卡巴斯基容器安全

创建运行时策略

在卡巴斯基容器安全中添加运行时策略需要管理运行时策略设置的权限。

要添加运行时策略：

1. 在“策略 → 运行时策略”下，选择“策略”选项卡。
2. 单击“添加策略”按钮。

   将打开策略设置窗口。

3. 如果有必要，使用已禁用/已启用开关来设置策略状态。默认情况下，添加的策略已启用。
4. 输入策略名称，如果需要，还可以输入策略说明。
5. 在“范围”字段中，从可用选项中选择运行时策略的范围。由于运行时策略仅用于已部署和/或正在运行的容器，因此可以选择包含跨集群的资源的范围。

   仅包含仓库资源的范围不可供选择。如有必要，您可以为在容器运行时配置文件部分中创建的运行时策略指定单独的镜像和 Pod，如步骤 11 中所述。

   如果您计划实施被分配了全局范围的策略，则必须向您的某个用户角色授予查看全局范围的权限。

6. 在“模式”部分中，选择以下策略执行模式之一：
   • 审计。在此模式下，扫描会考虑容器的内容。
   • 强制。在此模式下，解决方案会阻止所有不符合策略中定义的规则和标准的对象。

   如果范围包括受审计模式下的运行时策略和强制模式下的运行时策略约束的对象，则运行时策略中指定的所有操作都将在强制模式下应用。

7. 在准入控制器选项卡上，配置以下设置：
   • 在“最佳实践检查”部分中，使用“已禁用”/“已启用”切换开关激活扫描以检查是否符合最佳安全实践。从设置列表中，选择确保运行正确的镜像并正确配置 CPU 和 RAM 使用设置的扫描设置。
   • 在“阻止不合规镜像”部分中，使用“已禁用”/“已启用”切换开关防止容器从不符合要求的镜像运行。仅对已在解决方案中注册且状态为“合规”的已扫描镜像执行此检查。
   • 在“阻止未注册的镜像”部分中，如果镜像对于卡巴斯基容器安全是未知的，则使用“已禁用”/“已启用”切换开关阻止镜像部署。要部署镜像，您必须在解决方案中注册该镜像并等待它出现在仓库中。
   • 在动态准入控制器绕过标准块中，使用已禁用/已启用开关来定义不对其应用运行时策略的排除项。要执行此操作，请在下拉列表中选择相关对象，指定其名称，然后单击“添加”。

     部署容器时会检查策略中的现有排除项。

   • 在“功能阻止”部分中，使用“已禁用”/“已启用”切换开关来阻止使用指定的 Unix 功能。为此，请从下拉列表中选择特定的系统功能。您还可以从下拉列表中选择“所有”来锁定所有 Unix 系统功能的使用。
   • 在“镜像内容保护”部分中，使用“已禁用”/“已启用”切换开关启用数字签名验证，以确认容器中镜像的完整性和来源。为此，请执行以下操作：
     1. 在“镜像仓库 URL 模板”字段中，输入要在其中验证签名的镜像仓库的网址模板。
     2. 在下拉列表中，选择“检查”启用验证，或选择“不检查”禁用验证。
     3. 在下拉列表中，选择已配置的镜像签名验证器之一。
     4. 如有必要，使用“添加签名验证规则”按钮添加签名验证规则。解决方案将在单个运行时策略下应用多个签名验证规则。
   • 在“限制容器权限”部分中，使用“已禁用”/“已启用”切换按钮阻止具有一组特定权限的容器启动。在设置列表中，选择权限和权限配置以阻止 Pod 设置。
   • 在“允许的仓库”部分中，使用“已禁用”/“已启用”切换按钮允许仅将容器部署到特定仓库的集群。为此，请从“仓库”下拉列表中选择相关仓库。
   • 在“阻止的卷”部分中，使用“已禁用”/“已启用”切换开关防止选定的卷安装到容器中。为此，请在“卷”字段中指定主机系统上的卷挂载点。

     “卷”字段必须以正斜杠（“/”）开头，因为它代表操作系统路径。

8. 在容器运行时选项卡上，配置以下设置：
   • 在“容器运行时配置文件”部分中，使用“已禁用”/“已启用”切换开关来阻止容器内的进程和 Pod 的网络连接。为此，请执行以下操作：
     1. 在下拉列表中，选择一个属性，以定义将应用于容器运行时配置文件的 Pod。
     2. 根据所选属性，执行以下操作：
        • 如果您选择了“按 Pod 标签”，请输入 Pod 标签的键和值。

          您可以单击“添加标签对”按钮来为 Pod 选择项添加其他 Pod 标签。

        • 如果您选择了“镜像 URL 模板”，请输入镜像仓库网址模板。

          如果集群包含来自公共 Docker Hub 仓库的镜像，则该解决方案会将镜像的完整路径和短路径视为同样的路径。例如，如果您将集群中容器镜像的 URL 指定为 docker.io/library/ubuntu:focal，则解决方案会将其视为 ubuntu:focal。

          您可以单击“添加镜像 URL”按钮来添加 Pod 选择项的其他网址。

        • 如果选择了镜像摘要，请输入使用 SHA256 哈希算法创建的镜像摘要。您可以指定带有或不带有sha256前缀的镜像摘要（例如，sha256:ef957...eb43或ef957...eb43）。

          您可以通过单击添加镜像摘要按钮来向选定的 Pod 添加其他镜像摘要。

     3. 在“容器运行时配置文件”字段中，指定一个或多个运行时配置文件，这些配置文件将应用于与您定义的属性相匹配的 Pod。
     4. 如有必要，您可以使用“添加 Pod 映射”按钮为映射添加 Pod。具有不同属性的 Pod 或应用的运行时配置文件 将映射到相同的运行时策略下。
   • 在容器自动配置文件部分，使用已禁用/已启用开关来使用与这些容器中的镜像相关联的自动配置文件来激活对指定范围内的容器的扫描。

     您可以通过单击“显示归因于该范围的自动配置文件”链接来查看该范围内包含的所有自动配置文件。在打开的侧边栏中，解决方案会显示一个包含自动配置文件列表的表格。对于每个自动配置文件，都会显示其名称、最后修改的日期和时间以及与自动配置文件相关的镜像。

9. 单击“添加”按钮。