Crear un perfil para la ejecución
Para añadir un perfil para la ejecución de contenedores:
- En Policies → Runtime policies → Container runtime profiles, haga clic en el botón Add profile.
Se abrirá la ventana para configurar el perfil.
- Introduzca el nombre del perfil para la ejecución y, de ser necesario, también una descripción.
- En la lista desplegable Scopes, elija uno o más alcances.
En los perfiles para la ejecución, un alcance permite usar los perfiles de forma correcta en las directivas referentes a la ejecución.
- En File Threat Protection, use los botones Disabled/Enabled para activar el componente Protección frente a amenazas en archivos. Este componente se utilizará para buscar y analizar posibles amenazas en archivos; además, proporciona seguridad a los objetos en contenedores, como archivos comprimidos y archivos de correos electrónicos.
Al aplicar un perfil para la ejecución, si ha activado el componente Protección frente a amenazas en archivos, Kaspersky Container Security activa la protección frente a amenazas en archivos en tiempo real en todos los nodos que están bajo el alcance definido por dicha directiva. La configuración de los agentes desplegados depende de cómo haya configurado Protección frente a amenazas en archivos. Si hace clic en el botón File Threat Protection settings, en la pestaña Container runtime profiles de la sección Policies → Runtime, puede configurar el componente.
- En la sección Restrict container executable files, use los botones Disabled/Enabled para restringir archivos ejecutables según las reglas. En la lista, elija la opción de bloqueo que garantice que los contenedores tengan un rendimiento óptimo:
- Block process from all executable files: la aplicación bloquea el inicio de todos los archivos ejecutables mientras el contenedor está iniciado.
- Block specified executable files: la aplicación bloquea los archivos ejecutables que ha elegido en el campo Block the specified executable files. Puede bloquear todos los archivos ejecutables o algunos específicos. Debe detallar la ruta completa original al archivo ejecutable (por ejemplo,
/bin/php). También puede usar la máscara*(por ejemplo,/bin/*) para aplicar una regla a todo un directorio y los subdirectorios.Puede detallar la lista de los archivos ejecutables permitidos y bloqueados si especifica exclusiones en las reglas de bloqueo. Por ejemplo, puede excluir la ruta
/bin/catpara una regla aplicada a/bin/*. En este caso, se bloqueará el inicio de todos los archivos ejecutables del directorio/bin/, salvo la aplicación/bin/cat.Si trabaja con el archivo binario
busyboxque se entrega con muchas imágenes base de contenedor (comoalpine), debe tener en cuenta quebusyboxcontiene un conjunto de comandos para acceder a las aplicaciones sin necesidad de explicitarlas. Por ejemplo, el comandolsse usa para acceder al archivo ejecutable/bin/ls, que actúa como enlace simbólico a/bin/busybox. En este caso, debe especificar la ruta al archivo ejecutable de la siguiente manera:/bin/busybox/ls(es decir, debe concatenar la ruta original del archivo ejecutable/bin/busyboxy el comandolscon el símbolo/).Si elige la casilla de verificación Allow exclusions, la aplicación bloqueará todos los archivos ejecutables, salvo los especificados en el campo Allow exclusions cuando se inicie y ejecute un contenedor.
Todas las reglas y excepciones especificadas para estos parámetros son expresiones regulares (regex). En la solución, se emplean patrones e indicadores específicos para buscar todos los archivos que coinciden con una expresión regular en particular.
- En la sección Restrict ingress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones entrantes a un contenedor. Si activa esta restricción, Kaspersky Container Security bloqueará todos los orígenes de conexiones entrantes, salvo aquellos especificados en las exclusiones.
Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más orígenes permitidos de las conexiones de red entrantes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:
- Sources. En el campo Sources, introduzca una dirección IP o un rango de direcciones IP para el origen de conexiones de entrada mediante los enrutamientos CIDR4 o CIDR6.
- En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.
Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).
Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.
- En la sección Restrict egress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones salientes de un contenedor determinado.
Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más destinos permitidos de las conexiones de red salientes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:
- Destinations. En el campo Destinations, introduzca una dirección IP o un rango de direcciones IP para el destino de una conexión de salida mediante los enrutamientos CIDR4 o CIDR6, o la dirección web (URL) de un destino.
- En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.
Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).
Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.
- En la sección File operations, use los botones Disabled/Enabled para activar la supervisión de operaciones en archivos que ocurran en el contenedor. Para ello, debe especificar los valores de los siguientes parámetros:
- Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.
Al especificar rutas a archivos, debe introducir rutas completas que comiencen con una barra diagonal.
- De ser necesario, en el campo Exclusions, puede especificar las rutas a los archivos cuyas operaciones no se supervisarán.
- Operation type. Puede especificar las operaciones en archivos que supervisará la solución cuando la directiva referente a la ejecución esté aplicada. Para ello, utilice la casilla de verificación para elegir uno o más de los siguientes tipos de operaciones:
- Create: la solución registra todas las operaciones de creación en archivos en los directorios especificados.
- Open: la solución registra todas las operaciones de apertura de archivos.
- Read: la solución registra todas las operaciones de lectura en archivos.
- Write: la solución registra información sobre los cambios guardados en archivos.
- Rename or move: la solución registra las operaciones que modifican el nombre de los archivos o mueven los archivos a otras carpetas.
- Delete: la solución registra la información sobre la eliminación de archivos o carpetas de los directorios especificados.
- Change access permissions: la solución registra la información sobre los cambios en los derechos de acceso a archivos y directorios.
- Change ownership: la solución supervisa las operaciones que modifican al propietario de un archivo o una carpeta en el directorio especificado.
De ser necesario, puede usar el botón Add rule para añadir reglas para la supervisión de operaciones en archivos. La solución aplicará diversas reglas de supervisión de operaciones en archivos dentro de una única directiva referente a la ejecución.
En el caso de las operaciones en archivos, el modo Audit es el único compatible. Si se especifica el modo Enforce en la directiva referente a la ejecución pertinente, las operaciones en archivos se realizan en el modo Audit.
- Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.
- Haga clic en el botón Add.
En la sección Policies → Runtime policies → Container runtime profiles, encontrará el perfil para la ejecución añadido.