Crear una directiva referente a la ejecución
Para añadir una directiva referente a la ejecución en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas referentes a la ejecución.
Para añadir una directiva referente a la ejecución:
- En Policies → Runtime policies, elija la pestaña Policies.
- Haga clic en el botón Add policy.
Se abre la ventana de configuración de la directiva.
- De ser necesario, use los botones Disabled/Enabled para modificar el estado de la directiva. De forma predeterminada, la directiva que añada tendrá el estado Enabled.
- Introduzca el nombre de la directiva y, si se requiere, una descripción.
- En el campo Scope, elija el alcance de la directiva referente a la ejecución a partir de las opciones disponibles. Dado que las directivas referentes a la ejecución solo se utilizan en contenedores ejecutados o desplegados, puede elegir los alcances que contienen los recursos de todos los contenedores.
No podrá elegir los alcances que solo contienen recursos de registros. De ser necesario, en la sección Container runtime profiles, puede determinar las imágenes y los pods particulares de la directiva referente a la ejecución que está creando, como se especificó en el paso 11.
Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.
- En la sección Mode, elija uno de los siguientes modos de aplicación de directivas:
- Audit. En este modo, el análisis considera los componentes de los contenedores.
- Enforce. En este modo, la solución bloquea todos los objetos que no cumplen con las reglas ni con los criterios definidos en la directiva.
Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.
- En la pestaña Admission controller, configure los siguientes parámetros:
- En la sección Best practice check, use los botones Disabled/Enabled para activar el análisis del cumplimiento de las mejores prácticas de seguridad. En la lista de configuración, elija los parámetros del análisis que garanticen que se ejecute la imagen correcta y que el uso de CPU y RAM esté configurado de forma adecuada.
- En la sección Block non-compliant images, use los botones Disabled/Enabled para evitar la ejecución de contenedores a partir de imágenes que no cumplen con los requisitos. Solo se verificarán las imágenes analizadas que están registradas en la solución y tienen el estado En cumplimiento (Compliant).
- En la sección Block unregistered images, use los botones Disabled/Enabled para bloquear el despliegue de imágenes desconocidas para Kaspersky Container Security. Para desplegar la imagen , debe registrarla en la solución y aguardar a que aparezca en el registro.
- En el bloque Dynamic Admission Controller bypass criteria, use los botones Disabled/Enabled para definir las exclusiones de la directiva referente a la ejecución. Para ello, debe elegir los objetos pertinentes en la lista desplegable, especificar sus nombres y luego hacer clic en Add.
Al desplegar un contenedor, se verifican las exclusiones existentes de la directiva.
- En la sección Capabilities block, use los botones Disabled/Enabled para bloquear el uso de determinadas funciones de Unix. Para ello, debe elegir funciones del sistema específicas en la lista desplegable. También puede elegir ALL en la lista desplegable para bloquear el uso de todas las funciones del sistema de Unix.
- En la sección Image content protection, use los botones Disabled/Enabled para activar la verificación de las firmas digitales que confirman la integridad y el origen de las imágenes del contenedor. Para ello, realice las siguientes acciones:
- En el campo Image registry URL template, introduzca la plantilla de la dirección web del registro de imágenes donde desee verificar las firmas.
- En la lista desplegable, elija Check para activar la verificación o Don't check para desactivarla.
- En la lista desplegable, elija uno de los validadores de firmas en imágenes configurados.
- De ser necesario, puede hacer clic en el botón Add signature verification rule para añadir reglas de verificación de firmas. La solución aplicará diversas reglas de verificación de firmas en una única directiva referente a la ejecución.
- En la sección Limit container privileges, use los botones Disabled/Enabled para bloquear el inicio de contenedores que tienen un determinado conjunto de derechos y permisos específicos. En la lista configuración, elija los derechos y los permisos para bloquear ciertos parámetros de los pods.
- En la sección Registries allowed, use los botones Disabled/Enabled para permitir el despliegue de contenedores en un clúster solo a partir de registros específicos. Para ello, debe elegir los registros que desee en la lista desplegable Registries.
- En la sección Volumes blocked, use los botones Disabled/Enabled para prevenir que se monten los volúmenes elegidos en los contenedores. Para ello, debe especificar los puntos para montar volúmenes en el sistema host, en el campo Volumes.
El campo Volumes debe comenzar con una barra diagonal ("/") porque esto representa la ruta del sistema operativo.
- En la pestaña Container runtime, configure los siguientes parámetros:
- En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
- En la lista desplegable, elija un atributo para determinar los pods donde se aplicarán los perfiles para la ejecución de contenedores.
- Según el atributo elegido, realice lo siguiente:
- Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.
También puede hacer clic en el botón Add label pair para añadir otras etiquetas a los pods elegidos.
- Si eligió Image URL template, introduzca la plantilla de la dirección web del registro de imágenes.
Si el clúster contiene imágenes del registro público de Docker Hub, la solución considerará tanto la ruta completa como la ruta abreviada a las imágenes. Por ejemplo, si especifica que la dirección URL de la imagen de contenedor en el clúster es docker.io/library/ubuntu:focal, la solución la aceptará de igual manera que ubuntu:focal.
También puede hacer clic en el botón Add Image URL para añadir direcciones web a los pods elegidos.
- Si eligió Image digest, introduzca el código hash de la imagen que se creó con el algoritmo hash SHA256. El prefijo sha256 no es obligatorio para especificar el código hash de la imagen (por ejemplo, sha256:ef957...eb43 o ef957...eb43).
También puede hacer clic en el botón Add image digest para añadir otros códigos hash de imágenes a los pods elegidos.
- Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.
- En el campo Container runtime profile, debe especificar uno o más perfiles para la ejecución que se aplicarán a los pods que coinciden con los atributos definidos.
- De ser necesario, puede usar el botón Add pod mapping para añadir otros pods que se asignarán. Los pods que tengan diferentes atributos o perfiles para la ejecución se asignarán en la misma directiva referente a la ejecución.
- En la sección Container autoprofiles, use los botones Disabled/Enabled para activar el análisis de contenedores en el alcance especificado con los perfiles automáticos asociados a las imágenes de los contenedores.
Si hace clic en el enlace Show autoprofiles attributed to the scope, podrá consultar todos los perfiles automáticos que se incluyen en el alcance. En la barra lateral que se abre, la solución mostrará la tabla que contiene la lista de perfiles automáticos. Para cada perfil automático, se muestran el nombre, la fecha y hora de la última modificación y la imagen asociada al perfil automático.
- En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
- Haga clic en el botón Add.