关于卡巴斯基容器安全平台
卡巴斯基容器安全(以下称为“解决方案”)可发现安全问题,并确保为容器应用程序全生命周期(开发、部署控制至运行时)提供保护。
解决方案功能:
- 与镜像仓库(Docker Hub、JFrog Artifactory、Sonatype Nexus Repository OSS、GitLab 仓库、Harbor)集成,扫描仓库中的镜像以查找 NVD 和 VDB (DSTD) 发布的已知漏洞、秘密(密码、访问密钥、令牌)、错误配置和恶意软件。
- 作为管道阶段集成入持续集成/持续交付 (CI/CD) 流程,扫描 IaC 是否存在错误配置,以及扫描容器镜像是否存在漏洞、恶意软件和敏感数据(秘密)。
- 检查集群节点是否符合行业信息安全基准。
- 在构建和操作应用程序时监控对已配置的安全策略的符合情况,包括监控运行时中的容器运行。
- 监控受控集群使用的资源。
您可以通过管理控制台配置和访问卡巴斯基容器安全的功能。控制台以 Web 界面的形式实现,可通过 Chromium(Google Chrome、Microsoft Edge、Apple Safari)或者 Mozilla Firefox 浏览器访问。
最新功能
卡巴斯基容器安全 1.2 提供以下新功能和改进:
- 用来检查组件状态的内置工具(健康检查机制),具体来说:
- 集群资源状态可视化
- 查看有关解决方案组件状态的信息
- 心跳监控
- 自动化维护过程,通过 Auto Care 工具确保组件的安全性和可靠性,包括自动清洁以下内容:
- 安全事件日志
- 扫描历史记录
- 可视化被监控的集群、网络通信和集群资源安全问题。
- 搜索和分析潜在的文件威胁,以保护容器文件免受恶意软件的侵害。
- 支持与以下 CI 系统集成:
- 生成集群节点是否符合 Kubernetes 标准的检查结果报告:
- 总结报告
- 详细报告
- 卡巴斯基容器安全与 Harbor Registry 集成,充当附加扫描程序。此功能可让您从 Harbor Registry 界面启动图像扫描。扫描结果保存在解决方案中并可供进一步使用。
- 使用 Swagger 记录 API 请求。
- 确保对包含多达 1000 个网络节点的基础设施进行持续监控。
- 支持简体中文。
- 解决方案在以下云环境中运行:
- AWS EKS
- Microsoft Azure
Kaspersky Security for Containers 1.2.1 具有以下更新:
- 改进了基于 LDAP 的身份验证方法。
- 改进了在 Telegram 中工作的操作(发送消息、聊天搜索)。
- 修正了用于检查是否符合 Kubernetes 标准的结果的过滤器应用。
- 风险接受报告中的“供应商修复”字段已被修改。
- 添加了处理 CI 代理的 Java 依赖项中的漏洞的权能。
- 运行时策略中以下控制的性能得到了改进:阻止不合规镜像和阻止未注册的镜像。
- 删除分配有策略的范围的逻辑得到了改进。
- 镜像签名验证器的工作得到优化。
- 卡巴斯基容器安全用户的身份验证程序得到了改进。
- API 令牌重新发行功能得到纠正。
- 添加镜像进行分析时显示大量标签的问题得到纠正。
- 改进了使用 API 添加新仓库的功能(修复了保存标签信息的逻辑)。
- 镜像报告模板已修改(显示镜像中漏洞的链接)。
- 使用 CRAM-MD5 身份验证时与电子邮件服务器的协作得到了改进。
- 添加了配置镜像仓库访问频率的权能。
- Web 界面得到了改进。
Kaspersky Security for Containers 1.2.2 具有以下更新:
- 实施了 Yandex Registry 支持。
- 添加了使用 Docker V2 API 支持镜像仓库的通用方法。
- 与 JFrog Artifactory 镜像仓库配合使用以支持权限较低的账户的功能得到了改进。
- 在 CI/CD 中保存工件的机制得到了改进。
- 修复了 Kubernetes 旧版本(4.18 版)中的代理操作错误。
- 纠正了当代码为 4XX 和 5XX 的错误发生时对镜像仓库进行定期扫描的操作。
- JFrog Artifactory 中与子域集成(使用标准名称以外的名称)期间的操作逻辑得到了改进。
分发包
有关购买应用程序的信息,请访问 https://www.kaspersky.com 或联系我们的合作伙伴。
分发包包括一个 Helm Chart 软件包,其中包含部署和安装卡巴斯基容器安全组件所需的容器化资源。下表列出了分发套件中的容器化组件。
卡巴斯基容器安全分发套件中的容器化组件
|
组件 |
镜像 |
Pod |
|---|---|---|
|
ClickHouse DBMS |
clickhouse |
kcs-clickhouse |
|
PostgreSQL DBMS |
postgresql |
kcs-postgres |
|
PGBouncer 连接池程序 |
pgbouncer |
kcs-pgbouncer |
|
Middleware |
middleware |
kcs-middleware |
|
事件代理 |
event-broker |
kcs-eb |
|
镜像处理程序,客户端扫描器 |
image-handler |
kcs-ih |
|
扫描器 |
scanner-server |
kcs-scanner |
|
Licenses |
licenses |
kcs-licenses |
|
文件存储(Minio) |
minio |
kcs-s3 |
|
消息代理 |
nats |
kcs-nats |
|
更新专用公司网络的文件服务器(更新) |
updates |
kcs-updates |
|
解决方案界面(面板) |
nginx |
kcs-panel |
|
代理 |
node-agent |
node-agent |
Helm 包还包括一个values.yaml配置文件,其中包含安装和更新解决方案的设置值。
下载并保存 Helm 包到选定目录后,编排器会将镜像从 Helm 包中指定的源直接下载到编排平台节点。
激活应用程序所需的信息将通过电子邮件发送给您。
页首硬件和软件要求
要安装和运行卡巴斯基容器安全,必须满足以下基础设施要求:
- 以下编排器平台之一:
- Kubernetes(1.21 或更高版本)
- OpenShift(版本 4.11 或更高版本)
- Deckhouse(版本 1.52、1.53。CNI: Flannel)
- 具备可在开发过程中扫描容器镜像的 CI 系统(如 GitLab CI)。
- 安装了包管理器 Helm v3.10.0 或更高版本。
要使用容器运行时配置文件实现运行时监控,编排器节点必须满足以下要求:
- Linux 内核 4.18 或更高版本。
- 容器运行时 (CRI):containerd、CRI-O。
- 容器网络接口 (CNI) 插件:Flannel、Calico、Cilium。
实现使用容器运行时配置文件进行运行时监控所需的 Linux 发行版和 Linux 内核的最低支持版本:
- CentOS 8.2.2004 或更新版本 + 内核 4.18.0-193 或更新版本
- Ubuntu 18.04.2 或更新版本 + 内核 4.18.0 或更新版本
- Debian 10 或更新版本 + 内核 4.19.0 或更新版本
- Astra Linux SE 1.7. * + 内核 6.1.50-1-generic
如果您的基础设施包含运行其他 Linux 发行版的主机服务器,我们建议联系技术支持。技术支持将检查解决方案与您的发行版的兼容性。如果不存在这种兼容性,则卡巴斯基容器安全的未来版本可能会支持这些发行版。
卡巴斯基容器安全确保在 Istio 服务网格基础设施中使用时正确运行。
使用外部数据库管理系统时,卡巴斯基容器安全支持 PostgreSQL 11.*、13.*、14.*。
卡巴斯基容器安全支持与以下镜像仓库的集成:
- GitLab 14.2 或更高版本
- Docker Hub V2 API 或更高版本
- JFrog Artifactory 7.55 或更高版本
- Sonatype Nexus Repository OSS 3.43 或更高版本
- Harbor 2.х
镜像要求(操作系统、版本、扫描的软件包):
- AlmaLinux,版本 8、9。扫描通过 dnf/yum/rpm 安装的软件包。
- Alpine Linux,版本 2.2 - 2.7、3.0 - 3.20、Edge。扫描通过 apk 安装的软件包。
- Amazon Linux,版本 1、2、2023。扫描通过 dnf/yum/rpm 安装的软件包。
- Astra Linux SE,版本 1.6.x、1.7.x。扫描通过 apt/dpkg 安装的软件包。
- CBL-Mariner,版本 1.0、2.0。扫描通过 dnf/yum/rpm 安装的软件包。
- CentOS,版本 6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
- Chainguard,所有版本。扫描通过 apk 安装的软件包。
- Debian GNU/Linux,版本 7、8、9、10、11、12。扫描通过 apt/dpkg 安装的软件包。
- openSUSE Leap,版本 42、15。扫描通过 zypper/rpm 安装的软件包。
- Oracle Linux,版本 5、6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
- Photon OS,版本 1.0、2.0、3.0、4.0。扫描通过 tdnf/yum/rpm 安装的软件包。
- Red Hat Enterprise Linux,版本 6、7、8。扫描通过 dnf/yum/rpm 安装的软件包。
- RedOS 版本 7.1、7.2、7.3.х、8.0。扫描通过 dnf/yum/rpm 安装的软件包。
- Rocky Linux,版本 8、9。扫描通过 dnf/yum/rpm 安装的软件包。
- SUSE Enterprise Linux,版本 11、12、15。扫描通过 zypper/rpm 安装的软件包。
- Ubuntu,Canonical 支持的所有版本。扫描通过 apt/dpkg 安装的软件包。
- Wolfi Linux,所有版本。扫描通过 apk 安装的软件包。
- 安装了具有 Conda 命令行工具的操作系统。通过 conda 安装的软件包得到扫描。
当在有三个工作节点、三个扫描器 Pod (kcs-ih) 和最大镜像扫描大小为 10 GB 的集群中配置卡巴斯基容器安全时,集群工作节点必须满足以下要求:
- 至少 10 个处理器核心
- 至少 18 GB 的 RAM
- 40 GB 可用磁盘空间
- 集群组件之间至少有 1 Gbps 的通信通道带宽
为了使集群中的代理运行,必须为每个工作节点提供以下额外的计算资源:
- 2 个处理器核心
- 3 GB 的 RAM
- 15 GB 可用磁盘空间
您必须为安装解决方案的集群中的每个受监控节点分配 1 GB 的可用磁盘空间用于 ClickHouse 持久卷。
上述要求仅适用于卡巴斯基容器安全部署;他们不考虑客户端资源上的其他负载。
卡巴斯基容器安全用户工作站要求:
- 在公共公司网络中部署时,可永久连接互联网。
- 可访问卡巴斯基容器安全管理控制台页面(需使用客户企业内部网络地址,在安装期间指定)。
- 带宽至少为 10 Mbit/s 的通信信道。
- 以下浏览器之一:
- Google Chrome 版本 73 或更高版本。
- Microsoft Edge 版本 79 或更高版本。
- Mozilla Firefox 版本 63 或更高版本。
- Apple Safari 版本 12.1 或更高版本。
- Opera 版本 60 或更高版本。
缩放
卡巴斯基容器安全支持缩放扫描 Pod 数量,以确保可以扫描传入的镜像量。您可以在解决方案运行时随时缩放扫描 Pod 数量。
添加扫描 Pod 时,系统资源有如下增加:
- 节点处理器的数量 – 增加 2。
- 节点上的 RAM 量 – 增加 4 GB。
- 节点硬盘驱动器上的可用磁盘空间量 – 增加 15 GB。
为扫描大于 10 GB 的镜像,对于每个扫描 Pod,每增加 1 GB,都必须按如下方式增加 kcs-ih 服务资源。
- 节点上的 RAM 量 – 增加 300 MB。
- 节点硬盘驱动器上的可用磁盘空间量 – 增加 1 GB。
在标准操作模式下,如果没有扫描镜像以查找配置文件中的错误,则无需增加扫描 Pod 上的 RAM。
为了更快地处理许多大型对象的扫描结果,您可以通过更新 Helm 包中的变量来为作业处理程序服务分配更多资源。
要添加更多扫描作业处理资源:
- 打开 Helm 包,并在
default部分的scanWorkers变量中为kcs-middleware参数指定所需的处理程序数量。 - 在
requests和limits变量中,指定根据以下公式确定的 RAM 大小:memory = X * scanWorkers / 2,其中memory是分配给镜像处理程序服务的 RAM 大小。X是表示 RAM 大小的变量的原始值。scanWorkers是步骤 1 中所指定的处理程序的数量。scanWorkers/2的结果不能为零。 - 在
requests和limits变量中,指定根据以下公式计算的 CPU 资源:cpu = X*scanWorkers,其中cpu是分配给镜像处理程序服务的 CPU 资源。X是表示 CPU 资源的变量的原始值。scanWorkers是处理程序的数量。
基础镜像的系统软件包
卡巴斯基容器安全使用以下操作系统镜像作为基础镜像:
- Alpine 3.18.4。
- Ubuntu 23.10。
- Oracle Linux 9.2。
软件包管理系统(“软件包管理器”)用于管理各种软件组件的安装、删除、配置和更新。卡巴斯基容器安全对其基础操作系统中使用以下软件包管理器:
- 对于 Alpine,使用 apk。
- 对于 Ubuntu,使用 apt。
- 对于 Oracle Linux,使用 rpm。
要获取有关已安装的系统软件包的信息,
请使用标准编排器工具访问正在运行的容器,并(根据所使用的软件包管理器)输入以下 bash 命令:
- 对于 apk:
apk -q list | grep "installed" - 对于 apt:
apt list --installed - 对于 rpm:
yum list installed
扫描的应用软件包
卡巴斯基容器安全支持指定编程语言的以下扫描应用程序软件包:
- Ruby:
- gemspec(镜像已扫描)。
- Gemfile.lock(CI/CD 中的仓库已扫描)。
- Python:
- egg 包、wheel 包、conda 包(镜像已扫描)。
- Pipfile.lock、poetry.lock、requirements.txt(CI/CD 中的仓库已扫描 )。
- PHP的:
- installed.json(镜像已扫描)。
- composer.lock(CI/CD 中的仓库已扫描)。
- Node.js:
- package.json(镜像已扫描)。
- package-lock.json、yarn.lock、pnpm-lock.yaml(CI/CD 中的仓库已扫描)。
- .NET:packages.lock.json、packages.config、.deps.json、Packages.props(CI/CD 中的镜像和仓库已扫描)。
- Java:
- *.jar、*.war、*.par 和 *.ear(镜像已扫描)。
- pom.xml、* gradle.lockfile、* .sbt.lock(CI/CD 中的仓库已扫描)。
- Go:
- 二进制文件(镜像已扫描)。
- go.mod(CI/CD 中的仓库已扫描)。
- Rust:
- Cargo 检查的二进制文件(镜像已扫描)。
- Cargo.lock(CI/CD 中的镜像和仓库已扫描)。
- C/C++: conan.lock(CI/CD 中的仓库已扫描)。
- Elixir: mix.lock(CI/CD 中的仓库已扫描)。
- Dart: pubspec.lock(CI/CD 中的仓库已扫描)。
- Swift: Podfile.lock、Package.resolved(CI/CD 中的仓库已扫描)。
- Julia:Manifest.toml(CI/CD 中的镜像和仓库已扫描)。