目录
安全策略配置
卡巴斯基容器安全组件使用以下安全策略:
- 扫描器策略确定扫描不同类型资源的设置。扫描策略使用规则来检测敏感数据以及漏洞、恶意软件和错误配置。
- 保障策略定义卡巴斯基容器安全操作,以便在镜像扫描期间检测到的漏洞、恶意软件、敏感数据和错误配置符合策略中指定的标准时提供安全保障。
- 响应策略定义在策略中指定的事件发生时解决方案的操作。例如,卡巴斯基容器安全可以向用户通知事件。
- 运行时策略允许您根据公司安全要求控制和在适当的情况下限制集群上容器的部署和操作。
卡巴斯基容器安全在运行期间仅应用已启用的策略。检查期间不能使用已禁用的策略。
扫描器策略
扫描器策略确定扫描不同类型资源的设置。
安装卡巴斯基容器安全时,会创建默认的扫描器策略;它可以应用于所有资源并在所有环境中执行。它称为全局扫描策略(默认)。默认情况下,将为该策略分配全局范围。
如果您的角色已被分配管理扫描器策略和查看全局范围的权限,则您可以启用、禁用或配置全局扫描器策略设置。
不能对全局扫描器策略执行以下操作:
- 更改已分配的全局范围。
- 删除全局扫描器策略。
已配置的扫描器策略列表在“策略 → 扫描器策略”部分中显示为表格。
您可以使用该列表执行以下操作:
- 添加新策略。单击表格上方的“添加策略”按钮以打开策略设置窗口。
- 使用表格的“状态”列中的“已禁用”/“已启用”切换按钮来启用或禁用策略。
- 更改策略设置。您可以单击策略名称链接来打开编辑窗口。
您还可以在编辑窗口中启用和禁用策略。卡巴斯基容器安全在运行时不使用已禁用的策略。
- 配置检测敏感数据的规则。要执行此操作,请转至“敏感数据”选项卡。
- 删除策略。
创建扫描器策略
在卡巴斯基容器安全中添加扫描器策略需要管理扫描器策略设置的权限。
要添加扫描器策略:
- 在“策略 → 扫描器策略”部分中,单击“添加策略”按钮。
将打开策略设置窗口。
- 如有必要,使用“已禁用”/“已启用”切换开关禁用已添加的策略。在这种情况下,策略将被添加但不会应用,直到其被激活。
默认情况下,新添加的扫描器策略的状态为“已启用”。
- 输入策略名称,如果需要,还可以输入策略说明。
- 在“范围”字段中,从可用选项中选择扫描器策略的范围。
如果您计划实施被分配了全局范围的策略,则必须向您的某个用户角色授予查看全局范围的权限。
- 在“漏洞”部分中,配置以下设置:
- 使用“已禁用”/“已启用”切换开关配置使用国家漏洞仓库 (NVD) 数据库进行的扫描。
- 使用“已禁用”/“已启用”切换开关配置使用漏洞数据库 (VDB) 进行的扫描。
- 在“恶意软件”部分中,使用“已禁用”/“已启用”切换开关将扫描镜像中的恶意软件配置为文件威胁防护组件的一部分。
- 在“错误配置”部分中,使用“已启用”/“已禁用”切换开关配置对配置错误的检查。
- 单击“保存”。
编辑扫描器策略设置
如果您的账户已被分配至少一个角色,且该角色是策略创建者在创建策略时所具有的,则您可以在卡巴斯基容器安全中编辑扫描器策略设置。
要更改扫描器策略设置:
- 在“策略 → 扫描器策略”部分中,单击策略名称链接。
将打开策略设置编辑窗口。
- 如果需要,使用“已禁用”/“已启用”切换开关更改策略状态(已启用/已禁用)。
- 对策略设置进行更改。以下设置可供编辑:
- 策略的名称、描述和范围。
- 漏洞控制设置。选中检查镜像所依据的漏洞数据库的复选框。
- 恶意软件控制设置。如果您需要扫描镜像中是否存在恶意软件和其他文件威胁,请选中该复选框。该控制通过文件威胁防护组件执行。
- 错误配置控制设置。如果您需要检查镜像是否存在错误配置,请选中该复选框。该控制使用卡巴斯基容器安全制造商配置的默认设置执行。
- 单击“保存”。
配置敏感数据检测规则
为在镜像扫描过程中检测敏感数据(以下简称“秘密”)配置的规则列表显示在“策略 → 扫描器策略 → 敏感数据”部分中。
根据需检测机密的目的和范围,这些规则被分为多个类别。类别列表由卡巴斯基容器安全制造商确定。类别包含预定义的规则。
您可以使用该列表执行以下操作:
- 查看和更改秘密检测规则的设置。您可以单击规则 ID 链接来打开编辑窗口。
- 将新规则添加到所选类别。单击表格上方的“添加规则”按钮以打开集成设置窗口。要添加不属于任何预设类别的规则,请使用“其他”类别。
- 删除规则。选中列表中一个或多个规则旁边的框。然后将显示删除图标。
要更改敏感数据检测规则的设置:
- 在表格中的“策略 → 扫描器策略 →策略”部分中,选择扫描器策略。
- 在“敏感数据”部分中,通过选中规则行中的复选框来选择必要规则。
- 使用包含策略规则列表的表格的“状态”列中的“禁用”/“启用”开关来启用或禁用此策略组件。
不要单击“保存”按钮。
卡巴斯基容器安全会立即将更改应用于敏感数据设置并显示相应的通知。您还可以刷新页面来查看设置更改。
保障策略
保障策略定义卡巴斯基容器安全操作,以便在镜像扫描期间检测到的威胁符合策略中指定的标准时提供安全保障。
已配置的保障策略以表格形式显示在“策略 → 保障策略”部分中。
您可以使用该列表执行以下操作:
- 添加新策略。单击表格上方的“添加策略”按钮以打开策略设置窗口。
- 更改策略设置。您可以单击策略名称链接来打开编辑窗口。
- 启用和禁用策略。使用包含已创建策略列表的表格的“状态”列中的“禁用/启用”切换按钮来禁用和启用策略。
- 删除策略。
如果添加保障策略、修改其设置或删除策略,该策略应用于的镜像的合规状态将受到审核(合规/不合规)。
创建保障策略
在卡巴斯基容器安全中添加安全策略需要管理安全策略设置的权限。
要添加保障策略:
- 在“策略 → 保障策略”部分中,单击“添加策略”按钮。
将打开策略设置窗口。
- 输入策略名称,如果需要,还可以输入策略说明。
- 在“范围”字段中,从可用选项中选择镜像安全策略的范围。
如果您计划实施被分配了全局范围的策略,则必须向您的某个用户角色授予查看全局范围的权限。
- 指定卡巴斯基容器安全根据策略应执行的操作:
- CI/CD 步骤失败 – 如果卡巴斯基容器安全扫描器在扫描 CI/CD 管道中的镜像时检测到与策略中指定的严重级别匹配的威胁,扫描将以出错结束(失败)。此结果会传输到 CI 系统。
- 将镜像标记为不合规 – 卡巴斯基容器安全会对在其中检测到符合策略中指定标准的威胁的镜像进行标记。
- 在“漏洞级别”部分中,配置以下设置:
- 使用“已禁用”/“已启用”切换开关根据漏洞严重级别配置扫描。
- 根据漏洞数据库设置指定的严重性级别。您可以从“严重级别”下拉列表中选择或指定从 0 到 10 的严重程度分数。
- 使用“已禁用”/“已启用”切换开关配置当发现特定漏洞时进行阻止,并在“漏洞”字段中指定这些漏洞。
- 在“恶意软件”部分中,使用“已启用”/“已禁用”切换开关配置扫描镜像中的恶意软件。
- 在“错误配置”部分中,配置以下设置:
- 使用“已启用”/“已禁用”切换开关根据错误配置严重级别配置扫描。
- 从“严重级别”下拉列表中选择错误配置严重级别。
严重级别根据漏洞数据库进行分配。
- 在“敏感数据”部分中,配置以下设置:
- 使用“已启用”/“已禁用”切换开关根据敏感数据严重级别配置扫描。
- 从“严重级别”下拉列表中选择敏感数据严重级别。
严重级别根据漏洞数据库进行分配。
- 单击“保存”。
默认情况下,添加的策略已启用。
页首编辑保障策略设置
如果您的账户已被分配策略创建者在创建策略时所具有的至少一个角色,则您可以在卡巴斯基容器安全中编辑镜像安全策略设置。
要更改保障策略设置:
- 在“策略 → 保障策略”部分中,单击现有保障策略列表中的策略名称。
将打开策略设置窗口。
- 对相关策略设置进行更改:
- 策略的名称、描述和范围。
- 解决方案按照此策略执行的操作。
- 所需扫描。
- 扫描期间检测到的漏洞的严重级别。
- 识别的漏洞数量,用于阻止目的。
- 单击“保存”。
响应策略
响应策略定义了策略中所指定事件发生时解决方案的操作。例如, 卡巴斯基容器安全可以向用户通知检测到的威胁。
如果要配置响应策略以通知用户,应该先设置与通知输出的集成。
已配置的响应策略以表格形式显示在“策略 → 响应策略”部分中。
您可以使用该列表执行以下操作:
- 添加新策略。单击表格上方的“添加策略”按钮以打开策略设置窗口。
- 更改策略设置。您可以单击策略名称链接来打开编辑窗口。
- 启用和禁用策略。使用包含已创建策略列表的表格的“状态”列中的“禁用/启用”切换按钮来禁用和启用策略。
如果禁用策略, 卡巴斯基容器安全将不会执行该策略中指定的操作。
- 搜索策略。要查找策略,请使用响应策略列表上方的搜索字段指定策略名称或策略名称的一部分。
- 删除策略。
在此版本的解决方案中,响应策略仅定义当策略中详述的特定事件发生时,卡巴斯基容器安全为通知用户而采取的操作。例如,如果检测到具有严重漏洞的对象,解决方案可以向用户发送电子邮件通知。
创建响应策略
在卡巴斯基容器安全中添加响应策略需要管理响应策略设置的权限。
要添加响应策略:
- 在“策略 → 响应策略”部分中,单击“添加策略”按钮。
将打开策略设置窗口。
- 输入策略名称,如果需要,还可以输入策略说明。
- 在“范围”字段中,从可用选项中选择响应策略的范围。
如果您计划实施被分配了全局范围的策略,则必须向您的某个用户角色授予查看全局范围的权限。
- 在“触发”字段中,使用下拉列表选择一个事件,如果在扫描期间发生该事件,将触发卡巴斯基容器安全通知用户。可选择以下事件之一作为触发事件:
- 敏感数据。如果解决方案在扫描期间检测到对象中存在敏感数据泄露的迹象,则会发送通知。
- 不合规。如果扫描的对象包含不符合安全策略要求的镜像,卡巴斯基容器安全会通知您。
- 严重漏洞。如果扫描的对象包含状态为“严重”的漏洞,则会发送通知。
- 恶意软件。如果扫描发现恶意软件,则会发送通知。
- 风险接受过期。如果扫描的对象包含您之前已接受的风险,但风险接受已过期,卡巴斯基容器安全会通知您。
- 配置所需的通知方法:
- 选择“输出”:电子邮件或 Telegram。
- 从“集成名称”字段的下拉列表中,选择预先配置的与所选通知输出的集成的名称。
- 要添加其他通知方法,请单击“添加”按钮,并填写上面 a 段和 b 段中所述的字段。
- 如果需要,可以通过单击“集成名称”字段右侧的图标来删除已添加的通知方法。
- 单击“保存”。
默认情况下,添加的策略已启用。
页首编辑响应策略设置
如果您的账户已被分配至少一个角色,且该角色是策略创建者在创建策略时所具有的,则您可以在卡巴斯基容器安全中编辑响应策略设置。
要更改响应策略设置:
- 在“策略 → 响应策略”部分中,单击现有响应策略列表中的策略名称。
将打开策略设置窗口。
- 如有必要,对相关策略设置进行更改:
- 更改策略名称。
- 添加或编辑策略描述。
- 添加或编辑策略范围。
- 从下拉列表中选择触发事件来更改触发事件。
- 单击“添加”按钮添加输出。
- 单击所选输出行旁边的删除图标 (
) 删除输出。
- 单击“保存”。
运行时策略
运行时策略决定了解决方案根据安全策略监视和控制容器运行时操作时所采取的操作。卡巴斯基容器安全根据在镜像中检测到的安全威胁、这些威胁的严重级别以及
的可用性来维护控制。运行时中的容器可以从经过验证的镜像或解决方案仍然未知的镜像运行。
在“策略”选项卡的“策略→运行时策略”下,一个表列出了已配置的运行时策略。
您可以使用该列表执行以下操作:
- 添加新策略。单击表格上方的“添加策略”按钮以打开策略设置窗口。
- 更改策略设置。您可以单击策略名称链接来打开编辑窗口。
- 启用和禁用策略。使用包含已创建策略列表的表格的“状态”列中的“禁用/启用”切换按钮来禁用和启用策略。
如果禁用策略, 卡巴斯基容器安全将不会执行该策略中指定的操作。
- 搜索策略。要查找策略,请使用响应策略列表上方的搜索字段指定策略名称或策略名称的一部分。
- 删除策略。
为了以最佳方式工作,运行时策略必须辅以运行时容器配置文件,这些配置文件定义了在运行时环境中运行容器的规则和限制。
创建运行时策略
在卡巴斯基容器安全中添加运行时策略需要管理运行时策略设置的权限。
要添加运行时策略:
- 在“策略 → 运行时策略”下,选择“策略”选项卡。
- 单击“添加策略”按钮。
将打开策略设置窗口。
- 输入策略名称,如果需要,还可以输入策略说明。
- 在“范围”字段中,从可用选项中选择运行时策略的范围。由于运行时策略仅用于已部署和/或正在运行的容器,因此可以选择包含跨集群的资源的范围。
仅包含仓库资源的范围不可供选择。如有必要,您可以为在容器运行时配置文件部分中创建的运行时策略指定单独的镜像和 Pod,如步骤 11 中所述。
如果您计划实施被分配了全局范围的策略,则必须向您的某个用户角色授予查看全局范围的权限。
- 如有必要,选中“排除”复选框以定义不应用运行时策略的排除项。要执行此操作,请在下拉列表中选择相关对象,指定其名称,然后单击“添加”。
部署容器时会检查策略中的现有排除项。
- 在“模式”部分中,选择以下策略执行模式之一:
- 审计。在此模式下,扫描会考虑容器的内容。
- 强制。在此模式下,解决方案会阻止所有不符合策略中定义的规则和标准的对象。
- 在“最佳实践检查”部分中,使用“已禁用”/“已启用”切换开关激活扫描以检查是否符合最佳安全实践。从设置列表中,选择确保运行正确的镜像并正确配置 CPU 和 RAM 使用设置的扫描设置。
- 在“阻止不合规镜像”部分中,使用“已禁用”/“已启用”切换开关防止容器从不符合要求的镜像运行。仅对已在解决方案中注册且状态为“合规”的已扫描镜像执行此检查。
- 在“阻止未注册的镜像”部分中,如果镜像对于卡巴斯基容器安全是未知的,则使用“已禁用”/“已启用”切换开关阻止镜像部署。要部署镜像,您必须在解决方案中注册该镜像并等待它出现在仓库中。
- 在“功能阻止”部分中,使用“已禁用”/“已启用”切换开关来阻止使用指定的 Unix 功能。为此,请从下拉列表中选择特定的系统功能。您还可以从下拉列表中选择“所有”来锁定所有 Unix 系统功能的使用。
- 在“容器运行时配置文件”部分中,使用“已禁用”/“已启用”切换开关来阻止容器内的进程和 Pod 的网络连接。为此,请执行以下操作:
- 在下拉列表中,选择一个属性,以定义将应用于容器运行时配置文件的 Pod。
- 根据所选属性,执行以下操作:
- 如果您选择了“按 Pod 标签”,请输入 Pod 标签的键和值。
您可以单击“添加标签对”按钮来为 Pod 选择项添加其他 Pod 标签。
- 如果您选择了“镜像 URL 模板”,请输入镜像仓库网址模板。
如果集群包含来自公共 Docker Hub 仓库的镜像,则该解决方案会将镜像的完整路径和短路径视为同样的路径。例如,如果您将集群中容器镜像的 URL 指定为 docker.io/library/ubuntu:focal,则解决方案会将其视为 ubuntu:focal。
您可以单击“添加镜像 URL”按钮来添加 Pod 选择项的其他网址。
- 如果您选择了“按 Pod 标签”,请输入 Pod 标签的键和值。
- 在“容器运行时配置文件”字段中,指定一个或多个运行时配置文件,这些配置文件将应用于与您定义的属性相匹配的 Pod。
- 如有必要,您可以使用“添加 Pod 映射”按钮为映射添加 Pod。具有不同属性的 Pod 或应用的运行时配置文件 将映射到相同的运行时策略下。
- 在“文件威胁防护”下,使用“禁用/启用”切换按钮来激活“文件威胁防护”。它用于查找和分析潜在的文件威胁,并为容器化对象(如压缩包和电子邮件文件)提供安全保障。
应用了启用文件威胁防护组件功能的运行时策略后,卡巴斯基容器安全将为该策略所定义范围内的所有节点激活实时文件威胁防护。部署代理的配置取决于您为文件威胁防护指定的设置。在“策略 → 运行时策略”下,单击“策略”选项卡中的“设置”来配置文件威胁防护设置。
文件威胁防护设置将应用于所有当前生效的运行时策略。
- 在“镜像内容保护”部分中,使用“已禁用”/“已启用”切换开关启用数字签名验证,以确认容器中镜像的完整性和来源。为此,请执行以下操作:
- 在“镜像仓库 URL 模板”字段中,输入要在其中验证签名的镜像仓库的网址模板。
- 在下拉列表中,选择“检查”启用验证,或选择“不检查”禁用验证。
- 在下拉列表中,选择已配置的镜像签名验证器之一。
- 如有必要,使用“添加签名验证规则”按钮添加签名验证规则。解决方案将在单个运行时策略下应用多个签名验证规则。
- 在“限制容器权限”部分中,使用“已禁用”/“已启用”切换按钮阻止具有一组特定权限的容器启动。在设置列表中,选择权限和权限配置以阻止 Pod 设置。
- 在“允许的仓库”部分中,使用“已禁用”/“已启用”切换按钮允许仅将容器部署到特定仓库的集群。为此,请从“仓库”下拉列表中选择相关仓库。
- 在“阻止的卷”部分中,使用“已禁用”/“已启用”切换开关防止选定的卷安装到容器中。为此,请在“卷”字段中指定主机系统上的卷挂载点。
“卷”字段必须以正斜杠(“/”)开头,因为它代表操作系统路径。
- 单击“保存”。
默认情况下,添加的策略已启用。
页首编辑运行时策略设置
如果您的账户已被分配策略创建者在创建策略时所具有的至少一个角色,则您可以在卡巴斯基容器安全中编辑运行时策略设置。
要更改运行时策略设置:
- 在“策略 → 运行时策略 → 策略”部分中,单击现有运行时策略列表中的策略名称。
将打开策略设置窗口。
- 更改策略名称。
- 添加或编辑策略描述。
- 对策略的相关部分进行更改:
- 模式。
- 适用范围。
- 绕过标准。
- 最佳实践检查。
- 阻止不合规镜像。
- 阻止未注册的镜像。
- 功能阻止。
- 容器运行时配置文件。
- 文件威胁防护。
- 镜像内容保护。
- 限制容器权限。
- 允许的仓库。
- 阻止卷。
- 单击“保存”。
删除策略
如果您的账户已被分配策略创建者在创建策略时所具有的至少一个角色,则您可以删除安全策略。您还需要具有管理相应类型策略的权限才能删除它们。
要删除策略:
如果安全策略配置错误阻止了卡巴斯基容器安全运行,并且您无法使用管理控制台管理解决方案,则必须手动删除安全策略。
要手动删除策略并恢复解决方案:
- 运行以下命令以删除适用的代理(kube-agent 和 node-agent):
kubectl delete deployment kube-agent
kubectl delete daemonset node-agent
- 通过运行以下命令来删除目标集群中的所有客户资源:
kubectl get crd -o name | grep 'kcssecurityprofiles.securityprobe.kcs.com' | xargs kubectl delete
- 重新启动所有卡巴斯基容器安全 Pod 并访问管理控制台。
- 对安全策略进行必要的更改。
- 使用 .YAML 格式的说明来安装代理。