卡巴斯基容器安全
1.2
简体中文
安全策略配置 > 运行时策略 > 创建运行时策略

创建运行时策略

在卡巴斯基容器安全中添加运行时策略需要管理运行时策略设置的权限。

要添加运行时策略:

  1. 在“策略运行时策略”下,选择“策略”选项卡
  2. 单击“添加策略”按钮。

    将打开策略设置窗口。

  3. 输入策略名称,如果需要,还可以输入策略说明。
  4. 在“范围”字段中,从可用选项中选择运行时策略的范围。由于运行时策略仅用于已部署和/或正在运行的容器,因此可以选择包含跨集群的资源的范围。

    仅包含仓库资源的范围不可供选择。如有必要,您可以为在容器运行时配置文件部分中创建的运行时策略指定单独的镜像和 Pod,如步骤 11 中所述。

    如果您计划实施被分配了全局范围的策略,则必须向您的某个用户角色授予查看全局范围的权限。

  5. 如有必要,选中“排除”复选框以定义不应用运行时策略的排除项。要执行此操作,请在下拉列表中选择相关对象,指定其名称,然后单击“添加”。

    部署容器时会检查策略中的现有排除项。

  6. 在“模式”部分中,选择以下策略执行模式之一:
    • 审计。在此模式下,扫描会考虑容器的内容。
    • 强制。在此模式下,解决方案会阻止所有不符合策略中定义的规则和标准的对象。
  7. 在“最佳实践检查”部分中,使用“已禁用”/“已启用”切换开关激活扫描以检查是否符合最佳安全实践。从设置列表中,选择确保运行正确的镜像并正确配置 CPU 和 RAM 使用设置的扫描设置。
  8. 在“阻止不合规镜像”部分中,使用“已禁用”/“已启用”切换开关防止容器从不符合要求的镜像运行。仅对已在解决方案中注册且状态为“合规”的已扫描镜像执行此检查。
  9. 在“阻止未注册的镜像”部分中,如果镜像对于卡巴斯基容器安全是未知的,则使用“已禁用”/“已启用”切换开关阻止镜像部署。要部署镜像,您必须在解决方案中注册该镜像并等待它出现在仓库中。
  10. 在“功能阻止”部分中,使用“已禁用”/“已启用”切换开关来阻止使用指定的 Unix 功能。为此,请从下拉列表中选择特定的系统功能。您还可以从下拉列表中选择“所有”来锁定所有 Unix 系统功能的使用。
  11. 在“容器运行时配置文件”部分中,使用“已禁用”/“已启用”切换开关来阻止容器内的进程和 Pod 的网络连接。为此,请执行以下操作:
    1. 在下拉列表中,选择一个属性,以定义将应用于容器运行时配置文件的 Pod。
    2. 根据所选属性,执行以下操作:
      • 如果您选择了“按 Pod 标签”,请输入 Pod 标签的键和值。

        您可以单击“添加标签对”按钮来为 Pod 选择项添加其他 Pod 标签。

      • 如果您选择了“镜像 URL 模板”,请输入镜像仓库网址模板。

        如果集群包含来自公共 Docker Hub 仓库的镜像,则该解决方案会将镜像的完整路径和短路径视为同样的路径。例如,如果您将集群中容器镜像的 URL 指定为 docker.io/library/ubuntu:focal,则解决方案会将其视为 ubuntu:focal

        您可以单击“添加镜像 URL”按钮来添加 Pod 选择项的其他网址。

    3. 在“容器运行时配置文件”字段中,指定一个或多个运行时配置文件,这些配置文件将应用于与您定义的属性相匹配的 Pod。
    4. 如有必要,您可以使用“添加 Pod 映射”按钮为映射添加 Pod。具有不同属性的 Pod 或应用的运行时配置文件 将映射到相同的运行时策略下。
  12. 在“文件威胁防护”下,使用“禁用/启用”切换按钮来激活“文件威胁防护”。它用于查找和分析潜在的文件威胁,并为容器化对象(如压缩包和电子邮件文件)提供安全保障。

    应用了启用文件威胁防护组件功能的运行时策略后,卡巴斯基容器安全将为该策略所定义范围内的所有节点激活实时文件威胁防护。部署代理的配置取决于您为文件威胁防护指定的设置。在“策略 → 运行时策略”下,单击“策略”选项卡中的“设置来配置文件威胁防护设置

    文件威胁防护设置将应用于所有当前生效的运行时策略。

  13. 在“镜像内容保护”部分中,使用“已禁用”/“已启用”切换开关启用数字签名验证,以确认容器中镜像的完整性和来源。为此,请执行以下操作:
    1. 在“镜像仓库 URL 模板”字段中,输入要在其中验证签名的镜像仓库的网址模板。
    2. 在下拉列表中,选择“检查”启用验证,或选择“不检查”禁用验证。
    3. 在下拉列表中,选择已配置的镜像签名验证器之一。
    4. 如有必要,使用“添加签名验证规则”按钮添加签名验证规则。解决方案将在单个运行时策略下应用多个签名验证规则。
  14. 在“限制容器权限”部分中,使用“已禁用”/“已启用”切换按钮阻止具有一组特定权限的容器启动。在设置列表中,选择权限和权限配置以阻止 Pod 设置。
  15. 在“允许的仓库”部分中,使用“已禁用”/“已启用”切换按钮允许仅将容器部署到特定仓库的集群。为此,请从“仓库”下拉列表中选择相关仓库。
  16. 在“阻止的卷”部分中,使用“已禁用”/“已启用”切换开关防止选定的卷安装到容器中。为此,请在“”字段中指定主机系统上的卷挂载点。

    ”字段必须以正斜杠(“/”)开头,因为它代表操作系统路径。

  17. 单击“保存”。

默认情况下,添加的策略已启用

文章 ID: 271400, 上次审阅: 2024年12月4日
页首