Создание профиля среды выполнения

Чтобы создать профиль среды выполнения контейнера:

  1. В разделе ПолитикиСреда выполненияПрофили среды выполнения нажмите на кнопку Добавить профиль.

    Откроется окно ввода параметров профиля.

  2. Введите название профиля среды выполнения и при необходимости его описание.
  3. В раскрывающемся списке Области применения выберите одну или несколько областей применения.

    Области применения в профилях среды исполнения используются для дальнейшего правильного использования профилей в политиках среды выполнения.

  4. В блоке Ограничение событий укажите значения следующих параметров:
    1. Процессы в контейнерах: с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
      • Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
      • Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. Необходимо указывать полный прямой путь для исполняемого файла (например, /bin/php). При этом можно указать директорию с помощью маски *, например, /bin/*, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории и разрешить запуск всех исполняемых файлов из поддиректорий директории /bin/.

        Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для /bin/* в исключениях можно указать путь /bin/cat. При этом будет запрещен запуск всех исполняемых файлов из директории /bin/, кроме приложения /bin/cat.

        Вы можете указать исполняемый файлы таким образом, чтобы осуществлялась синхронная блокировка быстрых процессов в контейнерах.

        При работе с бинарным файлом busybox, который поставляется во многих базовых образах для контейнеров (например, в alpine), необходимо учитывать, что busybox содержит в себе набор команд для вызова приложений без явного указания вызываемых приложений. Например, команда ls используется для быстрого вызова исполняемого файла /bin/ls, который в свою очередь является символической ссылкой на /bin/busybox. В этом случае необходимо указывать путь до исполняемого файла следующим образом: /bin/busybox/ls (то есть требуется объединить оригинальный путь исполняемого файла /bin/busybox и его команды ls с помощью символа /).

        Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.

        Все указанные для этого блока параметров правила и исключения являются регулярными выражениями (regexp). Решение использует заданные шаблоны и флаги для поиска всех файлов, которые соответствуют определенному регулярному выражению.

        Если вы применяете Cilium CNI, при определении правил и исключений кроме CIDR и FQDN необходимо указывать правила Cilium CNI. Это позволит решению обрабатывать данные о сервисах Cilium и отличать их от CIDR, FQDN и остальных меток в едином поле ввода.

    2. Входящие сетевые соединения: с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.

      Включенные параметры входящих сетевых соединений не применяются, если профиль указан в политике среды выполнения в режиме Аудит, которая запущена для кластера с Cilium CNI.

      Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

      • Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
      • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

        Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

      • Репутация. С помощью кнопок выберите статусы репутации входящего соединения. Репутация может присваиваться на основе локального списка репутаций Kaspersky Security для контейнеров или вашего пользовательского списка репутаций.
    3. Исходящие сетевые соединения: с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.

      Включенные параметры исходящих сетевых соединений не применяются, если профиль указан в политике среды выполнения в режиме Аудит, которая запущена для кластера с Cilium CNI.

      Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

      • Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
      • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

        Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

      • Репутация. С помощью кнопок выберите статусы репутации исходящего соединения. Репутация может присваиваться на основе локального списка репутаций Kaspersky Security для контейнеров или вашего пользовательского списка репутаций.
    4. Угрозы безопасности, обнаруженные компонентом Защита от файловых угроз: с помощью переключателя Выключено / Включено активируйте компонент Защита от файловых угроз. Он используется для поиска и анализа потенциальных файловых угроз, а также обеспечивает безопасность контейнеризированных объектов, в том числе архивов и файлов электронной почты.

      Когда применяется профиль среды выполнения с включенным компонентом Защита от файловых угроз, Kaspersky Security для контейнеров активирует защиту от файловых угроз в реальном времени на всех узлах в составе областей применения, заданных для такой политики. Конфигурация разворачиваемых агентов зависит от настроек параметров, которые вы укажете для компонента Защита от файловых угроз. Вы можете настроить параметры защиты от файловых угроз, нажав на кнопку Параметры компонента Защита от файловых угроз на вкладке Профили среды выполнения в разделе ПолитикиСреда выполнения.

    5. Файловые операции: с помощью переключателя Выключено / Включено активируйте возможность мониторинга файловых операций в контейнере. Для этого укажите значения для следующих параметров:
      • Путь. Пути к файлам или папкам можно указать как с использованием косой черты (/) в конце пути, так и без нее. Вы можете разрешить доступ ко всем поддиректориям, поставив звездочку (*) после косой черты (/) в конце пути.

        При определении путей к файлам указываются только полные пути, которые начинаются с косой черты (/).

      • При необходимости в поле Исключения вы можете указать пути к файлам, для которых не будет осуществляться мониторинг файловых операций.
      • Тип операции. Вы можете указать файловые операции, которые решение будет отслеживать при применении политики среды выполнения. Для этого с помощью флажка выберите один, несколько или все типы операций в следующем списке:
        • Открытие – решение фиксирует все операции по открытию файлов.
        • Создание – решение регистрирует все операции по созданию файлов в указанных директориях.
        • Чтение – решение отслеживает операции по чтению файлов.
        • Запись – решение фиксирует информацию о сохранении изменений в файлах.
        • Переименование или перемещение – решение регистрирует операции, связанные с изменением имени файлов или перемещения файлов в другие папки.
        • Удаление – решение записывает информацию об удалении файлов или папок из указанных директорий.
        • Изменение прав доступа – решение фиксирует информацию об изменении прав доступа к файлам и директориям.
        • Изменение владельца файла – решение отслеживает операции, связанные с изменением владельца файла или папки в указанной директории.

      При необходимости добавьте правила для мониторинга файловых операций с помощью кнопки Добавить правило. Решение будет применять нескольких правил мониторинга файловых операций в рамках одной политики среды выполнения.

      Для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

    6. Открытие портов: с помощью переключателя Выключено / Включено активируйте возможность мониторинга открытия портов контейнера. Решение выявляет привязку IP-адреса к порту и записывает эти события в списке событий контейнеров для анализа. Для этого выберите один из следующих параметров:
      • Мониторинг открытия указанных портов. Если вы выбираете это значение, в поле Порты вам нужно указать один или несколько портов, для которых будет осуществляться мониторинг открытия.

        Этот параметр выбран по умолчанию.

      • Мониторинг открытия всех портов, кроме указанных. Если вы выбираете это значение, в поле Порты вам нужно указать один или несколько портов, для которых мониторинг открытия проводиться не будет.
      • Мониторинг открытия всех портов. Решение будет осуществлять мониторинг открытия всех портов в контейнере.

      Для мониторинга открытия портов поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

    По умолчанию переключатели Выключено / Включено у всех параметров выключены.

  5. Нажмите на кнопку Добавить.

Созданный профиль среды выполнения отображается в разделе ПолитикиСреда выполненияПрофили среды выполнения.

В начало