创建运行时配置文件
要添加容器运行时配置文件:
- 在“策略 → 运行时策略 → 容器运行时配置文件”下,单击“添加配置文件”按钮。
将打开配置文件设置输入窗口。
- 输入运行时配置文件的名称,如有必要,可以输入描述。
- 在范围下拉列表中,选择一个或多个范围。
运行时配置文件中的范围允许配置文件在运行时策略中正确使用。
- 在“文件威胁防护”下,使用“禁用/启用”切换按钮来激活“文件威胁防护”。它用于查找和分析潜在的文件威胁,并为容器化对象(如压缩包和电子邮件文件)提供安全保障。
应用了启用文件威胁防护组件功能的运行时配置文件后,卡巴斯基容器安全将为该策略所定义范围内的所有节点激活实时文件威胁防护。部署代理的配置取决于您为文件威胁防护指定的设置。您可以通过单击策略→运行时部分中的容器运行时配置文件选项卡上的文件威胁防护威胁防护设置按钮来配置文件威胁防护设置。
- 在“限制容器可执行文件”部分中,使用“已禁用”/“已启用”切换按钮根据规则限制可执行文件。在列表中,选择保证最佳容器性能的阻止选项:
- 阻止所有可执行文件的进程 – 应用程序在容器运行时阻止所有可执行文件启动。
- 阻止指定的可执行文件 – 应用程序会阻止您在“阻止指定的可执行文件”字段中选择的可执行文件。您可以阻止所有可执行文件或特定可执行文件列表。您必须指定可执行文件的完整原始路径(例如,
/bin/php)。您还可以使用*掩码(例如/bin/*)将规则应用于整个目录及其子目录。还可以通过指定阻止规则的排除项来微调允许和阻止的可执行文件列表。例如,可以针对应用于
/bin/*的规则专门排除路径/bin/cat。在这种情况下,除了/bin/cat应用程序之外,/bin/目录中的所有可执行文件都将被阻止运行。在使用随许多基本容器镜像(例如
alpine)提供的busybox二进制文件时,您必须考虑到busybox包含一组用于获取应用程序的命令,而无需明确指定此类应用程序。例如,ls命令用于获取/bin/ls可执行文件,而该文件又是/bin/busybox的符号链接。在这种情况下,您必须指定可执行文件的路径,如下所示:/bin/busybox/ls(也就是说,您必须将/bin/busybox可执行文件的原始路径及其ls命令与/符号连接起来)。如果选中“允许排除项”复选框,则当容器启动并运行时,应用程序将阻止除“允许排除项”字段中指定的可执行文件之外的所有可执行文件。
为这组参数指定的所有规则和例外都是正则表达式(regexp)。该解决方案使用指定的模式和指标来查找与特定正则表达式匹配的所有文件。
如果使用 Cilium CNI,除了 CIDR 和 FQDN 之外,还必须在规则和异常中指定 Cilium CNI 规则。这使得该解决方案能够处理 Cilium 服务信息并将其与单个输入字段中的 CIDR、FQDN 和其他标签区分开来。
Cilium CNI 的 CIDR 和 FQDN 规则仅适用于指定 Kubernetes 外部的资源。与其他可以使用标签识别资源的 CNI 不同,在 Cilium CNI 中,如果进行标签识别,则会阻止流向该资源的流量。
Cilium CNI 规则与 CIDR 和 FQDN 值一起指定,以逗号分隔,如下所示:
entity:<ENTITY_NAME> -OR- endpoint:<NAMESPACE> -OR- service:<NAMESPACE>{|<LABEL_1_KEY>=<LABEL_2_VALUE>{,<LABEL_N_KEY>=LABEL_N_VALUE}}
其中:
<ENTITY_NAME>是可以访问网络中选定端点且可供其访问的对象的名称。可以指定以下值之一:all、world、world-ip4、world-ip6、host、init、ingress、remote-node、health、unmanaged、none、kube-apiserver。<NAMESPACE>是名字空间的有效名称。<LABEL_1_KEY>=<LABEL1_VALUE>是名字空间标签的键值对(例如,env = staging。此参数可选,必要时可指定。<LABEL_N_KEY>=LABEL_N_VALUE是名字空间标签列表,其中标签以逗号分隔(例如,app = test, component = api-v2, k8s-app = kube-dns)。此参数也是可选,必要时可指定。
这种定义规则和排除的格式仅适用于 Cilium CNI。如果您将其用于其他 CNI,解决方案将忽略错误指定的设置。
- 在“限制入口容器连接”部分中,使用“已禁用”/“已启用”切换开关来激活限制容器入站连接的功能。当此限制处于活动状态时,卡巴斯基容器安全将阻止除指定为排除项之外的所有入站连接源。
如果选中“允许排除项”复选框,则可以指定一个或多个允许的入站网络连接源参数。要定义排除项,您必须至少指定以下参数之一:
- 源。在“源”字段中,以 CIDR4 或 CIDR6 表示法输入入站连接源的 IP 地址或 IP 地址范围。
- 在“TCP 端口”字段和“UDP 端口”字段中,输入用于连接的特定端口或端口范围。
如果需要指定多个端口,请使用逗号,例如 8080, 8082。
如果不指定端口值,应用程序将允许通过所有端口进行连接。
- 在“限制出口容器连接”部分中,使用“已禁用”/“已启用”切换开关来激活限制向已定义目的地的出站连接的功能。
如果选中“允许排除项”复选框,则可以指定一个或多个允许的出站网络连接目的地参数。要定义排除项,您必须至少指定以下参数之一:
- 目的地。在“目的地”字段中,以 CIDR4 或 CIDR6 表示法输入出站连接目的地的 IP 地址或 IP 地址范围,或者目的地的网址 (URL)。
- 在“TCP 端口”字段和“UDP 端口”字段中,输入用于连接的特定端口或端口范围。
如果需要指定多个端口,请使用逗号,例如 8080, 8082。
如果不指定端口值,应用程序将允许通过所有端口进行连接。
- 在文件操作部分,使用已禁用/已启用开关来启用监视容器中文件操作的功能。为此,请指定以下设置的值:
- 路径。文件或文件夹的路径末尾可以带有或不带有正斜杠 (/)。您可以在路径末尾的正斜杠 (/) 后放置星号 (*) 来允许访问所有子目录。
指定文件路径时,仅输入以正斜杠开头的完整路径。
- 如有必要,您可以在“排除项”字段中指定不为其监视文件操作的文件路径。
- 操作类型。您可以指定应用运行时策略时解决方案监控的文件操作。为此,请使用复选框选择以下一种或多种操作类型:
- 创建— 解决方案记录指定目录中的所有文件创建操作。
- 读取— 解决方案记录文件读取操作。
- 写入— 解决方案记录有关文件中保存的更改的信息。
- 重命名或移动— 解决方案记录更改文件名称或将文件移动到其他文件夹的操作。
- 删除— 解决方案记录有关从指定目录中删除文件或文件夹的信息。
- 更改访问权限— 解决方案记录有关访问文件和目录的权限变化的信息。
- 更改所有权— 解决方案监控更改指定目录中文件或文件夹所有者的操作。
如有必要,使用添加规则按钮添加监控文件操作的规则。解决方案将在单个运行时策略内应用多个文件操作监控规则。
对于文件操作,仅支持审计模式。如果在适用的运行时策略中指定了强制模式,则文件操作将以审核模式执行。
- 路径。文件或文件夹的路径末尾可以带有或不带有正斜杠 (/)。您可以在路径末尾的正斜杠 (/) 后放置星号 (*) 来允许访问所有子目录。
- 单击“添加”按钮。
添加的运行时配置文件显示在“策略 → 运行时策略 → 容器运行时配置文件”部分中。