Limitaciones y advertencias

Kaspersky Container Security 2.0 tiene una serie de limitaciones que no son críticas para el funcionamiento de la solución:

• Si trabaja con PostgreSQL 11.* o una versión posterior, debe usar las extensiones uuid-ossp y pgcrypto con la base de datos de Kaspersky Container Security.
• La duración de la actualización de Kaspersky Container Security depende del volumen de las bases de datos disponibles. Si la base de datos contiene muchos registros de tablas y resultados de análisis de imágenes, descripciones de vulnerabilidades y riesgos aceptados, es posible que la actualización demore varias horas.

  Recomendamos actualizar Kaspersky Container Security fuera de las horas activas.

• Si necesita ejecutar muchos análisis de vulnerabilidades en imágenes, le recomendamos que desactive la opción de análisis de configuraciones incorrectas en la directiva de análisis, ya que esta operación podría consumir muchos más recursos, en especial al trabajar con imágenes de gran tamaño.
• Si el control de configuraciones incorrectas está activado en la directiva de análisis para el funcionamiento de Scanner, la duración del análisis aumenta significativamente. Las imágenes que contienen hasta 1000 archivos de configuración en formatos YAML, YML y JSON se analizan correctamente, pero podría no garantizarse el funcionamiento correcto de Scanner en las imágenes que contienen más de 1000 archivos de configuración.
• No recomendamos analizar imágenes en busca de datos confidenciales si la imagen tiene un tamaño mayor de 10 GB.
• Cuando se intenta ejecutar la solución a la par de otras aplicaciones de seguridad para contenedores, se ha notado que Kaspersky Container Security funciona de forma incorrecta. Si hay otra aplicación en uso que afecta al funcionamiento de los contenedores, es posible que el componente Protección frente a amenazas en archivos no funcione de forma correcta. Puede desactivar este componente de forma temporal en las directivas de análisis.

  Recomendamos que no use Kaspersky Container Security en simultáneo con otras aplicaciones de seguridad para contenedores.

• Para usar directivas de red con Kaspersky Container Security, asegúrese de lo siguiente:
  • En el paquete de Helm Chart utilizado para desplegar e instalar la solución, el parámetro networkPolicies.create debe tener el valor true (valor predeterminado).
  • El complemento de red en el clúster (donde se despliega la solución) debe admitir las directivas de red de Kubernetes. Si las directivas de red no son compatibles, Kaspersky Container Security creará objetos NetworkPolicies, pero estos no se aplicarán ni filtrarán el tráfico.

    Si faltan los objetos NetworkPolicies o estos no se aplican, el nivel de seguridad de la solución será más bajo.

• Kaspersky Container Security admite el análisis correcto solo de las imágenes en la arquitectura linux/amd64. Al analizar imágenes de múltiples plataformas, Scanner intentará aplicar la opción de arquitectura linux/amd64 automáticamente.
• Para garantizar la máxima compatibilidad de los programas BPF que usa Kaspersky Container Security con diversas distribuciones y versiones de kernel de Linux, la solución emplea la tecnología eBPF CO-RE. Kaspersky Container Security trabaja directamente con el kernel del servidor host de Linux (nodo), por lo tanto, deben considerarse los siguientes requisitos y restricciones:
  • Para usar eBPF CO-RE, el kernel de Linux debe compilarse con el valor de configuración CONFIG_DEBUG_INFO_BTF = y. La mayoría de las distribuciones de Linux tienen este valor de configuración activado al compilar el kernel que se envía con la distribución.
  • Si las versiones del kernel se actualizan de forma manual, debe verificar la disponibilidad del valor de configuración antes mencionado.

  En el caso de las versiones anteriores de distribuciones y kernels de Linux que no admitan eBPF CO-RE, Kaspersky Container Security garantiza la compatibilidad con versiones anteriores.

• Si se utiliza un kernel de Linux compilado manualmente en un servidor host (nodo), deben activarse los siguientes parámetros durante la configuración del kernel para garantizar la supervisión en entornos de ejecución con perfiles para la ejecución de contenedores:
  • CONFIG_BPF=y
  • CONFIG_BPF_SYSCALL=y
  • CONFIG_BPF_EVENTS=y
  • CONFIG_NET_CLS_BPF=m
  • CONFIG_NET_ACT_BPF=m

  Para garantizar un mejor rendimiento del código BPF, recomendamos activar los siguientes parámetros de configuración:
  CONFIG_BPF_JIT = y
CONFIG_HAVE_BPF_JIT = y

• Si la supervisión de entornos de ejecución con perfiles para la ejecución de contenedores de Kaspersky Container Security debe ejecutarse en simultáneo con CNI Cilium (los pods de node-agent pods se despliegan en los mismos servidores host con cilium-agent), deben realizarse las siguientes acciones:
  • En el clúster que tiene el agente node-agent desplegado, debe especificar un valor mayor de 1 para el parámetro data.bpf-filter-priority de ConfigMap cilium-config.

    Recomendamos el valor 5 para el parámetro data.bpf-filter-priority.

  • Debe reiniciar los pods de cilium-agent para aplicar la configuración.
• Para acceder a Kubernetes, Kaspersky Container Security utiliza la funcionalidad del controlador de admisión dinámica de Kubernetes. Puede endurecer la seguridad del clúster si configura la autorización entre la API de Kubernetes y kube-agent, lo que garantiza el funcionamiento del controlador de admisión dinámica de la solución. Esta autorización debe estar en consonancia con las instrucciones de Kubernetes.