сканирования становятся доступны на этапе CI/CD.

Между средой CI/CD и решением должна быть обеспечена безопасность передачи данных от прослушивания и перехвата сетевого трафика.

Для получения результатов вы можете сформировать артефакт для скачивания в формате .SPDX, .HTML, .JSON или .CDX.

Запуск сканера в GitLab

Чтобы запустить сканер в режиме lite SBOM в GitLab, при настройке сканирования образов в процессе CI/CD измените конфигурационный файл .gitlab-ci.yml следующим образом:

1. Добавьте информацию по образу сканера, запускаемого на этапе сканирования образов в процессе CI/CD в следующем виде:

   scan_image:

   stage: scanner

   image:

   name:repo.cloud.example.com/repository/company/scanner:v.2.0-lite

   entrypoint: [""]

   pull_policy: always

2. Укажите тег платформы оркестрации в следующем виде:

   k8s

   В приведенном примере указан тег k8s для обозначения Kubernetes, вы можете указать тег для другой поддерживаемой платформы оркестрации.

3. Укажите такие переменные как идентификатор сборки, данные реестра сканируемого образа и сертификата для безопасного подключения к этому реестру, идентификатор пайплайна и токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

   SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master

   COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}

   COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}

   COMPANY_EXT_REGISTRY_TLS_CERT: ${COMPANY_EXT_REGISTRY_TLS_CERT}

   BUILD_NUMBER: ${CI_JOB_ID}

   BUILD_PIPELINE: ${CI_PIPELINE_ID}

   API_TOKEN: <значение токена API>

   HTTP_PROXY: <прокси-сервер для запросов по протоколу HTTP>

   HTTPS_PROXY: <прокси-сервер для запросов по протоколу HTTPS>

   NO_PROXY: <домены или соответствующие им маски для исключения из проксирования>

   Данные сертификата для безопасного подключения к реестру сканируемого образа в переменной COMPANY_EXT_REGISTRY_TLS_CERT указываются в виде строки в формате .PEM:
   -----BEGIN CERTIFICATE-----\n... <данные сертификата> ...\n-----END CERTIFICATE-----.

4. При необходимости укажите переменную для проверки сервера приема данных в CI/CD с помощью СА-сертификата Ingress-контроллера:

   API_CA_CERT: ${KCS_CA_CERT}

   Если переменная API_CA_CERT не задана, проверка будет запускаться, но не будет пройдена.

5. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

   API_BASE_URL: <веб-адрес>

6. Укажите команду для создания файла артефакта при запуске сканера в одном из следующих поддерживаемых форматов:
   • Для создания артефакта в формате .JSON:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json

     artifacts:

     paths:

     - artifact-result.json

   • Для создания артефакта в формате .HTML:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > artifact-result.html

     artifacts:

     paths:

     - artifact-result.html

   • Для создания артефакта SBOM в формате .SPDX:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --spdx --stdout > artifact-result.spdx

     artifacts:

     paths:

     - artifact-result.spdx

   • Для создания артефакта SBOM в формате .CDX:

     script:

     - /bin/sh /entrypoint.sh $SCAN_TARGET --cdx --stdout > artifact-result.cdx.json

     artifacts:

     paths:

     - artifact-result.cdx.json

Пример настройки запуска сканера в режиме lite SBOM и создания артефакта в формате .HTML в GitLab

Запуск сканера в Docker

Чтобы запустить сканер в режиме lite SBOM в Docker:

1. Укажите веб-адрес хост-сервера API Kaspersky Security для контейнеров:

   -e API_BASE_URL=https://company.local

2. Укажите значение переменной для пропуска проверки сервера приема данных с помощью СА-сертификата Ingress-контроллера:

   -e SKIP_API_SERVER_VALIDATION=true

3. Укажите токен API для авторизации запросов от CI/CD сканера в Kaspersky Security для контейнеров в следующем виде:

   -e API_TOKEN=<значение токена API>

4. Укажите информацию для запуска сканера:

   repo.kcs.company.com/images/scanner:v2.0-lite

5. Если необходимо сформировать артефакт для скачивания, укажите следующее:

   --<формат артефакта> --stdout > result.<формат файла>

   Например,

   --html --stdout > result.html

6. Нажмите на клавишу Enter, чтобы запустить сканер.

   Если при вызове сканера появляется ошибка преобразования имени домена Name does not resolve, до переменной API_BASE_URL нужно указать адрес до внутреннего DNS сервера вашей организации. Например,

   --dns 10.0.xx.x

   API_BASE_URL: https://company.local/