Criação de um perfil de tempo de execução

Para adicionar um perfil de tempo de execução de contêiner:

1. Em Policies → Runtime policies → Container runtime profiles, clique no botão Add profile.

   A janela de definição de configurações do perfil é aberta.

2. Insira um nome para o perfil de tempo de execução e, se necessário, uma descrição.
3. Na lista suspensa Scopes, selecione um ou mais escopos.

   Os escopos em perfis de tempo de execução permitem que eles sejam usados corretamente nas políticas de tempo de execução.

4. Em Restrict events, especifique as seguintes configurações:
   1. Container processes: use o botão de alternância Disabled /Enabled para restringir arquivos executáveis de acordo com as regras. Na lista, selecione a opção de bloqueio que garante o melhor desempenho do contêiner:
      • Block process from all executable files - o aplicativo bloqueia todos os arquivos executáveis enquanto o contêiner é executado.
      • Block specified executable files - o aplicativo bloqueia os arquivos executáveis selecionados no campo Block the specified executable files. É possível bloquear todos os arquivos executáveis ou uma lista específica deles. Especifique o caminho direto completo do arquivo executável (por exemplo, /bin/php). No entanto, você pode especificar um diretório usando uma máscara com *, por exemplo, /bin/*, que permite aplicar a regra ao diretório inteiro e seus subdiretórios e permitir todos os arquivos executáveis em subdiretórios do diretório /bin .

        Refine a lista de arquivos executáveis permitidos e bloqueados especificando exclusões para as regras de bloqueio. Por exemplo, é possível excluir especificamente o caminho /bin/cat de uma regra aplicada a /bin/*. Nesse caso, todos os arquivos executáveis do diretório /bin/ serão bloqueados exceto o /bin/cat.

        Ao trabalhar com o binário busybox que é entregue com muitas imagens básicas de contêiner (como alpine), é necessário considerar que o busybox contém um conjunto de comandos para obter aplicativos sem uma especificação explícita desses aplicativos. Por exemplo, o comando ls é usado para obter o arquivo executável /bin/ls, que, por sua vez, é um link simbólico para o /bin/busybox. Nesse caso, é necessário especificar o caminho do arquivo executável da seguinte maneira: /bin/busybox/ls (ou seja, concatenando o caminho original do arquivo executável /bin/busybox e seu comando ls com o símbolo /).

        Ao marcar a caixa de seleção Allow exclusions, o aplicativo bloqueia todos os arquivos executáveis, exceto os especificados no campo Allow exclusions quando um contêiner é iniciado e está em execução.

        Todas as regras e exceções especificadas para o grupo de parâmetros são expressões regulares (regexp). A solução usa os padrões e indicadores especificados para encontrar todos os arquivos que correspondem a uma expressão regular específica.

        Se o CNI Cilium for usado, você deve especificar as regras do CNI Cilium em regras e exceções, além do CIDR e do FQDN. Isso permite que a solução processe as informações do serviço do Cilium e as diferencie de CIDRs, FQDNs e outros rótulos no campo de entrada único.

   2. Ingress container connections: use o botão de alternância Disabled/Enabled para ativar a capacidade de restringir as conexões de entrada de um contêiner. Quando essa restrição está ativa, o Kaspersky Container Security bloqueia todas as origens de conexões de entrada, exceto as especificadas como exclusões.

      As configurações de conexão de rede de entrada ativadas não são aplicadas se o perfil for especificado em uma política de tempo de execução Audit que foi iniciada para um cluster do CNI Cilium.

      Marcando a caixa de seleção Allow exclusions, é possível especificar os parâmetros de uma ou mais origens permitidas de conexões de rede de entrada. Para definir exclusões, especifique pelo menos um dos seguintes parâmetros:

      • Sources. No campo Sources, insira um endereço IP ou intervalo de endereços IP para a origem da conexão de entrada em notação CIDR4 ou CIDR6.
      • Nos campos TCP ports e UDP ports, insira uma porta específica ou um intervalo de portas para conexão.

        Caso não seja especificado um valor para as portas, o aplicativo permitirá a conexão por todas as portas.

      • Reputation. Use os botões para selecionar os status de reputação da conexão de entrada. A reputação pode ser atribuída com base na lista de reputação local do Kaspersky Container Security ou em sua lista de reputação definida pelo usuário.
   3. Egress container connections: use o botão de alternância Disabled/Enabled para ativar a capacidade de restringir conexões de saída para os destinos especificados.

      As configurações de conexão de rede de saída ativadas não são aplicadas se o perfil for especificado em uma política de tempo de execução Audit que foi iniciada para um cluster de CNI Cilium.

      Marcando a caixa de seleção Allow exclusions, é possível especificar os parâmetros de um ou mais destinos permitidos para conexões de rede de saída. Para definir exclusões, especifique pelo menos um dos seguintes parâmetros:

      • Destinations. No campo Destinations, insira um endereço IP ou um intervalo de endereços IP de um destino de conexão de saída em notação CIDR4 ou CIDR6, ou o endereço da Web (URL) de um destino.
      • Nos campos TCP ports e UDP ports, insira uma porta específica ou um intervalo de portas para conexão.

        Caso não seja especificado um valor para as portas, o aplicativo permitirá a conexão por todas as portas.

      • Reputation. Use os botões para selecionar os status de reputação da conexão de saída. A reputação pode ser atribuída com base na lista de reputação local do Kaspersky Container Security ou em sua lista de reputação definida pelo usuário.
   4. Threats identified with File Threat Protection: use o botão de alternância Disabled/Enabled para ativar o componente Proteção Contra Ameaças ao Arquivo. Ela é usada para encontrar e analisar possíveis ameaças a arquivos, além de oferecer segurança para objetos conteinerizados, como arquivos comprimidos e de e-mail.

      Quando um perfil de tempo de execução é aplicado com o componente Proteção Contra Ameaças ao Arquivo ativado, o Kaspersky Container Security ativa a proteção contra ameaças ao arquivo em tempo real em todos os nós nos escopos definidos para a política. A configuração dos agentes implementados depende das configurações especificadas na Proteção Contra Ameaças ao Arquivo. É possível configurar a Proteção Contra Ameaças ao Arquivo clicando no botão File Threat Protection settings na guia Container runtime profiles da seção Policies → Runtime.

   5. File operations: use o botão de alternância Disabled/Enabled para ativar o monitoramento de operações de arquivos no contêiner. Para isso, especifique valores para as seguintes configurações:
      • Path. Caminhos de arquivos ou pastas podem ser especificados com ou sem uma barra (/) no final. Para permitir o acesso a todos os subdiretórios, insira um asterisco (*) após a barra (/) no final do caminho.

        Ao especificar caminhos de arquivos, insira apenas caminhos completos começando com uma barra.

      • Se necessário, no campo Exclusions, especifique caminhos de arquivos cujas operações não serão monitoradas.
      • Operation type. É possível especificar as operações de arquivo que a solução monitora quando a política de tempo de execução é aplicada. Para isso, use a caixa de seleção para marcar um ou mais dos seguintes tipos de operação:
        • Open: a solução registra todas as operações de abertura de arquivo.
        • Create: a solução registra todas as operações de criação de arquivos nos diretórios especificados.
        • Read: a solução registra as operações de leitura de arquivos.
        • Write: a solução registra informações sobre alterações salvas nos arquivos.
        • Rename or move: a solução registra operações que alteram o nome de arquivos ou os movem para outras pastas.
        • Delete: a solução registra informações sobre a exclusão de arquivos ou pastas dos diretórios especificados.
        • Change access permissions: a solução registra informações sobre alterações nos direitos de acesso a arquivos e diretórios.
        • Change ownership: a solução monitora operações que alteram o proprietário de um arquivo ou pasta no diretório especificado.

      Se necessário, adicione regras de monitoramento de operações de arquivos usando o botão Add rule. A solução aplica diversas regras de monitoramento de operações de arquivos numa única política de tempo de execução.

      Apenas o modo de Audit é compatível com operações de arquivos. Se o modo Enforce estiver especificado na política de tempo de execução aplicável, as operações de arquivos serão executadas no modo Audit.

   6. Listening on ports: use o botão de alternância Disabled/Enabled para ativar a capacidade de monitorar as portas do contêiner que está sendo aberto. A solução detecta a associação de um endereço IP a uma porta e registra esses eventos na lista de análise forense de contêiner para avaliação. Para fazer isso, selecione uma das seguintes opções:
      • Listen on specified ports. Se você selecionar esta opção, no campo Ports, você precisa especificar uma ou mais portas que deseja monitorar.

        Essa opção é selecionada por padrão.

      • Listen on all ports except specified. Se você selecionar essa opção, no campo Ports, você precisa especificar uma ou mais portas que você não deseja que sejam monitoradas.
      • Listen on all ports. A solução monitora a abertura de todas as portas no contêiner.

      Somente o modo Audit é compatível com o monitoramento da porta. Se o modo Enforce estiver especificado na política de tempo de execução aplicável, as operações de arquivos serão executadas no modo Audit.

   Por padrão, o botão de alternância Disabled/Enabled para todas as opções estão desativadas.

5. Clique no botão Add.

O perfil de tempo de execução adicionado é mostrado na seção Policies → Runtime policies → Container runtime profiles.

Topo da página