Criação de uma política de tempo de execução para contêineres

Para adicionar uma política de tempo de execução ao Kaspersky Container Security, é necessário ter direitos de gerenciamento de configurações de políticas de tempo de execução.

Para criar uma política de tempo de execução para contêineres:

  1. Em PoliciesRuntime policies, selecione a guia Policies.
  2. Clique no botão Add runtime policy e selecione Add container runtime policy.

    Isso abre a janela na qual você pode inserir as configurações da política de tempo de execução do contêiner.

  3. Se necessário, use o botão de alternância Disabled/Enabled para definir o status da política. Por padrão, a política adicionada estará Enabled.
  4. Insira o nome da política e, se necessário, a descrição.
  5. No campo Scope, selecione o escopo da política de tempo de execução dentre as opções disponíveis. Como as políticas de tempo de execução são usadas apenas para contêineres implementados e/ou em execução, é possível selecionar escopos com recursos em diversos clusters.

    Escopo contendo apenas recursos de registros não estão disponíveis para seleção. Se necessário, é possível especificar imagens e pods individuais para a política de tempo de execução sendo criada na seção Container runtime profiles, conforme descrito na etapa 8.

    Caso pretenda implementar a política com o escopo global, uma das funções de usuário deve receber direitos de visualização de escopos globais.

  6. Na seção Mode, selecione um dos seguintes modos de imposição de políticas:
    • Audit. Nesse modo, a verificação considera o conteúdo dos contêineres.
    • Enforce. Nesse modo, a solução bloqueia todos os objetos que não estão em conformidade com as regras e critérios definidos na política.

    Se um escopo incluir um objeto sujeito a uma política de tempo de execução no modo de Audit e uma no modo de Enforce, todas as ações especificadas nas políticas de tempo de execução são aplicadas no modo de Enforce.

  7. Na guia Admission controller, defina as seguintes configurações:
    • Na seção Best practice check, use o botão de alternância Disabled/Enabled para ativar a verificação de conformidade com as melhores práticas de segurança. Na lista de configurações, selecione as configurações de verificação que garantem que a imagem correta seja executada e que as configurações de uso da CPU e RAM estejam corretas.
    • Na seção Block non-compliant images, use o botão de alternância Disabled/Enabled para prevenir que contêineres sejam executados a partir de imagens fora de conformidade com os requisitos. Essa análise será realizada apenas para imagens verificadas que estejam registradas na solução e tenham o status Em conformidade.
    • Na seção Block unregistered images, use o botão de alternância Disabled/Enabled para bloquear a implementação da imagem caso ela não seja conhecida pelo Kaspersky Container Security. Para implementar a imagem, é necessário registrá-la na solução e aguardar que apareça no registro.
    • No bloco Dynamic Admission Controller bypass criteria, use o botão Disabled/Enabled para definir as exclusões em que a política de tempo de execução não será aplicada. Para isso, selecione os objetos relevantes na lista suspensa, especifique o nome deles e clique em Add.

      Exclusões existentes na política são verificadas ao implementar um contêiner.

    • Na seção Capabilities block, use o botão de alternância Disabled/Enabled para bloquear o uso das funções do Unix especificadas. Para isso, selecione funções específicas do sistema na lista suspensa. Também é possível bloquear o uso de todas as funções de sistema do Unix selecionando ALL na lista suspensa.
    • Na seção Image content protection, use o botão de alternância Disabled/Enabled para ativar a verificação de assinaturas digitais que confirmam a integridade e origem das imagens no contêiner. Para isso, execute uma das seguintes ações:
      1. No campo Image registry URL template, insira o modelo do endereço da Web do registro de imagens em que deseja verificar assinaturas.
      2. Na lista suspensa, selecione Check para ativar a verificação ou Don't check para desativá-la.
      3. Na lista suspensa, selecione um dos validadores de assinatura de imagem configurados.
      4. Se necessário, adicione regras de verificação de assinaturas usando o botão Add signature verification rule. A solução aplica diversas regras de verificação de assinaturas numa única política de tempo de execução.
    • Na seção Limit container privileges, use o botão de alternância Disabled/Enabled para bloquear a inicialização de contêineres com um conjunto específico de direitos e permissões. Na lista de configurações, selecione a definição de direitos e permissões para o bloqueio de configurações de pods.
    • Na seção Registries allowed, use o botão de alternância Disabled/Enabled para permitir a implementação de contêineres de um cluster apenas a partir de registros específicos. Para isso, selecione os registros relevantes na lista suspensa Registries.
    • Na seção Volumes blocked, use o botão de alternância Disabled/Enabled para prevenir que os volumes selecionados sejam montados em contêineres. Para isso, especifique os pontos de montagem de volumes no sistema host no campo Volumes.

      O campo Volumes deve começar com uma barra ("/"), representando o caminho no sistema operacional.

  8. Na guia Container runtime, defina as seguintes configurações:
    • Na seção Container runtime profiles, use o botão de alternância Disabled/Enabled para bloquear processos em contêineres e conexões de rede para pods. Para isso, execute uma das seguintes ações:
      1. Na lista suspensa, selecione um atributo para definir os pods a que os perfis de tempo de execução de contêiner serão aplicados.
      2. Dependendo do atributo selecionado, faça o seguinte:
        • Caso tenha selecionado By pod labels, insira a chave e o valor do rótulo do pod.

          É possível incluir mais rótulos de pods para a seleção de pods clicando no botão Add label pair .

        • Caso tenha selecionado Image URL template, insira o modelo do endereço da Web do registro de imagens.

          Se o cluster tiver imagens do registro público do Docker Hub, a solução considera tanto o caminho completo quanto o caminho curto das imagens. Por exemplo, se a URL da imagem de contêiner no cluster for especificada como docker.io/library/ubuntu:focal, a solução a aceitará igualmente no formato ubuntu: focal.

          É possível incluir mais endereços da Web para a seleção de pods clicando no botão Add Image URL.

        • Caso tenha selecionado Image digest, insira o resumo da imagem criado usando o algoritmo hash SHA256. É possível especificar o resumo da imagem com ou sem o prefixo sha256 (por exemplo, sha256:ef957...eb43 ou ef957...eb43).

          É possível incluir mais resumos de imagens para a seleção de pods clicando no botão Add image digest.

      3. No campo Container runtime profile, especifique um ou mais perfis de tempo de execução que devem ser aplicados a pods que correspondam aos atributos definidos.
      4. Se necessário, adicione pods para mapeamento usando o botão Add pod mapping. Pods com diferentes atributos ou perfis de tempo de execução aplicados serão mapeados de acordo com a mesma política de tempo de execução.
    • Na seção Container autoprofiles, use botão de alternância Disabled/Enabled para ativar a verificação de contêineres no escopo especificado usando perfis automáticos associados a imagens nesses contêineres.

      Para ver todos os perfis automáticos incluídos no escopo, clique no link Show autoprofiles attributed to the scope. Na barra lateral aberta, a solução mostra uma tabela com uma lista de perfis automáticos. Para cada perfil automático, são mostrados seu nome, a data e hora da última atualização e a imagem associada a ele.

  9. Clique no botão Add.
Topo da página