Contenido
- Ayuda sobre Kaspersky Container Security 2.0
- Acerca de la plataforma de Kaspersky Container Security
- Arquitectura de la solución
- Escenarios estándar para el despliegue
- Pasos previos a la instalación de la solución
- Instalación de la solución
- Instalar el módulo lógico básico corporativo y Scanner
- Primer ejecución de la Consola de administración
- Leer y aceptar el Contrato de licencia de usuario final
- Verificar las funcionalidades de la solución
- Despliegue de Agents
- Ver y editar grupos de agentes
- Configurar un servidor proxy
- Conexión con recursos externos de almacenamiento de datos
- Instalar revisiones privadas
- Eliminar la solución
- Actualizar la solución
- Interfaz de la solución
- Licencias de la solución
- Acerca del Contrato de licencia de usuario final
- Acerca de la licencia
- Acerca del certificado de licencia
- Acerca de la clave de licencia
- Acerca del archivo clave
- Acerca del código de activación
- Procedimiento para activar la aplicación
- Ver la información de la licencia
- Renovar la licencia
- Eliminar la clave de licencia
- Provisión de datos
- Trabajar con clústeres
- Ver la lista de clústeres
- Espacios de nombres en el clúster
- Pods en el clúster
- Visualizar los recursos de clústeres
- Trabajar con imágenes de registros
- Añadir y eliminar imágenes
- Visualizar los resultados del análisis de imágenes de registros
- Información detallada sobre vulnerabilidades detectadas
- Información detallada sobre el malware detectado
- Control de configuraciones incorrectas de imágenes
- Acerca de la calificación de riesgos
- Gestión de riesgos
- Analizar paquetes Java en imágenes
- Investigar eventos de seguridad
- Análisis forense de contenedores
- Buscar datos forenses sobre contenedores
- Información detallada sobre un proceso en ejecución
- Información detallada sobre operaciones en archivos
- Información detallada sobre el tráfico de red
- Información detallada sobre objetos maliciosos detectados
- Restricciones para directivas referentes a la ejecución
- Análisis forense de contenedores considerando eventos próximos en el tiempo
- Analizar vulnerabilidades detectadas
- Análisis forense de contenedores
- Integración a recursos de terceros
- Configurar la integración a registros de imágenes externos
- Derechos mínimos para la integración a registros
- Trabajar con registros públicos sin autorización
- Añadir integraciones a registros de imágenes externos
- Visualizar información sobre integraciones a registros
- Eliminar la integración a registros externos
- Integración a Harbor
- Crear una integración a partir de una solicitud de Harbor
- Visualizar y editar la configuración de la integración Harbor External Integration
- Reanálisis
- Integración al proceso de CI/CD
- Análisis de artefactos en procesos de CI/CD
- Configurar la integración al proceso de CI/CD de GitLab
- Configurar la integración al proceso de CI/CD de Jenkins
- Configurar la integración al proceso de CI/CD de TeamCity
- Definir la ruta a imágenes de contenedores
- Supervisar la integridad y el origen de las imágenes
- Ejecutar análisis en modo SBOM
- Ejecutar análisis en modo SBOM básico
- Obtener resultados del análisis en formato JSON o HTML
- Especificar secretos al iniciar un análisis
- Configurar la integración a validadores de firmas en imágenes
- Configurar una integración a servicios de notificaciones
- Visualizar lista de integraciones a servicios
- Añadir integraciones a correos electrónicos
- Visualizar información acerca de la integración a correos electrónicos
- Añadir integraciones a Telegram
- Visualizar y editar información acerca de la integración a Telegram
- Eliminar integraciones a servicios de notificaciones
- Configurar la integración a un servidor LDAP
- Configurar la integración a sistemas SIEM
- Integración a HashiCorp Vault
- Configurar la integración a registros de imágenes externos
- Configuración de las directivas de seguridad
- Directivas de análisis
- Directivas de certeza
- Directivas de respuesta
- Directivas referentes a la ejecución
- Crear una directiva referente a la ejecución
- Editar la configuración de una directiva referente a la ejecución
- Administrar perfiles para la ejecución de contenedores
- Administrar perfiles automáticos para la ejecución
- Crear un perfil automático para la ejecución
- Visualizar lista de perfiles automáticos para la ejecución
- Visualizar parámetros de un perfil automático para la ejecución
- Editar la configuración de un perfil automático para la ejecución
- Detener la creación de perfiles automáticos
- Eliminar un perfil automático para la ejecución
- Restricciones relacionadas con perfiles automáticos
- Eliminar directivas
- Verificación del cumplimiento
- Configurar y generar informes
- Protección frente a amenazas en archivos
- Usuarios, roles y alcances
- Administración de usuarios
- Acerca de los roles de usuario
- Trabajar con roles del sistema
- Mostrar lista de roles
- Acerca de los alcances
- Alcances y aplicación de directivas de seguridad
- Cambiar entre alcances
- Añadir usuarios, roles y alcances
- Restablecer contraseñas en cuentas de usuarios
- Cambiar la configuración de usuarios, roles y alcances
- Quitar usuarios, roles y alcances
- Usar OpenAPI de Kaspersky Container Security
- Registro de eventos de seguridad
- Información sobre el estado de los componentes de la solución
- Garantizar componentes seguros y fiables
- Administrar la dinámica de la acumulación de datos
- Crear copias de seguridad de datos y restablecerlas
- Comunicarse con el Soporte Técnico
- Fuentes de información sobre la aplicación
- Limitaciones y advertencias
- Vulnerabilidades en servicios de terceros
- Glosario
- Información sobre código de terceros
- Avisos de marcas registradas
- Condiciones de uso de MITRE ATT&CK
Ayuda sobre Kaspersky Container Security 2.0
|
Conozca las nuevas funcionalidades de Kaspersky Container Security. |
Requisitos de hardware y software Verifique las plataformas de orquestación compatibles, los sistemas de integración continua (CI), los registros de imágenes disponibles y los requisitos para las estaciones de trabajo de los usuarios. |
|
|
Licencias de Kaspersky Container Security Obtenga más información sobre los tipos de licencias pertinentes a Kaspersky Container Security. |
Instalación de Kaspersky Container Security Pasos previos e instalación de Kaspersky Container Security en una red corporativa pública o privada. |
|
Identificación de amenazas de seguridad Analice objetos y reciba información sobre vulnerabilidades, malware, configuraciones incorrectas y datos confidenciales que se hayan detectado. |
Acepte los riesgos que identifique Kaspersky Container Security (vulnerabilidades, malware, datos confidenciales y configuraciones incorrectas) para modificar el estado de la seguridad de las imágenes. |
||
Configuración de las directivas de seguridad Configure directivas de análisis, directivas de certeza, directivas de respuesta y directivas referentes a la ejecución para realizar análisis de acuerdo con los requisitos que tenga. |
Análisis de imágenes de registros e integraciones a procesos de CI/CD Durante la compilación de un proyecto en el sistema CI, podrá ejecutar el componente Scanner de Kaspersky Container Security para verificar el cumplimiento de los objetos con las directivas de seguridad activas. |
||
Configure las integraciones a Telegram y direcciones de correo electrónico para recibir notificaciones sobre eventos de seguridad. |
Integración a Active Directory Configure roles de usuarios con datos de grupos de Active Directory. |
||
Control de procesos en contenedores Use los perfiles para la ejecución de contenedores para controlar los procesos y las aplicaciones en contenedores. |
|
Registro de eventos de seguridad Obtenga más información sobre la actividad de los usuarios y el almacenamiento de los resultados de los análisis. |
Acerca de la plataforma de Kaspersky Container Security
Kaspersky Container Security (en adelante, llamada "solución") le permite detectar problemas de seguridad y proporciona protección durante todo el ciclo de vida de las aplicaciones en contenedores, desde el desarrollo, el control del despliegue y durante su ejecución.
Funcionalidades de la solución:
- Integración a registros de imágenes (por ejemplo, Docker Hub, JFrog Artifactory, Sonatype Nexus Repository OSS, GitLab Registry, Harbor) para analizar las imágenes en el registro en busca de las vulnerabilidades conocidas publicadas por la NVD y la Base de datos de amenazas de seguridad a los datos (FSTEC), secretos (contraseñas, claves de acceso y tokens), configuraciones incorrectas y malware.
- Integración al proceso de como una etapa de la canalización y para el análisis de la en busca de configuraciones incorrectas y de las imágenes en contenedores en busca de vulnerabilidades, malware y datos confidenciales (secretos).
- Verificación del cumplimiento de los nodos de clústeres con puntos de referencia de seguridad de la información.
- Supervisión del cumplimiento con las directivas de seguridad configuradas durante el desarrollo y la ejecución de aplicaciones, incluido el control de inicio de contenedores durante el tiempo de ejecución.
- Supervisión de los recursos utilizados por clústeres controlados.
Puede configurar y acceder a las funcionalidades de Kaspersky Container Security desde la Consola de administración. La consola aparece como una interfaz web a la que se puede acceder desde un navegador basado en Chromium (Google Chrome o Microsoft Edge) o desde Apple Safari o Mozilla Firefox.
Novedades
Kaspersky Container Security 2.0 ofrece las siguientes funciones y mejoras nuevas:
- Investigación centralizada de vulnerabilidades en artefactos de CI/CD, registros de imágenes y durante tiempos de ejecución
- Funcionalidades mejoradas para registrar eventos de contenedores asociados con el tráfico de red (entrante y saliente), las operaciones en archivos, los procesos iniciados y Protección frente a amenazas en archivos
- Supervisión continua de infraestructuras con miles de nodos
- Integración al almacenamiento externo de secretos HashiCorp Vault:
- Lectura de secretos creados anteriormente para componentes de Kaspersky Container Security
- Uso de Vault PKI para a fin de crear certificados TLS para interacciones entre servicios
- Integración a un software de administración de eventos e información de seguridad (SIEM):
- Configuración de la integración a diversos productos en la IU
- Especificación de parámetros para el envío de mensajes acerca de diversos eventos (administración, alertas, CI/CD, directivas, recursos, análisis, controlador de admisión, API)
- Especificación de parámetros para el envío de mensajes acerca de eventos en contenedores asociados con el tráfico de red (entrante y saliente), las operaciones en archivos y los procesos iniciados
- Generación de informes en formatos .JSON y .XML
- Análisis de la infraestructura para verificar el cumplimiento con puntos de referencia de seguridad de clústeres
- Generación de un informe resumido de los puntos de referencia de clústeres
- Integración mejorada con LDAP (Bind DN)
- Generación de perfiles para la ejecución de contenedores según el análisis del rendimiento de contenedores (creación de perfiles automáticos)
- Mejora de OpenAPI:
- Obtención de datos sobre la verificación del estado principal
- Administración de directivas de análisis, directivas de certeza, directivas de respuesta y directivas referentes a la ejecución
- Administración de perfiles para la ejecución
- Obtención de un registro de eventos del sistema
- Obtención de un registro de eventos del contenedor
- Administración de riesgos
- Administración de tareas de creación de perfiles automáticos
- Obtención de información sobre la integración a validadores de firmas en imágenes
- Compatibilidad con la integración a los siguientes registros de imágenes externos:
- Amazon Elastic Container Registry
- Red Hat Quay
- Análisis del directorio de OCI en procesos de CI/CD
Kit de distribución
Para obtener más información sobre la compra de la solución, visite https://www.kaspersky.es o póngase en contacto con nuestros partners.
El kit de distribución incluye un paquete de Helm Chart con los recursos en contenedores necesarios para desplegar e instalar los componentes de Kaspersky Container Security. A continuación, se enumeran en esta tabla los componentes en contenedores del kit de distribución.
Componentes en contenedores del kit de distribución de Kaspersky Container Security
Componente |
Imagen |
Pod |
---|---|---|
DBMS ClickHouse |
clickhouse |
kcs-clickhouse |
DBMS PostgreSQL |
postgresql |
kcs-postgres |
Middleware |
middleware |
kcs-middleware |
Broker de eventos |
event-broker |
kcs-eb |
Controlador de imágenes, analizador del cliente |
image-handler |
kcs-ih |
Scanner |
scanner-server |
kcs-scanner |
Licencias |
licenses |
kcs-licenses |
Almacenamiento de archivos (MinIO) |
minio |
kcs-s3 |
Almacenamiento en caché multiproceso de clave-valor basada en eventos (Memcached) |
memcached |
kcs-memcached |
Actualizaciones de servidores de archivos para redes corporativas privadas (Actualizaciones) |
updates |
kcs-updates |
Interfaz de la solución (Panel) |
nginx |
kcs-panel |
Broker de agentes |
agent-broker |
kcs-ab |
Agentes |
node-agent |
node-agent |
Además, el paquete de Helm incluye un archivo de configuración values.yaml que contiene los parámetros de configuración para instalar y actualizar la solución.
Después de descargar y guardar el paquete de Helm en el directorio elegido, el orquestador descargará las imágenes desde la fuente especificada en el paquete de Helm directamente a los nodos de la plataforma de orquestación.
Recibirá por correo electrónico la información necesaria para activar la aplicación.
Inicio de página
Requisitos de hardware y software
Para instalar y usar Kaspersky Container Security, la infraestructura debe cumplir con los siguientes requisitos:
- Una de las siguientes plataformas de orquestación:
- Kubernetes 1.21 o una versión posterior
- OpenShift 4.8, 4.11 o una versión posterior
- DeckHouse 1.52 o 1.53 (CNI: Flannel)
- DropApp 2.1
- Sistema de CI disponible para analizar las imágenes de contenedores durante el proceso de desarrollo (por ejemplo, CI de GitLab)
- Gestor de paquetes Helm 3.10.0 o una versión posterior instalado
Para supervisar la ejecución con perfiles para la ejecución de contenedores, los nodos del orquestador deben cumplir con los siguientes requisitos:
- Kernel de Linux 4.18 o una versión posterior
Algunos mecanismos de administración de privilegios en procesos a nivel del kernel de Linux se utilizan con la versión 5.8 (o una posterior) del kernel de Linux. Si la versión del kernel de Linux es anterior a 5.8, al instalar Kaspersky Container Security, debe desactivar la lista de los mecanismos de administración de privilegios en procesos para el componente kcs-ih y configurarla en el modo con privilegios.
Ejemplo de un modo con privilegios: - Entornos de ejecución de contenedores (CRI): containerd, CRI-O
- Complementos de la interfaz de red de contenedor (CNI): Flannel, Calico, Cilium
Requisitos de la arquitectura:
Kaspersky Container Security admite una arquitectura x86.
Versiones mínimas compatibles de distribuciones y kernels de Linux para supervisar la ejecución con perfiles para la ejecución de contenedores:
- CentOS 8.2.2004 o una versión posterior Y kernel 4.18.0-193 o una versión posterior
- Ubuntu 18.04.2 o una versión posterior Y kernel 4.18.0 o una versión posterior
- Debian 10 o una versión posterior Y kernel 4.19.0 o una versión posterior
- Astra Linux SE 1.7.* Y kernel 6.1.50-1-generic
Si se utiliza el sistema operativo Astra Linux OS, la configuración del kernel debe tener el siguiente parámetro
CONFIG_DEBUG_INFO_BTF=y
. - RHEL 9.4 o una versión posterior Y kernel 5.14 o una versión posterior
- Red Hat Enterprise Linux CoreOS 416.94.202408200132-0 Y kernel 5.14.0-427.33.1.el9_4.x86_64
- RED OS 7.3 o posterior y kernel 6.1 o posterior (CRI: CRI-O, CNI: Calico).
- Sber Linux 8.9 o 9.3 y kernel 5.14 (CRI: CRI-O, CNI: Calico, Cilium)
Al utilizar Cilium 1.16, el parámetro
enableTCX
debe estar configurado comofalse
.
Si la infraestructura contiene servidores host que ejecutan otras distribuciones de Linux, le recomendamos que se comunique con el Soporte Técnico. Soporte Técnico verificará si la solución es compatible con sus distribuciones. Si dicha compatibilidad no existe, es posible que haya futuras versiones de Kaspersky Container Security que sí sean compatibles con las distribuciones que posee.
Kaspersky Container Security garantiza el correcto funcionamiento de la solución cuando se utiliza en la infraestructura de una malla de servicios Istio.
La solución es compatible con la integración a HashiCorp Vault 1.7 o una versión posterior.
Kaspersky Container Security funciona con ClickHouse 22.6 o posterior.
Kaspersky Container Security admite los siguientes sistemas de administración de bases de datos (DBMS) externos:
- PostgreSQL 11.*, 13.*, 14.*, 15.*
- Pangolin 6.2.0
Kaspersky Container Security admite la integración a los siguientes registros de imágenes:
- GitLab 14.2 o una versión posterior
- API de Docker Hub V2
- JFrog Artifactory 7.55 o una versión posterior
- Sonatype Nexus Repository OSS 3.43 o una versión posterior
- Harbor 2.х
- Yandex Registry (integración mediante la API de Yandex Container Registry)
- Docker Registry (integración mediante la API de Docker V2)
- Red Hat Quay 3.x
Kaspersky Container Security admite redes que utilizan los protocolos IPv4 e IPv6.
Requisitos para las imágenes (SO, versión, paquetes analizados):
- AlmaLinux, versiones 8 y 9. Se analizan los paquetes instalados mediante dnf, yum y rpm.
- Alpine Linux, versiones 2.2-2.7, 3.0-3.20 y edge. Se analizan los paquetes instalados mediante apk.
- Amazon Linux, versiones 1, 2 y 2023. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- Astra Linux SE, versiones 1.6.x y 1.7.x. Se analizan los paquetes instalados mediante apt o dpkg.
- CBL-Mariner, versiones 1.0 y 2.0. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- CentOS, versiones 6, 7 y 8. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- Chainguard, todas las versiones. Se analizan los paquetes instalados mediante APK.
- Debian GNU/Linux, versiones 7, 8, 9, 10, 11 y 12. Se analizan los paquetes instalados mediante APT o dpkg.
- openSUSE Leap, versiones 42 y 15. Se analizan los paquetes instalados mediante Zypper o rpm.
- openSUSE Tumbleweed, todas las versiones. Se analizan los paquetes instalados mediante Zypper o RPM.
- Oracle Linux, versiones 5, 6, 7 y 8. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- Photon OS, versiones 1.0, 2.0, 3.0 y 4.0. Se analizan los paquetes instalados mediante tdnf, yum y rpm.
- Red Hat Enterprise Linux, versiones 6, 7 y 8. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- RedOS, versiones 7.1, 7.2, 7.3.x y 8.0. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- Rocky Linux, versiones 8 y 9. Se analizan los paquetes instalados mediante DNF, YUM y RPM.
- SUSE Enterprise Linux, versiones 11, 12 y 15. Se analizan los paquetes instalados mediante Zypper o rpm.
- SUSE Linux Enterprise Micro, versiones 5 y 6. Se analizan los paquetes instalados mediante Zypper o RPM.
- Ubuntu, todas las versiones compatibles con Canonical. Se analizan los paquetes instalados mediante APT o dpkg.
- Wolfi Linux, todas las versiones. Se analizan los paquetes instalados mediante APK.
- Sistema operativo con la herramienta Conda de línea de comandos instalada. Se analizan los paquetes instalados mediante Conda.
Al configurar Kaspersky Container Security en un clúster con tres nodos de trabajo, tres pods en análisis (kcs-ih) y una imagen con un tamaño máximo de 10 GB, el nodo en ejecución del clúster debe cumplir con los siguientes requisitos:
- Procesador con 12 núcleos como mínimo
- 20 GB de RAM como mínimo
- 40 GB de espacio libre en disco
- 1 Gbps, como mínimo, de banda de ancha para el canal de comunicación entre los componentes del clúster
Para ejecutar agentes en un clúster, cada nodo de trabajo debe, además, disponer de los siguientes recursos:
- Requisitos básicos:
- Un procesador de 0.2 núcleos
- 200 MB de RAM
- 15 GB de espacio libre en disco
- Requisitos para activar las siguientes funcionalidades del agente (adicionales a los requisitos básicos):
- Supervisión de redes y procesos:
- 2 núcleos de procesador instalados
- 2 GB de RAM añadido
- Protección antimalware:
- 2 núcleos de procesador instalados
- 2 GB de RAM añadido
- Supervisión de redes y procesos:
Cuando todas las funciones del agente están activadas, los recursos adicionales deben cumplir los siguientes requisitos:
- Un procesador de 2 núcleos
- 4 GB de RAM
Un agente en un nodo de trabajo interrumpe su funcionamiento si el nodo de trabajo deja de funcionar.
Debe asignar espacio libre en disco para el DBMS ClickHouse. No olvide considerar la cantidad de nodos bajo supervisión. Cada nodo requiere 1 GB de espacio libre en disco para el volumen persistente de ClickHouse.
Los requisitos anteriores solo son necesarios para desplegar Kaspersky Container Security, no se consideran otras cargas de los recursos del cliente.
Requisitos para la estación de trabajo de un usuario de Kaspersky Container Security:
- Conexión a Internet continua si el despliegue tiene lugar en una red corporativa pública
- Acceso a la página de la Consola de administración de Kaspersky Container Security (dirección dentro de la red corporativa del cliente, especificada durante la instalación)
- Canales de comunicación con un banda ancha de 10 Mbit/s como mínimo
- Uno de los siguientes navegadores:
- Google Chrome 73 o versiones posteriores
- Microsoft Edge 79 o versiones posteriores
- Mozilla Firefox 63 o versiones posteriores
- Apple Safari 12.1 o versiones posterior
- Opera 60 o versiones posteriores
Escalabilidad
Para lograr y conservar un rendimiento óptimo al analizar el volumen entrante de las imágenes en Kaspersky Container Security, debe considerar la cantidad de nodos de clústeres y pods en análisis compatibles con la solución.
Escalar la cantidad de pods en análisis
Kaspersky Container Security admite escalar la cantidad de pods en análisis a fin de garantizar que se analice el volumen entrante de imágenes. Puede escalar la cantidad de pods en análisis verticalmente cuando lo desee mientras la solución está en funcionamiento.
Cuando se añade un pod en análisis, los recursos del sistema aumentan de la siguiente manera:
- Cantidad de procesadores por nodo: el doble
- Cantidad de RAM en los nodos: 2 GB
- Cantidad de espacio libre en el disco duro del nodo: 12 GB
A fin de analizar imágenes mayores de 10 GB, los recursos del servicio kcs-ih deben aumentarse de la siguiente manera por pod en análisis y para cada GB adicional.
- Cantidad de RAM en los nodos: 300 MB
- Cantidad de espacio libre en el disco duro del nodo: 1 GB
Si las imágenes no se analizarán en busca de errores con archivos de configuración durante el modo de funcionamiento estándar, no será necesario aumentar la RAM de los pods en análisis.
Para procesar los resultados del análisis de una gran cantidad de objetos pesados con rapidez, puede asignar más recursos al servicio controlador de tareas para actualizar las variables en el paquete de Helm.
Para añadir más recursos al control de tareas de análisis, realice lo siguiente:
- Abra el paquete de Helm y especifique la cantidad de controladores del parámetro
kcs-middleware
en la variablescanWorkers
, en la seccióndefault
. - En las variables
requests
ylimits
, especifique el tamaño de RAM según la siguiente fórmula:memory = X * scanWorkers/2
, dondememory
es el tamaño de RAM asignado al servicio controlador de imágenes.X
es el valor original de la variable que identifica el tamaño de la RAM.scanWorkers
es la cantidad de controladores especificados en el paso 1.El resultado de
scanWorkers/2
no puede ser 0. - En las variables
requests
ylimits
, especifique los recursos de CPU según la siguiente fórmula:cpu = X * scanWorkers
cpu
son los recursos de CPU asignados al servicio controlador de imágenes.X
es el valor original de la variable que identifica los recursos de CPU.scanWorkers
es la cantidad de controladores especificados en el paso 1.
Ejemplo sobre cómo añadir más recursos al control de tareas de análisis
Inicio de página
Considerar la cantidad de nodos en servicio del clúster al escalar
Una instancia de Kaspersky Container Security admite un máximo de 600 clústeres bajo supervisión. La cantidad de nodos en servicio de cada clúster se escala modificando los siguientes componentes:
- kcs-ab para aumentar o reducir la cantidad de réplicas de componentes.
- kcs-memcached para aumentar o reducir los requisitos de asignación de recursos de dicho componente.
De forma predeterminada, Kaspersky Container Security se configura con los siguientes valores para estos componentes:
- kcs-ab:
- 1 pod por réplica para el servicio de 2000 nodos
- Cantidad de recursos solicitados: procesador con 0.5 núcleos para los nodos y 512 MB de RAM para los nodos
- Uso máximo de recursos: procesador con 1 núcleo para los nodos, y 1 GB de RAM para los nodos
- kcs-memcached:
- Cantidad de recursos solicitados: procesador con 2 núcleos para los nodos y 2 GB de RAM para los nodos
- Uso máximo de recursos: procesador con 4 núcleos para los nodos y 4 GB de RAM para los nodos
Puede escalar Kaspersky Container Security si aumenta los siguientes parámetros:
- En el caso de kcs-ab, añadir un pod a una réplica aumenta la cantidad de nodos compatibles en 2000 más.
- En el caso de kcs-memcached, añadir un pod al componente kcs-ab requiere aumentar los recursos solicitados y el uso máximo de recursos del componente kcs-memcached de la siguiente manera:
- Cantidad de recursos solicitados: procesador con 0.5 núcleos para los nodos y 2 GB de RAM para los nodos
- Uso máximo de recursos: procesador con 0.5 núcleos para los nodos y 2 GB de RAM para los nodos
Por ejemplo, si una instancia de Kaspersky Container Security se utiliza para el servicio de 10 000 nodos en los clústeres de un usuario, se aplicarán los siguientes parámetros:
- kcs-ab:
- 5 pods por réplica
- Cantidad de recursos solicitados: procesador con 0.5 núcleos por nodo y 512 MB de RAM por nodo
- Uso máximo de recursos: procesador con 1 núcleo para los nodos, y 1 GB de RAM para los nodos
- kcs-memcached:
- Cantidad de recursos solicitados: procesador con 4 núcleos para los nodos y 10 GB de RAM para los nodos
- Uso máximo de recursos: procesador con 6 núcleos para los nodos y 12 GB de RAM para los nodos
Los valores anteriores son aproximaciones porque al desplegar la solución es necesario considerar las características específicas de la configuración de la virtualización y el rendimiento de los servidores host (nodos) en la infraestructura determinada.
Inicio de página
Paquetes de sistemas para imágenes base
Como imágenes base, Kaspersky Container Security emplea las siguientes imágenes de sistemas operativos:
- Alpine 3.18.4
- Ubuntu 23.10
- Oracle Linux 9.2
Los sistemas de gestión de paquetes (es decir, gestores de paquetes) se utilizan para administrar la instalación, la eliminación, la configuración y la actualización de diversos componentes de software. Kaspersky Container Security emplea los siguientes gestores de paquetes para los sistemas operativos base:
- Para Alpine, apk.
- Para Ubuntu, apt.
- Para Oracle Linux, rpm.
A fin de obtener información sobre los paquetes de sistema instalados,
utilice las herramientas estándar del orquestador para acceder a un contenedor en ejecución y escribir el siguiente comando bash, según el gestor de paquetes utilizado:
- Para apk:
apk -q list | grep "installed"
. - Para apt:
apt list --installed
. - Para rpm:
yum list installed
.
Paquetes de software con aplicaciones en análisis
Kaspersky Container Security admite los siguientes paquetes de software con aplicaciones en análisis en los lenguajes de programación especificados:
- Ruby:
- gemspec (se analiza la imagen).
- Gemfile.lock (se analiza el repositorio en CI/CD).
- Python:
- paquete egg, paquete wheel, paquete conda (se analiza la imagen).
- Pipfile.lock, poetry.lock, requirements.txt (se analiza el repositorio en CI/CD).
- PHP:
- installed.json (se analiza la imagen).
- composer.lock (se analiza el repositorio en CI/CD).
- Node.js:
- package.json (se analiza la imagen).
- package-lock.json, yarn.lock, pnpm-lock.yaml (se analiza el repositorio en CI/CD).
- .NET: packages.lock.json, packages.config, .deps.json, Packages.props (se analizan la imagen y el repositorio en CI/CD).
- Java:
- *.jar, *.war, *.par y *.ear (se analiza la imagen).
- pom.xml, *gradle.lockfile, *.sbt.lock (se analiza el repositorio en CI/CD).
- Go:
- archivos binarios (se analiza la imagen).
- go.mod (se analiza el repositorio en CI/CD).
- Rust:
- archivos binarios verificados con Cargo (se analiza la imagen).
- Cargo.lock (se analizan la imagen y el repositorio en CI/CD).
- C/C++: conan.lock (se analiza el repositorio en CI/CD).
- Elixir: mix.lock (se analiza el repositorio en CI/CD).
- Dart: pubspec.lock (se analiza el repositorio en CI/CD).
- Swift: Podfile.lock, Package.resolved (se analiza el repositorio en CI/CD).
- Julia: Manifest.toml (se analizan la imagen y el repositorio en CI/CD).
Trabajar en entornos de nube
Kaspersky Container Security puede funcionar en diversos entornos de nube. Para obtener más información sobre cómo ejecutar la solución en entornos de nube, póngase en contacto con su gerente de preventa.
Inicio de página
Arquitectura de la solución
Los componentes de Kaspersky Container Security se despliegan de acuerdo con las imágenes que se incluyen en el kit de distribución. En la siguiente tabla, podrá consultar a qué componente de la solución corresponden las imágenes.
Componentes de Kaspersky Container Security
Componente |
Imagen |
Función del componente |
---|---|---|
DBMS ClickHouse |
clickhouse |
Gestión de las bases de datos de ClickHouse para el almacenamiento y el procesamiento de mensajes informativos provenientes de agentes. |
DBMS PostgreSQL |
postgresql |
Gestión de bases de datos con herramientas de análisis y optimización de motores y análisis de consultas.
|
Middleware |
middleware |
Implementación de la lógica corporativa para el procesamiento de datos del componente del servidor de la solución y exposición de una API de REST en la interfaz gráfica de usuario de Kaspersky Container Security. |
Broker de eventos |
event-broker |
Garantización de la comunicación entre diversos elementos del sistema distribuido de la solución. |
Controlador de imágenes, analizador del cliente |
image-handler |
Procesamiento de tareas de análisis de vulnerabilidades y malware: inicio de tareas de análisis, objetos de análisis, agregación y publicación de resultados de análisis. |
Servidor de Scanner |
scanner-server |
Gestión del servidor de Scanner utilizado para almacenar la base de datos de vulnerabilidades y la memoria en caché de capas de imágenes, y admitir el controlador de imágenes. |
Módulo de licencias |
licenses |
Gestión de funcionalidades en virtud de la licencia. |
Almacenamiento de archivos |
minio |
Gestión del almacenamiento para el guardado de archivos que la solución crea y su distribución a los usuarios. |
Almacenamiento en caché multiproceso de clave-valor basada en eventos |
memcached |
Gestión del almacenamiento en caché de claves y valores que la solución recibe como parte de los eventos. |
Servidor de archivos con actualizaciones para redes corporativas privadas |
updates |
Entrega de actualizaciones al desplegar la solución. |
Interfaz de la solución |
nginx |
Funcionamiento de la interfaz gráfica de usuario de Kaspersky Container Security. |
Broker de agentes |
agent-broker |
Garantización de la comunicación entre diversos elementos del sistema distribuido de la solución. |
Agentes |
node-agent kube-agent |
Mantenimiento de la seguridad en los nodos según las directivas de seguridad configuradas y la integración al orquestador. |
La solución incluye los siguientes componentes principales:
- Kaspersky Container Security Middleware
- Kaspersky Container Security Agents
- Kaspersky Container Security Scanner
Esquema general de la arquitectura de Kaspersky Container Security
Kaspersky Container Security puede desplegarse en una red corporativa privada o pública.
Middleware
El componente Kaspersky Container Security Middleware desempeña las siguientes funciones:
- Proporciona una interfaz para la gestión interactiva de la solución, es decir, la Consola de Administración.
- Garantiza la integración a componentes de software externo (SIEM, CI, registros de imágenes, LDAP, Telegram, correos electrónicos) y la recepción de información proveniente de estos servicios.
- Coordina el funcionamiento de otros componentes de la solución.
- Garantiza la creación y la gestión de las directivas de seguridad.
- Exhibe los resultados del funcionamiento de la solución.
Agentes
El componente Kaspersky Container Security Agents (en adelante, denominado "agentes") se ejecuta en una aplicación en contenedor y ofrece seguridad a los nodos según las directivas de seguridad configuradas, en especial sobre lo siguiente:
- Seguridad durante la ejecución de los contenedores en los nodos
- Interacción de la red entre los pods y las aplicaciones en contenedores
- Integración a la plataforma de orquestación y el flujo de datos necesarios para el análisis según la configuración del orquestador y sus componentes
- Inicio de contenedores a partir de imágenes de confianza para prevenir la ejecución de imágenes no verificadas
Los agentes se instalan en todos los nodos de los clústeres y en todos los clústeres que necesiten protección. Kaspersky Container Security funciona con dos tipos de agentes: agentes de protección de clústeres (csp-kube-agent) y agentes de protección de nodos (csp-node-agent). En conjunto, forman grupos de agentes. Para cada clúster, se crea un grupo independiente de agentes. En cada instalación de la solución, se pueden crear diversos grupos de agentes.
Los agentes no inyectan el código ejecutable en los contenedores de los clústeres bajo supervisión.
Si el clúster no contiene agentes, algunas funcionalidades de la solución no estarán disponibles (por ejemplo, directivas referentes a la ejecución y supervisión de recursos).
Scanner
El componente Kaspersky Container Security Scanner analiza objetos en tiempo real para evaluar su seguridad y detectar vulnerabilidades conocidas, malware, indicios de datos confidenciales y configuraciones incorrectas. Con Scanner, puede realizar verificaciones de seguridad sobre la base de las directivas de seguridad activas.
Kaspersky Container Security emplea los siguientes tipos de análisis:
- Análisis de vulnerabilidades de la Base de datos de Vulnerabilidades y exposiciones comunes (CVE)
- Análisis de amenazas en archivos dentro del componente Protección frente a amenazas en archivos
- Análisis de archivos de configuración
- Análisis de datos confidenciales (secretos)
Acerca del análisis de objetos
Kaspersky Container Security verifica el despliegue de objetos en la solución durante el proceso de análisis. Durante el proceso de análisis, se buscan y analizan las amenazas y riesgos de seguridad asociados con los objetos en la solución. El análisis de los objetos debe realizarse con frecuencia para permanecer al corriente de las amenazas de seguridad emergentes.
Al realizar análisis, Kaspersky Container Security es capaz de identificar las siguientes amenazas de seguridad:
- Vulnerabilidades
- Malware
- Configuraciones incorrectas
- Datos confidenciales
- Incumplimientos de los requisitos de las directivas de seguridad
Proceso de análisis
Se reciben las tareas de análisis a través del controlador de imágenes. El controlador de imágenes es un módulo desplegado en la infraestructura de Kaspersky Container Security que reenvía tareas de análisis a Scanner y recibe los resultados de los análisis correspondientes.
Al reenviar tareas de análisis, Scanner puede adquirir uno de los siguientes estados:
- Free: no procesa objetos y puede aceptar una tarea del controlador de imágenes si se solicita.
- Busy: está procesando una tarea de análisis en este momento. La nueva tarea del controlador de imágenes se pondrá en cola.
Esta cola de tareas de análisis incluye todas las tareas de análisis reenviadas y se genera en los siguientes casos:
- El análisis de un registro de imágenes se inicia de forma manual.
- El análisis de un registro de imágenes se inicia de forma automática.
- Se inicia el análisis por lote de los objetos de un clúster.
Las tareas en la cola de análisis pueden tener los siguientes estados:
- Pending: estado asignado de forma predeterminada al crear una tarea.
- In progress: el controlador de imágenes está procesando la tarea.
- Parsing results: la solución procesa los resultados del análisis para mostrarlos en la interfaz.
- Error: error en la tarea de análisis.
- Finished: los resultados de la tarea de análisis están disponibles.
Las tareas de análisis de la cola se envían al controlador de imágenes en el orden en que se recibieron. Entonces, la tarea de análisis se envía a Scanner con el estado Free y se buscan problemas de seguridad. A continuación, los resultados del análisis se reenvían al controlador de imágenes. Si estos resultados se reciben, la tarea de análisis se considera completa y finalizada. Si la tarea de análisis se realiza tres veces o más, pero no se recibe ningún resultado, se asigna el estado Error.
Al analizar muchos objetos pesados, es posible que el rendimiento de la solución sea más lento para mostrar los resultados del análisis en la interfaz de usuario. Quizá deba esperar algunos minutos para poder visualizar los resultados. Durante este plazo, las tareas de análisis aparecen en la sección Scanners con el estado Parsing results.
Si desea acelerar el procesamiento de los resultados de un análisis, puede actualizar las variables en Helm Chart para asignar más recursos al controlador (para obtener más información, consulte Escalabilidad).
Cuando hay un error, la solución muestra un mensaje de error que contiene un código y un mensaje (por ejemplo, HNDL-004: scan time out
).
Todos los mensajes de error aparecen en inglés. En la siguiente tabla, se enumeran algunos mensajes de ejemplo y qué significan.
Ejemplos de posibles mensajes de error al ejecutar tareas de análisis
Después del análisis, la solución mostrará los resultados. Si se detectan amenazas de seguridad en un objeto, Kaspersky Container Security le solicita que realice una de las siguientes acciones:
- Eliminar la amenaza de seguridad
- Aceptar el riesgo
Requisitos para contraseñas en aplicaciones de terceros
Kaspersky Container Security funciona con servicios específicos de terceros. Los siguientes componentes de la solución se incluyen en el kit de distribución:
- Almacenamiento de archivos compatible con S3
- DBMS ClickHouse
- DBMS PostgreSQL
- Almacenamiento en caché multiproceso de clave-valor basada en eventos (Memcached)
En el archivo de configuración values.yaml, en el paquete de Helm Chart, se especifican los parámetros para el despliegue de estos componentes.
Requisitos para las contraseñas de estos componentes:
- La contraseña debe tener 8 caracteres como mínimo.
- La contraseña no debe contener los caracteres especiales ' ni ".
Las contraseñas se especifican en las siguientes variables dentro del archivo de configuración:
MINIO_ROOT_PASSWORD
para el almacenamiento de archivos compatible con S3CLICKHOUSE_PASSWORD
,CLICKHOUSE_WRITE_PASSWORD
yCLICKHOUSE_READ_PASSWORD
para ClickHousePOSTGRES_PASSWORD
para PostgreSQLMEMCACHED_PASSWORD
para el almacenamiento en caché de Memcached
Escenarios estándar para el despliegue
Kaspersky Container Security admite los siguientes escenarios:
- Despliegue en una red corporativa pública (acceso a Internet permitido desde un clúster de Kubernetes):
- Las imágenes desde donde se despliegan los componentes de Kaspersky Container Security se encuentran en un repositorio público.
- Después de la instalación, los componentes de la solución consultan las bases de datos sobre vulnerabilidades en Internet.
- Las bases de datos se actualizan mediante el servidor de actualización de Kaspersky que está disponible en línea.
Una red corporativa privada con acceso a servidores que figuran en la lista de servidores permitidos podría considerarse una red corporativa pública.
- Despliegue en una red corporativa privada (acceso a Internet prohibido desde un clúster de Kubernetes):
- Se utiliza un repositorio interno para almacenar las imágenes desde donde se despliegan los componentes de Kaspersky Container Security.
- Además, se instala el componente kcs-updates: una imagen especial que contiene las bases de datos sobre vulnerabilidades y los puntos de referencia de seguridad que la solución necesita.
- Después de la instalación, los componentes de la solución consultan las bases de datos sobre vulnerabilidades y los estándares de seguridad que se encuentran en el kcs-updates de la imagen especial, dentro de la red corporativa.
- El servidor que proporciona las actualizaciones de las bases de datos de amenazas se despliega como un componente independiente en la red corporativa.
Para el despliegue con un servidor proxy, también se permite el uso de una red corporativa privada.
No recomendamos desplegar la solución en una infraestructura con clústeres donde la interacción entre los servidores host (nodos) se realice a través de una red pública de Internet. Si se utilizara esta configuración, la interacción de la red en el clúster podría quedar expuesta a riesgos de seguridad críticos.
Despliegue en una red corporativa pública
Al desplegarse en una red corporativa pública, Kaspersky Container Security puede acceder a Internet desde un clúster. Para actualizar las bases de datos de la solución, se toman bases de datos externas que contienen actualizaciones sobre vulnerabilidades y malware.
Arquitectura de la solución si el despliegue es en una red corporativa pública
Inicio de página
Despliegue en una red corporativa privada
Al desplegarse en una red corporativa privada, Kaspersky Container Security no puede acceder a Internet desde un clúster. Para actualizar las bases de datos de la solución, se actualizan las imágenes del análisis que se ejecuta desde CI/CD y a partir del análisis de imágenes.
Arquitectura de la solución si el despliegue es en una red corporativa privada
Inicio de página
Pasos previos a la instalación de la solución
Antes de instalar Kaspersky Container Security, debe instalar todos los certificados necesarios de la red corporativa y configurar los servidores proxy.
La solución puede desplegarse en una red corporativa privada o pública.
Antes de instalar Kaspersky Container Security, asegúrese de contar con los siguientes componentes y accesos:
- Máquina física o virtual con acceso a Internet y al clúster
- Gestor de paquetes Helm para empaquetar, configurar y desplegar aplicaciones y servicios en clústeres
Kaspersky Container Security es compatible con Helm 3.10.0 y versiones posteriores.
- Acceso a Internet para descargar los paquetes de Helm Chart
- Herramienta de gestión del orquestador, por ejemplo, kubectl para Kubernetes u oc para Openshift
- Acceso a un clúster con el archivo kubeconfig
Para instalar la solución en una red corporativa privada, configure un repositorio con imágenes de contenedor. Este repositorio accederá al repositorio del proveedor de Kaspersky Container Security con las credenciales que proporcione el proveedor de la solución.
Pasos previos a la instalación en una red privada
Preparación para instalar la solución en una red corporativa privada:
- Conecte el repositorio de Helm del proveedor que contiene el paquete de Helm Chart.
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"
export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
El proveedor proporciona los valores de
CHART_URL, CHART_USERNAME, CHART_PASSWORD, and VERSION
. - Cargue el archivo con la configuración de instalación (values.yaml) incluida en el kit de distribución de la solución de acuerdo con los comentarios en el archivo.
En el archivo values.yaml, no recomendamos especificar los datos de la cuenta que se utilizarán al iniciar el paquete de Helm Chart.
Puede utilizar uno de los siguientes métodos seguros para administrar los secretos:
- Uso de sistemas de CI/CD. Los secretos se especifican mediante variables de entorno protegidas o mecanismos integrados de administración de secretos. Durante el despliegue, los datos se insertan dinámicamente en el Helm Chart; no es necesario especificarlos de manera pública en el archivo de configuración values.yaml.
- Integración a HashiCorp Vault. Helm Chart admite la integración a HashiCorp Vault, donde puede almacenar secretos y solo debe indicar las rutas a los secretos en values.yaml.
Los valores de
pull-secret
para Docker Registry no se pueden almacenar por completo en HashiCorp Vault. Recomendamos especificar los valores depull-secret
manualmente en la sección con los parámetros del clúster de Kubernetes y referenciarlos desde Helm Chart.
En el archivo values.yaml, se deben especificar las siguientes configuraciones de instalación principales:
- Nombre del espacio de nombres
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
- El nombre de dominio de Kaspersky Container Security para conexiones entrantes.
--set default.domain="kcs.ejemplo.dominio.ru" \
Cuando las directivas de red están activadas, debe especificar uno o más espacios de nombres para el controlador de entrada del clúster.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
De manera predeterminada, las directivas de red están activadas.
- Secretos de los componentes de la solución.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
Para garantizar la seguridad, los componentes de la solución deben utilizar credenciales generadas por el administrador del sistema de manera independiente según las directivas de seguridad corporativas. Durante el despliegue del componente de destino dentro de una solución, el usuario y la contraseña especificados se crean automáticamente. Si se utiliza un servicio de terceros, debe proporcionar el nombre de usuario y la contraseña que el administrador creó en el servicio.
- Secretos relacionados con el acceso al repositorio de instalación de la solución.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Si tiene la intención de desplegar el sistema mediante un registro de Kaspersky, debe especificar las credenciales que recibió cuando adquirió Kaspersky Container Security. Si tiene la intención de utilizar un registro privado o un registro proxy, debe especificar las credenciales de su registro.
- Configuración del almacenamiento de secretos en HashiCorp Vault:
- La marca
enabled
activa la integración al almacenamiento. El valorvault.enabled = true
indica que se estableció la integración a HashiCorp Vault. Los valores de las variables de entorno se obtienen del almacenamiento. mountPath
es la ruta al directorio con los secretos en el almacenamiento.- El parámetro
role
es el rol para usarse en la autenticación del almacenamiento.
- La marca
Recomendamos no cambiar la composición de la configuración de instalación básica.
- Si usa un DBMS de PostgresSQL externo, indique lo siguiente:
--set default.postgresql.external="true"
--set configmap.infraconfig.envs.postgres_host="
<Dirección IP o FQDN del DBMS de PostgresSQL>
"--set configmap.infraconfig.envs.postgres_port="<
puerto para conectarse al DBMS de PostgresSQL; de manera predeterminada, se usa el puerto 5432
>"--set configmap.infraconfig.envs.postgres_db_name="
nombre de la base de datos creada por el administrador del DBMS de PostgresSQL; de manera predeterminada, se usa api
>"También debe solicitar al administrador del DBMS de PostgreSQL que indique los requisitos para la verificación de los certificados del servidor del DBMS. Kaspersky Container Security admite los siguientes modos de verificación:
--set configmap.infraconfig.envs.postgres_verify_level = "disable"
: el certificado del servidor no está verificado.--set configmap.infraconfig.envs.postgres_verify_level= "require"
: el certificado es obligatorio; la solución confía en cualquier certificado sin ninguna otra verificación.--set configmap.infraconfig.envs.postgres_verify_level= "verify-ca"
: el certificado es obligatorio; la solución verifica que una CA (autoridad de certificación) de confianza haya emitido el certificado.--set configmap.infraconfig.envs.postgres_verify_level= "verify-full"
: el certificado es obligatorio; la solución verifica que una CA de confianza haya emitido el certificado y que el certificado contenga la dirección IP o FQDN correctos.
Si necesita verificar el certificado de un DBMS de PostgresSQL externo, siga estos pasos:
- Cargue la parte pública del certificado de la CA en la carpeta que contiene el paquete de Helm Chart con la máscara
certs/pgsql-ca.crt
. - Especifique el siguiente parámetro de verificación:
--set configmap.infraconfig.envs.postgres_root_ca_path="/etc/ssl/certs/pgsql-ca.crt"
. - Quite las marcas de comentarios en la sección
secret.cert-pgsql-ca
del archivo de configuración values.yaml para crear el secreto.
- Guarde el archivo con la configuración de instalación y proceda a instalar la solución.
Requisitos de los certificados
Para poder funcionar, Kaspersky Container Security requiere certificados SSL. El método para crear certificados durante el despliegue de la solución se especifica en el archivo de configuración values.yaml, en la sección default.certSource
. Puede escoger uno de los siguientes métodos para crear certificados:
helm
: el método a utilizar cuando la solución crea automáticamente los certificados necesarios (método predeterminado).vault
: el método a utilizar si tiene la intención de integrar la solución con el almacenamiento externo de HashiCorp Vault. Debe generar todos los certificados requeridos y cargarlos en HashiCorp Vault.files
: el método a utilizar para crear certificados manualmente; por ejemplo, con la CA corporativa. Los scripts para la creación manual de certificados se almacenan en la carpeta"certs/"
del paquete de Helm Chart.Los certificados generados deben coincidir con el nombre del certificado previsto en la sección
secret
del archivo values.yaml. Si es necesario, en la secciónsecret
, puede quitar las marcas de comentarios y redefinir los nombres de archivo del certificado previsto.
Los certificados deben cumplir con los siguientes requisitos:
- La longitud de la clave debe ser RSA de 4096 bits.
- El campo CN especifica el pod del componente con el que está relacionado el certificado (
kcs-licenses
,kcs-middleware
,kcs-mw-grpc
,kcs-panel
,kcs-postgres
,kcs-scanner
,kcs-scanner-api
,kcs-updates
,kcs-memcached
,kcs-ab
,kcs-s3
,kcs-clicklickhouse
ykcs-eb
).
Instalación de la solución
Los componentes de Kaspersky Container Security se entregan como imágenes en el registro del fabricante de Kaspersky Container Security y se despliegan como contenedores.
La instalación de la plataforma de Kaspersky Container Security consta de los siguientes pasos:
- Instalación del módulo lógico básico corporativo y de los componentes de Scanner
- Primer inicio de la Consola de administración
- Configuración de los grupos de agentes y del despliegue de agentes en los nodos controlados del clúster
Después de la instalación, debe preparar la solución para que funcione correctamente:
- Configure la integración a los registros de imágenes.
- Configure la integración a los servicios de notificaciones.
- Configure las directivas de seguridad.
- Añada perfiles para la ejecución de contenedores.
- Configure los parámetros de Protección frente a amenazas en archivos.
- Configure la integración a validadores de firmas en imágenes.
- Configure la integración a CI/CD.
- Configure cuentas de usuarios, roles y alcances.
- Configure la integración al servidor LDAP.
Instalar el módulo lógico básico corporativo y Scanner
Antes de instalar la solución, debe verificar la integridad de los datos en el paquete preparado de Helm Chart.
Para ello, realice lo siguiente:
- Descargue el archivo comprimido con el paquete preparado de Helm Chart y el archivo hash y diríjase al siguiente directorio.
- Ejecute el comando:
sha256sum -c kcs-2.0.0.tgz.sha
Podrá confirmar la integridad de los datos si ve el siguiente mensaje:
kcs-2.0.0.tgz: OK
Antes de iniciar la instalación (incluso en AWS EKS o Microsoft Azure), preste atención a la configuración de storageClass
y ingressClass
en los bloques default
y ingress.kcs
del archivo de configuración. Estos parámetros de configuración son relevantes para los clústeres y, de ser necesario, deben modificarse según la infraestructura que tenga. Por ejemplo, para Azure, se utiliza la siguiente variante:
default:
storageClass: azurefile
networkPolicies:
ingressControllerNamespaces:
- app-routing-system
ingress:
kcs:
ingressClass: webapprouting.kubernetes.azure.com
Para instalar el módulo lógico básico corporativo y Scanner de Kaspersky Container Security:
Después de preparar el archivo de configuración, instale la solución:
cd kcs/
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
--set default.domain="example.com" \
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
--set pullSecret.kcs-pullsecret.username="user" \
--set-string pullSecret.kcs-pullsecret.password="pass"
Cuando la instalación haya finalizado, se desplegarán los componentes de la solución.
Además, al instalar Kaspersky Container Security Middleware y Scanner, puede configurar la transferencia segura de contraseñas, tokens y secretos. Para ello, se utiliza el almacenamiento de HashiCorp Vault, que puede configurar en el archivo values.yaml y desplegar al iniciar el paquete de Helm Chart.
Al finalizar la instalación, conservará un registro de la ejecución de los comandos de instalación de la solución en la shell de comandos. Puede abrir el archivo con el historial de comandos y eliminarlo o evitar que el historial de comandos se guarde en la shell de comandos antes de la instalación.
El panel de control estará disponible en la dirección especificada en la subsección envs
de la sección de variables de entorno. Así podrá crear el objeto ConfigMap para el parámetro API_URL
:
http://${DOMAIN}
Primer inicio de la Consola de administración
Para iniciar la Consola de administración de Kaspersky Container Security:
- En el navegador, visite la dirección que se especificó en la Consola de administración durante la instalación del servidor.
Se abre la página de autorización.
- Introduzca su nombre de usuario y contraseña y haga clic en el botón Login.
Al instalar la solución, el nombre de usuario y la contraseña son iguales: admin. Podrá modificar el nombre de usuario y la contraseña después de iniciar la Consola de administración.
Después de introducir la contraseña de forma incorrecta 3 veces, se bloquea al usuario temporalmente. De forma predeterminada, la duración de este bloqueo es de 1 minuto.
- Siga las instrucciones y modifique la contraseña actual de la cuenta de usuario. Introdúzcala, confírmela y haga clic en el botón Change.
Las contraseñas deben cumplir con los siguientes requisitos:
- La contraseña debe contener números, caracteres especiales, mayúsculas y minúsculas.
- La longitud mínima es de 6 caracteres y la longitud máxima es de 72 caracteres.
Se abre la página principal de la Consola de administración.
De forma predeterminada, la sesión del usuario permanece abierta en la Consola de administración durante 9 horas. En la sección Settings → Authentication, puede configurar la duración de la sesión: desde 1 hora a 168 horas. Cuando se cumpla este plazo, se cerrará la sesión.
Puede modificar la configuración de la conexión en la sección Settings → Authentication.
Inicio de página
Leer y aceptar el Contrato de licencia de usuario final
La primera vez que inicie la Consola de administración en un navegador, Kaspersky Container Security le solicitará que lea el Contrato de licencia de usuario final que se celebrará entre usted y Kaspersky. Para continuar usando la solución, confirme que ha leído completamente y acepta los términos del Contrato de licencia de usuario final de Kaspersky Container Security.
Para confirmar su aceptación de los términos del Contrato de licencia de usuario final,
en la parte inferior de la ventana del Contrato, haga clic en el botón Accept.
Se abre la página de autorización para iniciar la Consola de administración.
Siempre que instale una nueva versión de la solución, debe volver a aceptar el Contrato de licencia de usuario final.
Inicio de página
Verificar las funcionalidades de la solución
Después de instalar Kaspersky Container Security e iniciar la Consola de administración, puede verificar que la solución detecte problemas de seguridad y proteja los objetos en contenedores.
Para verificar las funcionalidades de Kaspersky Container Security:
- Active la solución con el código de activación o el archivo clave.
- Configure la integración a los registros de imágenes. La integración a un único registro es suficiente para verificar las funcionalidades de la solución.
- De ser necesario, configure la directiva de análisis que se genera de forma predeterminada después de instalar la solución.
- Añada una imagen para su análisis y asegúrese de que la tarea de análisis se envíe para su procesamiento.
- Después de completar el análisis, visite la página que contiene información detallada sobre los resultados del análisis de la imagen.
Si la imagen se analiza y se reciben resultados válidos, se puede confirmar el correcto funcionamiento de Kaspersky Container Security. Después, puede continuar configurando la solución.
Despliegue de Agents
Debe instalar Agents en todos los nodos del clúster que desee proteger.
En cada clúster, se instala un grupo independiente de agentes.
Para desplegar agentes en un clúster:
- En el menú principal, vaya a la sección Components → Agents.
- En el panel de trabajo, haga clic en el botón Add agent group.
- En la pestaña General:
- Complete los campos del formulario.
- Introduzca el nombre del grupo. Para gestionar los agentes de forma cómoda, recomendamos nombrar el grupo según el clúster donde se despliegan los agentes.
- De ser necesario, introduzca una descripción del grupo de agentes.
- Elija el orquestador que usará.
- Especifique el nombre del espacio de nombres.
- En la sección KCS registry, introduzca la dirección web del registro donde se encuentran las imágenes que se utilizan para instalar los agentes. Para acceder al registro, debe especificar el nombre de usuario y la contraseña correctos.
- En Linked SIEM, elija el sistema SIEM desde la lista desplegable.
Para vincular un grupo de agentes en Kaspersky Container Security, debe crear y configurar al menos una integración a un sistema SIEM.
Solo se puede vincular un grupo de agentes a un sistema SIEM.Para cada integración a un sistema SIEM, en la lista desplegable encontrará los estados de la conexión: Success, Warning o Error.
- Complete los campos del formulario.
- En la pestaña Node monitoring, elija las opciones Disable o Enable para comenzar a supervisar y analizar el estado de la red, los procesos dentro de contenedores y Protección frente a amenazas con archivos:
- Network connections monitoring. El estado de las conexiones de red se supervisa mediante dispositivos de captura de tráfico (monitores de red) y módulos eBPF. Para el proceso, se consideran las directivas referentes a la ejecución pertinentes y los perfiles para la ejecución de contenedores.
- Container processes monitoring. Los procesos en contenedores se supervisan mediante programas eBPF sobre la base de las reglas de las directivas referentes a la ejecución pertinentes y de los perfiles para la ejecución de contenedores.
- File threat protection. Para rastrear las actualizaciones de las bases de datos antimalware, especifique uno de los siguientes valores:
- URL update de la base de datos antimalware: dirección web del servicio de actualización de Kaspersky Container Security
- Proxy update de la base de datos antimalware: proxy HTTP de un servidor de actualización local o en la nube
Si el contenedor
kcs-updates
se utiliza para actualizar las bases de datos antimalware, deberá especificar la dirección URL de la herramienta de actualización de las bases de datos de la siguiente manera:<
dominio
>/kuu/updates
(por ejemplo,https://kcs.company.com/kuu/updates
).De forma predeterminada, las bases de datos de Protección frente a amenazas en archivos se actualizan desde los servidores en la nube de Kaspersky.
- File operations. La solución rastrea las operaciones en archivos con los módulos eBPF sobre la base de las directivas referentes a la ejecución pertinentes y los perfiles para la ejecución de contenedores.
Sin importar cuál sea el modo especificado en la directiva referente a la ejecución, solo el modo Audit es compatible para operaciones en archivos. Si se especifica el modo Enforce en la directiva referente a la ejecución pertinente, las operaciones en archivos se realizan en el modo Audit.
Los pasos de supervisión que no sean necesarios se desactivarán para evitar cargas innecesarias en los nodos.
- Haga clic en Save.
En el espacio de trabajo, en la pestaña Deployment data, verá cuáles son los datos necesarios para desplegar agentes en el clúster:
- El token generado automáticamente para el despliegue es el identificador que usa el agente para conectarse con el servidor. Puede copiar el token si hace clic en el icono de copia (
) que se encuentra junto al campo Deployment token.
- Instrucción para desplegar agentes en un clúster. Para copiar la instrucción del campo Configuration, haga clic en el icono de copia (
) o descargue la instrucción como un archivo .YAML.
Puede emplear esta instrucción para desplegar los agentes en el clúster. Por ejemplo:
kubectl apply -f <
file
> -n <
namespace
>
Después de aplicar la instrucción, el agente se despliega en todos los nodos de trabajo del clúster.
La solución actualiza la instrucción de despliegue de agentes automáticamente si modifica alguno de los siguientes parámetros:
- Certificados TLS de la solución
- URL, nombre de usuario y contraseña para descargar las imágenes de kube-agent y node-agent
- El sistema SIEM vinculado
- Configuración en la sección Node monitoring
Debe volver a copiar o descargar la instrucción actualizada en un archivo .YAML y luego aplicarla con el comando kubectl apply -f <
file
> -n <
namespace
>.
De lo contrario, los cambios en estos parámetros no se aplicarán a los agentes desplegados.
Ver y editar grupos de agentes
En la tabla en Components → Agents, encontrará los grupos de agentes creados y desplegados. Para cada uno de estos grupos, verá la siguiente información:
- Nombre del grupo de agentes
- Número de agentes conectados en el grupo
- Orquestador
- Actividades de supervisión de nodos en funcionamiento
- Sistema SIEM vinculado
Puede filtrar los grupos de agentes según el estado de conexión (All, Connected, Disconnected o Pending) con los botones que se encuentran encima de la tabla.
Si hace clic en el icono de despliegue (), podrá expandir cada grupo de agentes en la tabla para ver los siguientes detalles:
- Nombre del agente y estado de conexión
- Versión del nodo donde se despliega el agente (principal o trabajador)
- Nombre del pod asociado con el agente
- Acciones de supervisión del nodo (Container processes, Network connections, File Threat Protection y File operations)
- Estado del sistema SIEM
- Fecha y hora de la última conexión del agente
Si hace clic en el enlace del nombre del agente, podrá expandir la barra lateral para ver información del estado del agente.
Para editar la configuración del grupo de agentes:
- En Components → Agents, en la tabla que contiene la lista de grupos de agentes, haga clic en el enlace del nombre del grupo de agentes.
- En esa ventana, edite la configuración del grupo.
- Haga clic en Save.
Configurar un servidor proxy
En la versión 2.0, Kaspersky Container Security puede redirigir mediante proxy solicitudes desde redes corporativas privadas al entorno externo. La conexión mediante un servidor proxy se configura utilizando las siguientes variables de entorno en el paquete de Helm Chart, que se incluye en el kit de distribución de la solución:
HTTP_PROXY
: servidor proxy para solicitudes HTTPHTTPS_PROXY
: servidor proxy para solicitudes HTTPSNO_PROXY
: variable que especifica los dominios o las máscaras de dominio que no se incluirán en la redirecciónSi se utiliza
HTTP_PROXY
oHTTPS_PROXY
, la variableNO_PROXY
se genera automáticamente en el paquete de Helm Chart y todos los componentes que usa Kaspersky Container Security se indican con esta variable.Puede modificar la variable
NO_PROXY
si necesita especificar dominios y máscaras para el funcionamiento de Kaspersky Container Security a fin de que se excluyan del redireccionamiento.SCANNER_PROXY
: variable especializada que detalla qué servidor proxy recibe las solicitudes de análisis del componente Protección frente a amenazas en archivos. Los servidores de Kaspersky utilizan estas solicitudes para actualizar las bases de datos.LICENSE_PROXY
: variable especializada que detalla el servidor proxy mediante el cual el módulo kcs-licenses envía solicitudes a los servidores de Kaspersky para verificar y actualizar la información de la licencia actual.
Según las máscaras de nombre de dominio que admita el servidor proxy que utilice, debe emplear las siguientes máscaras para especificar los servidores de Kaspersky en las listas de servidores proxy permitidos: *.kaspersky.com
o .kaspersky.com
, *.kaspersky-labs.com
o .kaspersky-labs.com
. Para acceder a estos servidores proxy, se debe abrir el puerto 80.
Puede especificar el puerto en los parámetros del servidor proxy con la dirección IP o FQDN.
Los caracteres especiales deben escaparse.
En la tabla a continuación, se enumeran los componentes de Kaspersky Container Security que pueden usar variables de entorno y también se indica la finalidad de dichas variables.
Variables de entorno que usan los componentes de Kaspersky Container Security
Componente |
Variable de entorno |
Finalidad |
---|---|---|
kcs-ih |
|
Obtención de acceso a los registros de imágenes externos no disponibles desde el espacio de nombres de Kaspersky Container Security. |
kcs-ih |
|
Actualización de las bases de datos de análisis de Protección frente a amenazas en archivos con los servidores de actualización de Kaspersky. |
kcs-middleware |
|
Obtención de acceso a los registros de imágenes externos no disponibles desde el espacio de nombres de Kaspersky. |
kcs-scanner |
|
Actualización de las bases de datos de análisis de vulnerabilidades con los servidores de actualización de Kaspersky. |
kcs-licenses |
|
Verificación y actualización de información sobre la licencia actual con los servidores de las licencias de Kaspersky. |
Puede configurar el funcionamiento de agentes con un servidor proxy y este enviará solicitudes a la dirección de instalación de Kaspersky Container Security.
Para configurar el funcionamiento de agentes con un servidor proxy:
- En Components → Agents, en la tabla que contiene la lista de grupos de agentes, haga clic en el enlace del nombre del grupo de agentes.
- En esa ventana, vaya a la pestaña Node monitoring y realice lo siguiente:
- Asegúrese de que el componente Protección frente a amenazas en archivos esté activado con el botón Disable/Enable.
- En la sección File Threat Protection, especifique el servidor proxy en Anti-malware database update proxy.
- Haga clic en Save.
- Haga clic en la pestaña Deployment data.
- Copie o descargue la instrucción de despliegue de agentes actualizada en un archivo .YAML y luego aplíquela con el comando
kubectl apply -f <
file
> -n <
namespace
>
. - Configure las variables de entorno
HTTP_PROXY, HTTPS_PROXY
oNO_PROXY
en los objetos Deployment o DaemonSet de los agentes.
Conexión con recursos externos de almacenamiento de datos
Además de los componentes de Kaspersky Container Security incluidos en el kit de distribución, la solución también puede trabajar con los siguientes recursos externos de almacenamiento de datos:
- Base de datos de PostgreSQL
- DBMS ClickHouse
- Almacenamiento de archivos MinIO compatible con S3
La conexión con recursos de almacenamiento de datos externos se configura mediante el archivo de configuración values.yaml.
Crear un usuario para una base de datos externa de PostgreSQL
En Kaspersky Container Security, puede usar las bases de datos de PostgreSQL incluidas en la solución con su propia base de datos de PostgreSQL. Para instalar una base de datos de PostgreSQL externa que no funcione en un esquema con Kaspersky Container Security, debe crear otro usuario. Para ello, puede instalar el paquete de Helm Chart con los parámetros del esquema especificados para la base de datos de PostgreSQL externa.
Para crear un usuario con un esquema personalizado para una base de datos de PostgreSQL externa:
- Ejecute el siguiente comando para crear un espacio de nombres independiente para la base de datos de PostgreSQL externa:
kubectl create ns kcspg
donde
kcspg
es el espacio de nombres de la base de datos de PostgreSQL externa. - Para desplegar una base de datos de PostgreSQL externa:
- Especifique en el archivo de configuración pg.yaml los parámetros para desplegar la base de datos de PostgreSQL externa.
Parámetros para desplegar la base de datos de PostgreSQL externa
Los parámetros especifican la contraseña de la base de datos. Luego, debe especificar esta contraseña en la sección
infraconfig
del archivo de configuración values.yaml, que forma parte del paquete de Helm Chart incluido en el kit de distribución de la solución. - Ejecute el siguiente comando:
kubectl apply -f pg.yaml -n kcspg
El nombre de la base de datos está compuesto de la siguiente manera:
<
nombre_del_pod
>.<
espacio_de_nombres
>.<
servicio
>.cluster.local
Por ejemplo:
postgres.kcspg.svc.cluster.local
. - Especifique en el archivo de configuración pg.yaml los parámetros para desplegar la base de datos de PostgreSQL externa.
- Para desplegar un objeto Service en un clúster:
- Especifique los parámetros del despliegue de un objeto Service en el archivo de configuración svc.yaml.
- Ejecute el siguiente comando:
kubectl apply -f svc.yaml -n kcspg
- Para crear un usuario, un esquema y una relación usuario-esquema:
- Inicie sesión en el pod con el elemento postgres expandido del paso 2b.
- Inicie la terminal interactiva psql:
psql -h localhost -U postgres -d api
- Ejecute los siguientes comandos:
CREATE ROLE kks LOGIN PASSWORD 'kks' NOINHERIT CREATEDB;
CREATE SCHEMA kks AUTHORIZATION kks;
GRANT USAGE ON SCHEMA kks TO PUBLIC;
- En el archivo de configuración values.yaml, especifique los parámetros necesarios para usar una base de datos de PostgreSQL externa.
Parámetros en el archivo values.yaml
Los valores de los parámetros especificados en el archivo values.yaml deben coincidir con los valores de los parámetros correspondientes en los archivos de configuración pg.yaml y svc.yaml.
- Actualice la solución.
Ejemplo de los comandos usados para crear un usuario para una base de datos de PostgreSQL externa
Usar ClickHouse, el DBMS externo
Además del DBMS ClickHouse (componente de Kaspersky Container Security incluido en el kit de distribución), la solución también puede funcionar con los recursos del DBMS externo ClickHouse. Para ello, debe realizar las siguientes acciones:
- Cree una base de datos para Kaspersky Container Security, añada y configure usuarios, y defina una directiva de disco si se utilizan diferentes discos para el almacenamiento de datos de corto y largo plazo.
- Especifique las variables necesarias en el archivo de configuración values.yaml para el DBMS externo ClickHouse.
Kaspersky Container Security funciona con ClickHouse 22.6 o posterior.
Inicio de página
Crear una base de datos para Kaspersky Container Security
Para crear una base de datos para Kaspersky Container Security, realice lo siguiente:
En ClickHouse, en la estación de trabajo, ejecute el siguiente comando:
CREATE DATABASE IF NOT EXISTS kcs
donde kcs
es el nombre de la base de datos para Kaspersky Container Security.
Para configurar la base de datos creada para Kaspersky Container Security:
- Añada usuarios y defina el método de autorización. Para ello, debe realizar las siguientes acciones:
- Añada los siguientes usuarios:
- un usuario con derechos para leer los datos que recibe el núcleo de Kaspersky Container Security (lectura)
<roles>
<kcs_reader_role>
<grants>
<query>GRANT SELECT ON kcs.*</query>
</grants>
</kcs_reader_role>
- un usuario con derechos para escribir datos a partir de solicitudes de agentes externos (escritura)
<roles>
<kcs_writer_role>
<grants>
<query>GRANT CREATE TABLE, INSERT, ALTER, UPDATE ON kcs.*</query>
<query>GRANT SELECT (source_ip, source_port, source_alias, dest_ip, dest_port, dest_alias, protocol, severity, action, event_time, count, type) ON kcs.node_agent_events</query>
</grants>
</kcs_writer_role>
- un usuario con derechos para leer los datos que recibe el núcleo de Kaspersky Container Security (lectura)
- Especifique el método para autorizar usuarios: con una contraseña o mediante un certificado.
Ejemplo de configuración de usuarios con autenticación mediante contraseña
Ejemplo de configuración de usuarios con autenticación mediante certificados
- Añada los siguientes usuarios:
- Especifique los discos para el almacenamiento de datos a corto y largo plazo. Al trabajar con ClickHouse, Kaspersky Container Security puede almacenar grandes cantidades de datos con diversos períodos de retención. De forma predeterminada, la mayoría de los eventos se almacenan durante 30 minutos como máximo, mientras que la información sobre incidentes se almacena durante 90 días como máximo. Dado que la grabación de eventos requiere una cantidad considerable de recursos, para garantizar una velocidad de grabación alta y suficiente espacio en disco, se recomienda usar diferentes discos para el almacenamiento de datos a corto y largo plazo.
Configuración del DBMS externo ClickHouse
Para configurar el uso del DBMS externo ClickHouse en Kaspersky Container Security:
- En el archivo de configuración values.yaml, especifique que la solución usará el DBMS externo ClickHouse:
default:
kcs-clickhouse:
external: true
- Especifique las variables para usar el DBMS externo ClickHouse:
configmap:
infraconfig:
type: fromEnvs
envs:
...<
variables para usar el DBMS externo ClickHouse
>
En esta sección, debe especificar las siguientes variables:
EXT_CLICKHOUSE_PROTOCOL
: protocolo para conectarse con el DBMS externo ClickHouseEXT_CLICKHOUSE_HOST
: host de la conexión con el DBMS externo ClickHouse externoEXT_CLICKHOUSE_PORT
: puerto para conectarse con el DBMS externo ClickHouseEXT_CLICKHOUSE_DB_NAME
: nombre de la base de datos preparada para usarse con Kaspersky Container SecurityEXT_CLICKHOUSE_COLD_STORAGE_NAME
: nombre del disco donde ClickHouse almacenará a largo plazo datos sobre incidentesEXT_CLICKHOUSE_STORAGE_POLICY_NAME
: nombre de la directiva de almacenamiento de datos según la que ClickHouse transferirá al disco los datos sobre incidentes para su almacenamiento a largo plazoSi usa el mismo disco para el almacenamiento de datos a corto y a largo plazo, no deberá especificar los valores de
EXT_CLICKHOUSE_COLD_STORAGE_NAME
ni deEXT_CLICKHOUSE_STORAGE_POLICY_NAME
.EXT_CLICKHOUSE_SSL_AUTH
: variable de la autenticación SSL para los usuarios de ClickHouse Si se especifica el valortrue
, la autenticación se realiza sin contraseñas, pero mediante certificados de clientes.Si
TLS_INTERNAL
tiene el valorfalse
,EXT_CLICKHOUSE_SSL_AUTH
también debe tener el valorfalse
.EXT_CLICKHOUSE_ROOT_CA_PATH
: ruta al certificado de CA, que se especifica si se usa el protocolo https para conectarse a ClickHouse (EXT_CLICKHOUSE_PROTOCOL: https
). Puede especificar la ruta de las siguientes maneras:- Coloque el certificado de CA de ClickHouse en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
the secret.cert-kcs-clickhouse-ca
. - Use Vault para almacenar los datos del certificado. En este caso, debe quitar las marcar de comentarios del bloque
cert-kcs-clickhouse-ca
en la secciónvault.certificate
.
- Coloque el certificado de CA de ClickHouse en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
- Especifique los valores de los secretos para usar el DBMS externo ClickHouse:
configmap:
secret:
infracreds:
type: fromEnvs
envs:
...<
secretos para usar el DBMS externo ClickHouse
>
En esta sección, debe especificar lo siguiente:
EXT_CLICKHOUSE_WRITE_USER
: nombre de un usuario con permisos de escritura, que se creó para usarse con Kaspersky Container SecurityCLICKHOUSE_WRITE_PASSWORD
: contraseña de un usuario con permisos de escritura, que se creó para usarse con Kaspersky Container SecurityEXT_CLICKHOUSE_READ_USER
: nombre de un usuario con permisos de lectura, que se preparó para usarse con Kaspersky Container SecurityCLICKHOUSE_READ_PASSWORD
: contraseña de un usuario con permisos de lectura, que se creó para usarse con Kaspersky Container SecurityLas variables
CLICKHOUSE_READ_PASSWORD
yCLICKHOUSE_WRITE_PASSWORD
no se usan si el valor deEXT_CLICKHOUSE_SSL_AUTH
estrue
.
Los nombres de usuario y contraseñas también pueden especificarse al usar el almacenamiento de secretos Vault.
Configuración del almacenamiento externo MinIO
Para configurar el uso del almacenamiento de archivos externo MinIO compatible con S3 en Kaspersky Container Security:
- En el archivo de configuración values.yaml, especifique que la solución usa el almacenamiento de archivos externo MinIO:
default:
kcs-s3:
external: true
- Especifique los valores de las variables para usar MinIO:
configmap:
infraconfig:
type: fromEnvs
envs:
...
<variables para usar el almacenamiento de archivos externo MinIO
>
En esta sección, debe especificar las siguientes variables:
MINIO_HOST
: host que se conectará con MinIOMINIO_PORT
: puerto de la conexión con MinIOMINIO_BUCKET_NAME
: nombre de la sección en MinIO asignada para los datos de Kaspersky Container SecurityMINIO_SSL
: variable de la conexión SSL con MinIO (incluye el uso del protocolo https)Si
TLS_INTERNAL
tiene el valorfalse
,MINIO_SSL
también debe tener el valorfalse
.MINIO_ROOT_CA_PATH
: ruta al certificado de CA, que se especifica si se usa el protocolo https para conectarse con MinIO (MINIO_SSL: true
). Puede especificar la ruta de las siguientes maneras:- Coloque el certificado de CA de MinIO en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
secret.cert-minio-ca
. - Use Vault para almacenar los datos del certificado. En este caso, debe quitar las marcar de comentarios del bloque
cert-minio-ca
en la secciónvault.certificate
.
- Coloque el certificado de CA de MinIO en el directorio que determina la ruta. En ese caso, debe quitar las marcas de comentarios del bloque
- Especifique los valores de los secretos para usar el almacenamiento de archivos externo MinIO:
configmap:
secret:
infracreds:
type: fromEnvs
envs:
...
<secretos para usar el almacenamiento de archivos externo MinIO
>
En esta sección, debe especificar lo siguiente:
MINIO_ROOT_USER
: nombre del usuario de MinIO especificado para Kaspersky Container SecurityMINIO_ROOT_PASSWORD
: contraseña del usuario de MinIO especificado para Kaspersky Container Security
Los nombres de usuario y contraseñas también pueden especificarse al usar el almacenamiento de secretos Vault.
Ejemplo de la configuración del almacenamiento de archivos externo MinIO
Instalar revisiones privadas
Debido a las características específicas de diversas redes corporativas donde se despliega Kaspersky Container Security, en ocasiones puede ser necesario aplicar revisiones privadas a la solución. Una revisión privada está compuesta de una o varias imágenes de Docker en contenedor. Dichas revisiones privadas no se publican en la fuente oficial de imágenes de Kaspersky y se transfieren directamente al cliente para que se coloquen en el registro de imágenes corporativo.
Para colocar la imagen de Docker recibida en un registro de imágenes:
- Guarde el archivo comprimido que tiene la imagen de Docker en el directorio elegido.
- Ejecute el comando
docker load -i <
nombre_archivo_comprimido
>
. - Ejecute el comando
docker tag <
nombre de hash obtenido en el paso 2
> <
registro del cliente
/<
componente
>:fix>
. - Ejecute el comando
docker push <
registro del cliente
/<
componente
>:fix>
. - Según el componente para el cual se instale la revisión, deberá reemplazar la etiqueta de la imagen de
<
componente
>:2.0
a<
registro del cliente
/<
componente
>:fix>
en uno de los siguientes archivos de configuración:- En el archivo YAML que contiene instrucciones para el despliegue de agentes en el clúster si la revisión se instala para agentes (node-agent y kube-agent). Por ejemplo, debe cambiar
node-agent:2.0
a<
registro del cliente
/node-agent:fix>
. - En el archivo values.yaml si la revisión se instala para los componentes principales de la solución. Por ejemplo, debe cambiar
kcs-ih:2.0
a<
registro del cliente
/kcs-ih:fix>
.
- En el archivo YAML que contiene instrucciones para el despliegue de agentes en el clúster si la revisión se instala para agentes (node-agent y kube-agent). Por ejemplo, debe cambiar
Eliminar la solución
Para desinstalar el módulo lógico básico corporativo de Kaspersky Container Security, realice una de las siguientes acciones:
- En una estación de trabajo que tenga el gestor de paquetes Helm instalado, tenga acceso al clúster destino y tenga un espacio de nombres con Kaspersky Container Security instalado, ejecute el siguiente comando:
helm uninstall kcs-release
El gestor de paquetes Helm no elimina objetos PVC, objetos PV o secretos. Debe eliminarlos de forma manual con los siguientes comandos:
kubectl delete pvc
<nombre del objeto PVC>
kubectl delete secret
<nombre del secreto>
kubectl delete pv
<nombre del objeto PV>
- Si Kaspersky Container Security se instala en un espacio de nombres independiente, ejecute el siguiente comando:
kubectl delete ns
<espacio de nombres>
Para eliminar un agente de Kaspersky Container Security:
Ejecute el siguiente comando en el nodo del clúster que tiene el agente desplegado:
kubectl delete -f
<archivo>
-n kcs
donde <archivo> es el nombre del archivo de configuración YAML usado para desplegar el agente
Si elimina todos los agentes en los nodos de un clúster, le recomendamos que quite el grupo que los incluye.
Para eliminar un grupo de agentes:
- En el menú principal de Kaspersky Container Security, diríjase a la sección Components → Agents.
- En la línea que contiene el nombre del grupo de agentes que desee eliminar, haga clic en el icono Eliminar (
).
- En la ventana que se abre, confirme la acción.
Actualizar la solución
Puede actualizar Kaspersky Container Security 1.2.x a la versión 2.0.
Actualizar la solución no representa la pérdida de datos.
Antes de actualizar la solución, necesita hacer lo siguiente:
- Elimine el objeto StatefulSet de ClickHouse:
kubectl delete statefulset/kcs-clickhouse -n kcs
- Elimine el objeto PVC de ClickHouse:
kubectl delete pvc/pvc-clickhouse-kcs-clickhouse-0 -n kcs
- Si la versión de la solución que tiene utiliza el componente kcs-nats y se gestiona mediante el controlador de StatefulSet, debe quitar los objetos PVC de este controlador del clúster:
kubectl delete pvc/pvc-nats-js-kcs-nats-0 -n kcs
En todos los comandos mencionados anteriormente, debe reemplazar -n kcs
con el espacio de nombres.
El resto del proceso de actualización es igual al proceso de instalación de la solución.
La duración de la actualización depende del volumen de las bases de datos disponibles y puede demorarse varias horas. Recomendamos actualizar Kaspersky Container Security fuera de las horas activas.
Puede buscar información sobre las versiones más recientes de la aplicación en el sitio web de Kaspersky https://www.kaspersky.es o puede ponerse en contacto con nuestros partners.
Inicio de página
Interfaz de la solución
La Consola de administración se implementa a través de la interfaz web y está compuesta de los siguientes elementos:
- Menú principal: secciones y subsecciones del menú principal que proporcionan acceso a las funcionalidades clave de la solución
- Panel de trabajo: la información y los controles de este panel dependen de la sección o la subsección que haya elegido en el menú principal
Menú principal
En la interfaz web, el menú principal de Kaspersky Container Security en el panel izquierdo está compuesto por secciones que corresponden a las funciones básicas de la solución.
Recursos
Esta sección contiene los resultados de la supervisión de todos los recursos disponibles de Kaspersky Container Security: clústeres, registros integrados a la solución y procesos de CI/CD.
Investigación
Esta sección contiene los resultados de la investigación de eventos por parte de Kaspersky Container Security que sucedan en contenedores y las vulnerabilidades detectadas en imágenes.
Cumplimiento
Esta sección contiene los resultados de la verificación de nodos y recursos de clústeres en cuanto a su cumplimiento con los siguientes estándares: puntos de referencia de Kubernetes y puntos de referencia de seguridad de clústeres.
Directivas
En esta sección, podrá configurar las directivas de seguridad al usar Kaspersky Container Security.
En la subsección Risk acceptance, encontrará una lista de las amenazas y vulnerabilidades detectadas, cuyos riesgos acepta el usuario. En esta subsección, puede cancelar una aceptación de riesgos o configurar un período durante el cual un riesgo se considere aceptado.
Componentes
Esta sección contiene información sobre el estado de los componentes de la solución: agentes, tareas de análisis y kernels.
Administración
En esta sección, podrá realizar las siguientes tareas:
- En Access management, puede gestionar los derechos de acceso de los usuarios, definir roles y derechos de acceso y restringir el acceso a recursos y capacidades funcionales dentro de alcances específicos.
- En Reports, podrá encontrar una lista de los informes generados sobre las imágenes y podrá descargarlos o eliminarlos.
- En la subsección The Integrations, podrá configurar integraciones a registros de imágenes públicas, validadores de firmas en imágenes, notificaciones, el servidor LDAP, sistemas SIEM y HashiCorp Vault, además de poder obtener información sobre el estado de las integraciones.
- En Events, puede ver una lista de los eventos generados por aplicaciones que podrían ser útiles al rastrear procesos y analizar posibles amenazas de seguridad.
Configuración
En esta sección, podrá realizar las siguientes tareas:
- En Authentication, puede configurar el inicio de la Consola de administración de Kaspersky Container Security y gestionar la configuración de las conexiones.
- En la subsección Licensing, podrá administrar la configuración de las licencias y consultar sus características.
- En la subsección About, encontrará información sobre la versión de la aplicación y la última actualización de la base de datos de malware y vulnerabilidades. También puede consultar los términos del Acuerdo de licencia de Kaspersky Container Security, información sobre el código de terceros y la referencia de la API. Además, puede abrir la Ayuda de Kaspersky Container Security para recibir una descripción detallada de la solución y de su funcionamiento.
Bloque que lleva el nombre del usuario actual
En este bloque, se muestra información sobre el usuario que inició sesión en la Consola de administración de Kaspersky Container Security. Con los comandos del menú emergente, puede ir a la página del perfil de usuario y salir de la consola.
Inicio de página
Panel
En la página principal de Kaspersky Container Security, puede configurar el panel para recibir datos analíticos actualizados sobre los objetos que procesa la solución. Puede configurarlo usando filtros que le permiten ordenar la información por nombre y período.
Los datos analíticos se muestran mediante widgets o herramientas específicas para información analítica.
El panel de Kaspersky Container Security se abre al iniciar sesión en una cuenta o al hacer clic en el logotipo que contiene el nombre de la solución (por encima del menú principal).
Aplicar filtros
Kaspersky Container Security permite configurar el panel con los siguientes filtros:
- Filtrar por período:
- Todo el período
- Año
- Trimestre
- Mes
- Semana
- Últimas 24 horas
- Período personalizado
Para cualquier período que elija, el tiempo comenzará desde el día actual. De forma predeterminada, la información se muestra con el filtro semanal.
- Filtrar por recurso:
- Todas las imágenes
- Todas las imágenes fuera de los clústeres
- Todas las imágenes de los clústeres
- Las imágenes de un clúster específico
- Imágenes de CI/CD
De forma predeterminada, la información se muestra para todas las imágenes.
Widgets del panel
Kaspersky Container Security proporciona datos analíticos en el panel mediante el uso de widgets que se organizan en grupos sobre la base del tipo de datos. En Kaspersky Container Security, podrá encontrar los siguientes grupos de widgets y widgets individuales:
- Cumplimiento de la imagen con los requisitos de las directivas de seguridad. La solución muestra la siguiente información:
- Número total de imágenes.
- Número de imágenes con el estado En cumplimiento (Compliant).
- Número de imágenes con el estado En incumplimiento (Compliant).
- Evaluación de riesgos en imágenes. El widget proporciona la siguiente información sobre los estados de los objetos:
- Número total de imágenes
- Número de imágenes que tienen el estado Crítico (Critical)
- Número de imágenes que tienen el estado Alto (High)
- Número de imágenes que tienen el estado Medio (Medium)
- Número de imágenes que tienen el estado Bajo (Low)
- Número de imágenes que tienen el estado Insignificante (Negligible)
- Número de imágenes que tienen el estado Correcto (Ok)
- Los 10 principales puntos de referencia sobre objetos que suelen provocar el incumplimiento de los nodos de clústeres con los puntos de referencia de Kubernetes:
- 10 puntos de referencia sobre nodos de clústeres que suelen generar incumplimiento
- Número de nodos de clústeres que fallaron la verificación del cumplimiento del punto de referencia especificado
- Los 10 principales registros por número de imágenes con la calificación de riesgos más alta
- Vulnerabilidades
- Las 10 principales vulnerabilidades detectadas con los estados de gravedad Crítico (Critical), Alto (High) o Medio (Medium) y número de imágenes que contienen las vulnerabilidades especificadas
Si una vulnerabilidad contiene un exploit, el icono de exploit (
) se muestra junta al nivel de gravedad. Puede usar el control Containing Exploit, que se encuentra encima de la lista, para mostrar todas las vulnerabilidades que coinciden o solo las vulnerabilidades que contengan exploits.
- Las 10 principales imágenes que contienen el número máximo de vulnerabilidades detectadas con los estados de gravedad Crítico (Critical) y Alto (High)
- Las 10 principales vulnerabilidades detectadas con los estados de gravedad Crítico (Critical), Alto (High) o Medio (Medium) y número de imágenes que contienen las vulnerabilidades especificadas
- Malware
- Los 10 principales tipos de malware detectado con mayor frecuencia y número de imágenes que contienen dicho malware
- Las 10 principales imágenes con el número máximo de tipos de malware detectado
- Datos confidenciales:
- Los 10 principales tipos de datos confidenciales con los estados de gravedad Crítico (Critical), Alto (High) o Medio (Medium) y número de imágenes que contienen dichos datos confidenciales
- Las 10 principales imágenes que contienen la máxima cantidad de datos confidenciales detectados con los estados de gravedad Crítico (Critical) y Alto (High)
- Configuraciones incorrectas
- Las 10 principales configuraciones incorrectas detectadas con los estados de gravedad Crítico (Critical), Alto (High) o Medio (Medium) y número de imágenes que contienen dichos datos as configuraciones incorrectas
- Las 10 principales imágenes que contienen el número máximo de configuraciones incorrectas detectadas con los estados de gravedad Crítico (Critical) y Alto (High)
Las listas de objetos que especifican el nivel de gravedad se ordenan de forma descendiente según el nivel de gravedad (el primer elemento de la lista es el objeto que tiene el nivel de gravedad más alto).
Perfil de usuario
Para ir a la página del perfil de usuario, realice lo siguiente:
- En el menú principal, haga clic en el bloque que exhibe el nombre de usuario actual.
- Elija My Profile.
En la página My Profile, Kaspersky Container Security muestra información clave sobre la cuenta de usuario activa. Esta información está dividida en las siguientes secciones:
- General information: nombre del usuario y nombre de usuario que se muestra, dirección de correo electrónico de contacto y una lista de los roles asignados al usuario.
En esta sección, también puede cambiar la contraseña para acceder a la Consola de administración; para ello, haga clic en el botón Change password.
- API token: información sobre el token usado para conectarse y acceder a la solución mediante la API. El valor del token de API válido está oculto con una máscara y puede revelarlo si hace clic en el icono de desenmascarar (
), que se encuentra a la derecha del token. Puede ocultar el valor del token con una máscara si hace clic en el icono de enmascarar (
).
En esta sección, también puede copiar el valor del token activo con el botón Copy. De ser necesario, también puede hacer clic en el botón Reissue token para generar un nuevo token de la API.
- Permissions: todos los derechos y permisos asignados al usuario.
Diferentes visualizaciones de datos
La interfaz de Kaspersky Container Security proporciona diferentes formas en que se pueden mostrar los datos:
- Filtrar. Los campos de filtro se encuentran encima de las tablas de datos. Los campos de filtros y las formas de gestionarlos dependerán de las características específicas de los datos que se mostrarán.
En algunas secciones, debe hacer clic en el icono de filtros para abrir los campos de filtros (
).
- Organizar en orden ascendente o descendente. En algunas secciones, puede organizar la lista de datos según la columna elegida mediante el icono de orden (
) que se encuentra en el encabezado de la columna.
- Buscar. Puede buscar datos con el campo de búsqueda, que se encuentra encima de la tabla y tiene el icono de búsqueda (
).
- Menú. En algunas tablas, puede realizar acciones en los objetos mediante los comandos del menú en las filas de la tabla. Para abrir el menú del objeto elegido, haga clic en el icono de menú (
) en la fila del objeto.
- Elegir. En algunas tablas, puede elegir elementos si hace clic en la casilla de verificación (
). Para anular la elección de elementos, vuelva a hacer clic en la casilla de verificación.
- Eliminar. Puede quitar objetos de la solución con el icono de eliminación (
) o el enlace de Delete que aparece al elegir objetos.
- Expandir o colapsar listas. En algunas tablas, puede hacer clic en el icono de expansión (
) para expandir la fila de un objeto y ver su contenido. Para colapsar los elementos de la tabla, haga clic en el icono de colapso (
).
Licencias de la solución
En esta sección, encontrará información sobre los términos generales relacionados con las licencias de Kaspersky Container Security.
Acerca del Contrato de licencia de usuario final
El Contrato de licencia de usuario final es un acuerdo obligatorio entre AO Kaspersky Lab y usted que estipula los términos según los cuales puede utilizar la aplicación.
Lea detenidamente los términos del Contrato de licencia de usuario final antes de comenzar a utilizar la aplicación.
Puede leer los términos del Contrato de licencia de usuario final al instalar Kaspersky Container Security.
Aceptar el texto del Contrato de licencia de usuario final al instalar la aplicación implica su aceptación de los términos del Contrato de licencia de usuario final. Si no acepta los términos del Contrato de licencia de usuario final, debe anular la instalación de la aplicación y no debe usarla.
Las funcionalidades de actualización (incluidas las actualizaciones de firmas antivirus y actualizaciones de bases de código) pueden no estar disponibles en el software en territorio de EE. UU.
Inicio de página
Acerca de la licencia
Una licencia es un derecho limitado de uso de Kaspersky Container Security que se concede según el Contrato de licencia de usuario final.
Una licencia incluye el derecho a usar la aplicación según los términos del Contrato de licencia de usuario final y a recibir soporte técnico. Las funcionalidades disponibles y el período de uso de la aplicación dependen del tipo de licencia que se haya empleado para activar la aplicación.
Kaspersky Container Security admite los siguientes tipos de licencias:
- NFR (no para reventa) es una licencia gratuita durante un período específico para que el usuario se familiarice con la aplicación y desarrolle despliegues de prueba.
- Comercial es una licencia de pago que se proporciona cuando compra la solución.
Las funcionalidades de la solución dependen del tipo de licencia que tenga. Kaspersky Container Security admite las siguientes licencias:
- Licencia Standard: permite la integración a plataformas y registros de imágenes, el análisis para detectar amenazas de seguridad, la evaluación de riesgos y la supervisión del estado de los objetos.
- Licencia Enterprise: además de las funcionalidades de la licencia Standard, esta licencia permite acceder a componentes usados para la supervisión, el control y el análisis de objetos, detectar configuraciones incorrectas y protegerse ante amenazas de seguridad.
Cuando la licencia caduca, la aplicación continúa ejecutándose, pero con funcionalidades limitadas. Para disfrutar todas las funcionalidades de Kaspersky Container Security, debe comprar una licencia comercial o renovar la licencia comercial que posee.
Inicio de página
Acerca del certificado de licencia
Un certificado de licencia es un documento que se entrega junto con un archivo clave o código de activación.
Este certificado contiene la siguiente información de la licencia:
- Número de licencia o número de pedido
- Información sobre el usuario al que se le concede la licencia
- Información sobre la aplicación que se puede activar con la licencia proporcionada
- Restricciones del número de unidades con licencia (por ejemplo, los dispositivos en los que se puede utilizar la aplicación con la licencia proporcionada)
- Fecha de inicio del término de la licencia
- Fecha de vencimiento de la licencia o período de la licencia
- Tipo de licencia
Acerca de la clave de licencia
La clave de licencia es una secuencia de bits que se puede usar para activar y utilizar la aplicación de acuerdo con el Contrato de licencia de usuario final. Son especialistas de Kaspersky quienes generan la clave de licencia.
Puede añadir una clave de licencia a la solución aplicando un archivo clave o introduciendo un código de activación.
Kaspersky podría bloquear una clave de licencia si hubiera infracciones del Contrato de licencia de usuario final. Si la clave de licencia se ha bloqueado, deberá añadir otra clave de licencia para continuar usando la aplicación.
Inicio de página
Acerca del archivo clave
El archivo clave es un archivo con la extensión KEY que le proporciona Kaspersky. Se utiliza para añadir la clave de licencia que activa la aplicación.
Recibirá un archivo clave en la dirección de correo electrónico que proporcionó al comprar Kaspersky Container Security.
No es necesario conectarse a los servidores de activación de Kaspersky para activar la solución con un archivo de clave.
Puede restaurar un archivo clave si se ha eliminado accidentalmente.
Para restaurarlo, realice una de las siguientes acciones:
- Póngase en contacto con el proveedor de la licencia.
- Obtenga un archivo clave desde el sitio web de Kaspersky sobre la base del código de activación que tenga.
Acerca del código de activación
Un código de activación es una secuencia única de 20 letras del alfabeto inglés y números. Debe introducir un código de activación para añadir la clave de licencia que activa Kaspersky Container Security. El código de activación se le enviará a la dirección de correo electrónico que proporcionó al comprar Kaspersky Container Security.
Para activar la aplicación con un código de activación, debe poder acceder a Internet para conectarse con los servidores de activación de Kaspersky.
Si pierde el código de activación después de activar la aplicación, póngase en contacto con el partner de Kaspersky que le asistió en la compra de la licencia.
Inicio de página
Procedimiento para activar la aplicación
Activar la aplicación implica activar la licencia que concede los derechos para usar Kaspersky Container Security hasta que caduque.
Puede activar la aplicación con un código de activación o el archivo de clave que haya recibido cuando compró la solución.
El código de activación se utiliza para activar la solución cuando la instala en una red corporativa pública con acceso a Internet. El archivo de clave se utiliza para activar la solución cuando instala Kaspersky Container Security en una red corporativa pública o privada sin conexión a Internet.
Para activar la aplicación con un código de activación:
- En la sección Settings → Licensing, haga clic en el botón Add license key.
- En la ventana que se abre y donde se le solicita que añada la clave de licencia, elija Enter activation code.
- En el campo Activation code, introduzca el código de activación y haga clic en Add.
La aplicación se activará y verá la página con información de la licencia.
Para activar la aplicación con un archivo de clave:
- En la sección Settings → Licensing, haga clic en el botón Add license key.
- En la ventana que se abre y donde se le solicita que añada la clave de licencia, elija Upload key file y haga clic en el botón Upload and add.
- En la ventana, elija un archivo con la extensión KEY y haga clic en Open.
La aplicación se activará y verá la página con información de la licencia.
Al activar la aplicación, el nuevo código de activación o archivo clave reemplazará lo que haya introducido anteriormente.
Inicio de página
Ver la información de la licencia
Puede ver información sobre la licencia activa en la interfaz web de Kaspersky Container Security, en la sección Settings → Licensing.
En la página de detalles de la licencia verá los siguientes parámetros:
- Información de la licencia. Kaspersky Container Security muestra la siguiente información:
- Nombre del partner de Kaspersky que le asistió en la compra de la licencia
- Período de vigencia de la licencia
El período comienza desde el momento en que adquiere la licencia, no cuando activa la aplicación.
- Información del cliente. En esta subsección, encontrará información sobre la empresa que adquirió la licencia:
- Nombre de la empresa
- El país donde se encuentra la empresa
- Dirección de correo electrónico del representante de la empresa
- Tiempo restante hasta que caduque la licencia. La solución muestra la fecha y hora exactas de caducidad de la licencia.
- Contador de nodos que exhibe el número máximo de nodos y número de nodos activos que permite la licencia.
- Análisis de imágenes por mes que muestra el número máximo de análisis de imágenes y análisis completos que permite la licencia. Un mes son los últimos 30 días, a partir de la fecha actual.
- Funcionalidades que brinda la licencia. La solución exhibe una lista de las funcionalidades disponibles según la licencia que adquirió.
Renovar la licencia
Cuando la licencia está por llegar a la fecha de caducidad, Kaspersky Container Security muestra las siguientes notificaciones:
- Notificación de que la licencia está pronta a caducar; se observa el tiempo que resta hasta que caduque. Recibirá esta notificación 30, 14 y 7 días antes de la fecha de caducidad de la licencia.
- Notificación de que la licencia caducó y la solución estará en modo de funcionalidades limitadas. Esta notificación se envía el día en que caduca la licencia.
En el modo de funcionalidades limitadas, Kaspersky Container Security se ejecuta de la siguiente manera:
- No se analizan nuevos objetos.
- La interfaz web no muestra los nuevos nodos añadidos a los clústeres creados anteriormente después de que haya caducado la licencia.
- No se pueden añadir nuevos clústeres para su supervisión.
- Las bases de datos de vulnerabilidades no se actualizan.
Puede renovar una licencia introduciendo un nuevo código de activación o añadiendo un nuevo archivo clave. Para renovar la licencia, póngase en contacto con el partner de Kaspersky que le asistió en la compra de la licencia.
Inicio de página
Eliminar la clave de licencia
Para eliminar la clave de licencia:
- En la sección Settings → Licensing, haga clic en el botón Delete license key.
- Haga clic en el botón Delete para confirmar la eliminación.
Provisión de datos
En esta sección, encontrará información sobre los datos que Kaspersky Container Security puede guardar en el dispositivo y reenviar a Kaspersky mientras está en funcionamiento.
Si usa un código de activación para activar Kaspersky Container Security, acepta proporcionar de forma automática información a Kaspersky como parte del proceso normal de confirmación de estado de la clave de licencia. Para confirmar el estado de la clave de licencia, Kaspersky Container Security se contacta regularmente con los servidores de activación de Kaspersky y les reenvía la siguiente información:
- Identificador del centro de activación regional
- Título de la licencia para usar la solución
- Tipo de suma de verificación y suma de verificación de la clave de licencia
- Fecha y hora de creación de la clave de licencia
- Fecha y hora de caducidad de la licencia de la solución
- Identificador de la licencia de la solución
- Identificador del modelo de información aplicado al proporcionar la licencia para usar la solución
- Estado actual de la clave de licencia
- Tipo de licencia usada para activar la solución
- Identificador único del dispositivo
- Nombre de familia del sistema operativo del dispositivo
- Identificador de instalación de la solución (PCID)
- Identificador, localización y versión completa de la solución
- Identificador de la solución obtenido de la licencia
- Conjunto de identificadores del software compatible
- Identificador de la nueva marca de la solución
- Lista de acuerdos legales mostrados al usuario de la solución
- Tipo y versión del acuerdo legal aceptado por el usuario mientras usa la solución
Además, al usar el código de activación, acepta reenviar la siguiente información a Kaspersky:
- Código de activación que introdujo el usuario para activar la solución
- Fecha y hora en el dispositivo del usuario
- Versión, número de compilación, número de actualización y revisión del sistema operativo en el dispositivo
- Indicación de que el usuario ha aceptado los términos del acuerdo legal mientras usa la aplicación
Al usar el código de activación, acepta reenviar automáticamente los datos antes enumerados a Kaspersky. Si no acepta el reenvío de esta información, use un archivo clave para activar Kaspersky Container Security.
Si emplea los servidores de actualización de Kaspersky para descargar actualizaciones, acepta proporcionar automáticamente la siguiente información:
- Identificador de la solución Kaspersky Container Security adquirida con la licencia
- Versión completa de la solución
- Identificador de la licencia de la solución
- Tipo de licencia válida
- Identificador de instalación de la solución (PCID)
- Identificador del inicio de actualizaciones de la solución
- Dirección web procesada
Kaspersky puede usar todos estos datos obtenidos para generar información estadística sobre la distribución y el uso del software de Kaspersky.
Toda información recibida está protegida en virtud de los requisitos legales establecidos y las normativas pertinentes de Kaspersky. Los datos se envían por canales de comunicación cifrados.
Podrá encontrar información más detallada sobre el procesamiento, el almacenamiento y la destrucción de la información obtenida durante el uso de la solución y enviada a Kaspersky en el Contrato de licencia de usuario final y la Política de privacidad en el sitio web de Kaspersky.
Inicio de página
Trabajar con clústeres
Kaspersky Container Security facilita una herramienta para visualizar y analizar las conexiones entre diversos objetos en los espacios de nombres de clústeres.
Un clúster es un conjunto de
que ejecutan aplicaciones ubicadas en contenedores.Al usar clústeres, puede realizar una gran cantidad de análisis de imágenes dentro de dichos clústeres. De esta forma, se generan registros automáticamente al analizar un clúster. Kaspersky Container Security lee y registra de forma automática los datos de identificación empleados para acceder a los registros en un clúster (nombre de usuario, contraseña y token) y genera un enlace a dicho objeto. Además, los registros reciben un nombre en el siguiente formato: <nombre del clúster>_<nombre del registro>
. Al trabajar con objetos de clústeres, se utilizan los datos de identificación recibidos para acceder a los registros.
Kaspersky Container Security muestra una lista de clústeres disponibles en formato de tabla en Resources → Clusters.
Ver la lista de clústeres
En la sección Resources → Clusters, verá una tabla con los clústeres disponibles en Kaspersky Container Security. Para cada clúster se proporcionan los siguientes datos:
- Nombre del clúster. Si hace clic en el nombre del clúster en la columna Cluster name, se le redirigirá a la página donde puede visualizar los espacios de nombres en dicho clúster.
- Número de espacios de nombres en el clúster.
- Nombre del orquestador donde se despliega el clúster.
- Calificación máxima de riesgo. Esta calificación está asignada al clúster sobre la base de las calificaciones de riesgo de las imágenes en dicho clúster.
Puede ordenar los datos en la tabla de la siguiente manera:
- Por nombre del clúster: puede organizar los clústeres en orden alfabético en la columna Cluster name de forma ascendente (A a Z) o descendente (Z a A).
- Por número de espacios de nombres: puede organizar los clústeres en orden ascendente o descendente según la cantidad de espacios de nombres en la columna Namespaces.
- Por nombre de orquestador: al ordenar la columna Orchestrator, puede agrupar los clústeres según el orquestador en donde se despliegan.
- Por calificación máxima de riesgo: puede organizar los clústeres en orden ascendente o descendente según la calificación máxima de riesgo, que se observa en la columna Max risk rating.
Puede ver los espacios de nombres en el clúster y los enlaces entre estos si hace clic en View, en la columna View on graph. Kaspersky Container Security abrirá el gráfico con espacios de nombres del clúster elegido.
Los recursos de un clúster se pueden analizar y representar en un gráfico solo si los agentes desplegados están disponibles.
Espacios de nombres en el clúster
Para ver los espacios de nombres que hay en un clúster:
- En Resources → Clusters, vaya a la pestaña Table.
- En la columna Cluster name de la tabla con la lista de clústeres, haga clic en el nombre del clúster.
Kaspersky Container Security abrirá una página que contiene una lista de los espacios de nombres en el clúster elegido.
Para cada espacio de nombres en el clúster, verá la siguiente información:
- Nombre del espacio de nombres. Si hace clic en el enlace en el nombre del espacio de nombres en la columna Namespace, se le redirigirá a la página donde podrá ver los pods en dicho espacio de nombres.
- Número de contenedores en todos los pods del espacio de nombres elegido.
- Número de imágenes analizadas. En la columna Scanned images, verá esta información en el formato X/Y; por ejemplo, 1/8. El primer valor (X) representa la cantidad de imágenes analizadas y el segundo valor (Y) representa el número total de imágenes en el espacio de nombres.
- Número de imágenes que tienen el estado Queued. En la columna Scans in queue, verá el número de imágenes en las tareas que están en cola y a la espera del análisis.
- Número de imágenes que tienen el estado Error. En la columna Failed scans, verá el número de imágenes cuyos análisis finalizaron con un error.
- La calificación máxima de riesgos asignada a las imágenes en el espacio de nombres.
Puede ordenar los datos en la tabla de la siguiente manera:
- Por nombre del espacio de nombres: puede organizar los objetos en orden alfabético en la columna Namespace de forma ascendente (A a Z) o descendente (Z a A).
- Por el número de contenedores en los pods del espacio de nombres elegido, en orden ascendente o descendente.
- Por el número de imágenes que tienen el estado Queued, en orden ascendente o descendente.
- Por el número de imágenes que tienen el estado Error, en orden ascendente o descendente.
- Por calificación máxima de riesgo: puede organizar los espacios de nombres en orden ascendente o descendente según la calificación máxima de riesgo, que se observa en la columna Max risk rating.
Puede ver los objetos que están en el espacio de nombres si hace clic en View en la columna View on graph. Kaspersky Container Security abrirá el gráfico con aplicaciones del espacio de nombres elegido.
Para ver los espacios de nombres en un clúster y sus relaciones, realice lo siguiente:
En Resources → Clusters, vaya a la pestaña Graph view.
Inicio de página
Pods en el clúster
Para ver una lista de los pods en un espacio de nombres:
- En Resources → Clusters, abra la tabla que contiene una lista de los espacios de nombres del clúster.
- En la columna Namespace, haga clic en el espacio de nombres.
Kaspersky Container Security abrirá una página que contiene una lista de los pods en el clúster elegido.
Para cada pod del espacio de nombres elegido, se muestra la siguiente información:
- Nombre del pod.
- Lista con los nombres de los contenedores asociados con el pod.
- Nombre de la imagen desde donde se desplegó el contenedor. Si hace clic en el enlace en el nombre de la imagen, se le redirigirá a la página que contiene los resultados del análisis de esta imagen en Resources → Registries.
- Estado del cumplimiento con los requisitos de las directivas de seguridad.
- Calificación de riesgo. Kaspersky Container Security muestra la calificación de riesgo de la imagen en la columna Image.
- Número de problemas de seguridad (vulnerabilidades, malware, datos confidenciales y configuraciones incorrectas) que se detectaron. En el caso de las vulnerabilidades, la solución enumera, de forma independiente, los problemas de seguridad según su gravedad.
- Fecha y hora del último análisis de objetos.
Puede ordenar los datos en la tabla de la siguiente manera:
- Por nombre de pod, nombre de contenedor o nombre de imagen: puede organizar los objetos en las columnas Pod, Container y Image en orden alfabético ascendente o descendente.
- Por cumplimiento o incumplimiento de las directivas de seguridad. Kaspersky Container Security puede agrupar los objetos que tienen los estados Compliant y Non-compliant.
- Por calificación de riesgo: puede ordenar los objetos según su nivel de gravedad.
- Por fecha y hora: Kaspersky Container Security puede mostrar objetos según la fecha y hora del análisis más reciente o más antigua.
Visualizar los recursos de clústeres
Kaspersky Container Security visualiza objetos dentro de uno o más clústeres, además de los enlaces entre los objetos en un clúster y los recursos fuera del clúster o el alcance. Según el nivel de visualización de los recursos de un clúster, verá la siguiente información:
- Gráfico con espacios de nombres: representa el clúster y los nombres de espacios incluidos.
- Gráfico con aplicaciones del clúster elegido: muestra el clúster, sus espacios de nombres y las aplicaciones de los espacios de nombres expandidos. Puede ver el gráfico con aplicaciones en su máximo nivel de detalle si expande los objetos hasta su nivel inferior.
Si usa los gráficos con recursos de un clúster, debe considerar las siguientes particularidades de la visualización de objetos:
- El número en la esquina superior derecha del icono del objeto indica el número de los objetos de nivel inferior dentro del objeto especificado (objetos secundarios).
- Los objetos en el gráfico podrían estar resaltados en color. El objeto se identifica si cumple con los parámetros establecidos según la calificación de riesgo y el cumplimiento de las directivas de seguridad.
- Los objetos en el gráfico se agrupan en virtud de las siguientes reglas:
- Los objetos resaltados se agrupan si el número es mayor de 5.
- Los objetos no resaltados se agrupan si el número es mayor de 2.
- Si lo desea, puede ocultar objetos en el gráfico.
Si hay agentes activos para este clúster, se generará una representación visual de los recursos del clúster.
Inicio de página
Gráfico con recursos de clústeres
Kaspersky Container Security analiza y muestra los recursos del clúster y los enlaces entre ellos. Se analizan todos los clústeres que tienen agentes activos.
Los recursos de un clúster son entidades u objetos que se almacenan en el orquestador y se utilizan para representar el estado del clúster. De este modo, podrá obtener información sobre las aplicaciones en contenedores que están en ejecución, en qué nodos se inician y los recursos que tienen a su disposición. Los objetos de un clúster también definen las estrategias de gestión de las aplicaciones en ejecución (por ejemplo, reinicio o actualización).
En la interfaz de Kaspersky Container Security, el objeto de nivel superior (objeto principal) es el clúster. Incluye los espacios de nombres donde se inician las aplicaciones. Por su parte, las aplicaciones incluyen pods y otros objetos.
Un clúster es un conjunto de máquinas físicas o virtuales (nodos) que ejecutan aplicaciones en contenedores. En Kubernetes, se distinguen los siguientes tipos de nodos:
- Nodo principal: implementa objetos de la API y se utiliza para gestionar el clúster y sus recursos.
- Nodo de trabajo: ejecuta la carga de trabajo. Un clúster incluye uno o más nodos de trabajo.
Con el icono de clúster (), Kaspersky Container Security mostrará el clúster como un gráfico.
Según el nivel de detalle que desee ver en los recursos del clúster, Kaspersky Container Security mostrará el gráfico como un gráfico con espacios de nombres o aplicaciones. En la siguiente tabla, podrá ver todos los objetos que podrían incluirse en el clúster y se observan en el gráfico.
Objetos dentro del clúster
Objeto |
Icono |
Descripción |
---|---|---|
Espacio de nombres |
Mecanismo para aislar recursos dentro de un clúster. Un espacio de nombres incluye diversos objetos que son necesarios para un espacio de trabajo individual (por ejemplo, Deployment, Service). Kaspersky Container Security puede agrupar espacios de nombres en el gráfico y mostrar un grupo de objetos con el número de entidades indicado (por ejemplo, |
|
Pod |
Entidad que incluye uno o más contenedores con recursos de red compartidos, además de un conjunto de reglas para la ejecución de contenedores en el pod. |
|
Aplicación |
Grupo de objetos en el clúster que, por convención, se considera una única entidad en Kaspersky Container Security. La aplicación está formada a partir de los siguientes objetos:
Los pods individuales no conforman una aplicación. De todos modos, siguen funcionando como parte del espacio de nombres y se muestran individualmente en el gráfico. |
|
Despliegue |
Objeto que incluye las reglas que describen los pods y la ejecución de aplicaciones, el número de réplicas de pods y el orden en que se reemplazarían si se modificaran las características. |
|
DaemonSet |
Objeto responsable de crear y ejecutar pods a partir de la misma imagen en todos los nodos del clúster. En Kaspersky Container Security, DaemonSet se utiliza para desplegar un agente (node-agent) en cada nodo del clúster a fin de recibir información y administrar los procesos en los pods. |
|
Entrada |
Objeto que proporciona acceso externo a los servicios en el clúster, generalmente a través de HTTP y HTTPS. |
|
ReplicaSet |
Objeto que gestiona la replicación de pods. ReplicaSet conserva un determinado número de pods idénticos. |
|
Secreto |
Objeto que almacena datos confidenciales (por ejemplo, contraseñas, tokens o claves). Con este objeto, se evita el almacenamiento de datos confidenciales en el código de la aplicación. Este objeto es independiente de los pods que usan objetos para almacenar datos confidenciales. Esto reduce el riesgo de divulgación de secretos al crear, editar y visualizar pods. |
|
Servicio |
Objeto que describe las capacidades de red de las aplicaciones en los pods. Este objeto organiza los pods en grupos lógicos, les reenvía tráfico y equilibra la carga entre ellos. |
|
Endpoints |
Lista de endpoints de la red que el objeto Service consulta para determinar los pods a los que debe direccionar el tráfico. |
|
StatefulSet |
Objeto de la carga de trabajo que permite gestionar aplicaciones supervisando y guardando su estado. StatefulSet se utiliza en las aplicaciones que requieren lo siguiente:
|
|
ConfigMap |
Objeto para almacenar datos no confidenciales en pares clave-valor. ConfigMap se utiliza en pods como una variable de entorno, un argumento de la línea de comandos o un archivo de configuración en un volumen. Con ConfigMap, puede diferenciar la configuración específica de un entorno de las imágenes en un contenedor para lograr una mejor portabilidad de sus aplicaciones. |
|
Volumen persistente (PV) |
Recurso persistente y dedicado (volumen) para almacenar datos del pod en el clúster. El volumen persistente es independiente de los pods, almacena información que este contiene y, al implementar accesos múltiples, permite que otros pods utilicen esta información. |
|
Solicitud de volumen persistente (PVC) |
Solicitud que genera el usuario para almacenar datos de acuerdo con requisitos del volumen persistente (PV). Por ejemplo, una PVC puede especificar el tamaño del volumen persistente necesario y el modo de acceso a los datos que este contiene (por ejemplo, acceso de solo lectura y acceso múltiple de lectura/escritura). |
Gráfico con espacios de nombres
Para visualizar el gráfico con espacios de nombres del clúster elegido, realice lo siguiente:
En la tabla que contiene la lista de clústeres, haga clic en View.
Kaspersky Container Security muestra el clúster con sus espacios de nombres.
Kaspersky Container Security puede mostrar información sobre el clúster y los espacios de nombres en el gráfico con espacios de nombres en la barra lateral o en una tabla. En la barra lateral, encontrará un resumen del objeto. En la tabla, encontrará un estado más detallado del análisis de seguridad de los objetos del clúster. Algunos datos estarán duplicados en la barra lateral y en la tabla.
Inicio de página
Visualizar detalles de los objetos del gráfico en la barra lateral
Para ver información del clúster en la barra lateral:
- Haga clic en el icono de clúster (
) o de espacio de nombres (
) en el gráfico con espacios de nombres.
- En el menú que se abre, elija Details.
En la barra lateral, verá los siguientes datos específicos del objeto:
- Para un clúster:
- Nombre del clúster
- Número de espacios de nombres en el clúster
- Plataforma de orquestación de clústeres
- Calificación máxima de riesgo asignada a los objetos del clúster
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant
- Para un espacio de nombres:
- Nombre del espacio de nombres
- Número de contenedores y aplicaciones en el espacio de nombres
- Número de imágenes analizadas en el espacio de nombres
- Número de tareas de análisis procesadas y finalizadas con errores
- Calificación máxima de riesgo asignada a los objetos del clúster
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant.
- Número de problemas de seguridad en todos los tipos de riesgos (en el caso de vulnerabilidades, se especifica el número de problemas de seguridad y se detalla su gravedad)
- Para un clúster:
Visualizar detalles de los objetos del gráfico en la tabla
Para ver información sobre los objetos en el gráfico en una tabla:
- Haga clic en uno de los siguientes iconos en el gráfico con espacios de nombres:
- Clúster (
)
- Grupo de espacios de nombres (
)
- Espacio de nombres (
)
- Clúster (
- En el menú que se abre, elija Open in table.
Kaspersky Container Security abrirá una tabla que contiene información sobre el objeto o grupo de objetos elegido en la parte inferior del panel de trabajo, debajo del gráfico. Según el objeto, Kaspersky Container Security mostrará los siguientes detalles del contenedor en la tabla que se abre:
- Para un clúster o grupo de espacios de nombres:
- Lista de espacios de nombres en el clúster
- Número de contenedores en cada espacio de nombres
- Número de imágenes analizadas, tareas de análisis en cola y tareas de análisis finalizadas con errores para cada espacio de nombres
- Calificación máxima de riesgo asignada a los objetos del clúster
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant.
- Para el espacio de nombres elegido:
- Lista de aplicaciones en el espacio de nombres y sus tipos
- Número de pods y contenedores en cada aplicación
- Calificación máxima de riesgo asignada a los objetos del espacio de nombres
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant.
- Para un clúster o grupo de espacios de nombres:
Puede usar la tabla a fin de configurar el modo en que se visualizan objetos en el gráfico para ocultar o mostrar los espacios de nombres.
Inicio de página
Gráfico con aplicaciones
Para visualizar el gráfico con aplicaciones para el clúster elegido, realice lo siguiente:
- Vaya a Resources → Clusters.
- Realice una de las siguientes acciones:
- En la pestaña Table view, abra la tabla que contiene la lista de espacios de nombres y haga clic en View.
- En la pestaña Graph view, abra el gráfico con espacios de nombres y realice una de las siguientes acciones:
- Haga doble clic para expandir el espacio de nombres y visualizar sus aplicaciones.
- Haga clic en el icono de espacios de nombres (
) para abrir el menú y elija Expand on graph.
Kaspersky Container Security mostrará todas las aplicaciones en el espacio de nombres elegido.
Todas las aplicaciones pueden expandirse hasta nivel del pod. Puede visualizar información detallada sobre los siguientes objetos en el gráfico con aplicaciones del clúster elegido:
Visualizar información acerca de una aplicación
Para ver información acerca de una aplicación en el gráfico con aplicaciones, realice lo siguiente:
Haga clic en el icono de aplicación () para abrir el menú y elija Details.
Kaspersky Container Security abre un panel lateral que contiene información detallada sobre la aplicación.
La solución muestra la siguiente información sobre la aplicación:
- Tipo de objeto y tipo de aplicación (por ejemplo, Application: Deployment).
- Nombre de la aplicación.
- Calificación máxima de riesgo. La solución califica el riesgo de la aplicación según el nivel de gravedad más alto de todos los objetos de la aplicación.
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant.
- La pestaña Containers contiene la siguiente información sobre los contenedores en el pod elegido:
- Nombre del contenedor
- Nombre de la imagen desde donde se desplegó el contenedor
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant
- Calificación máxima de riesgo asignada a los contenedores del pod
- Número de problemas de seguridad en todos los tipos de riesgos (en el caso de vulnerabilidades, se especifica el número de problemas de seguridad y se detalla su gravedad)
- Fecha y hora del último análisis de la imagen desde la cual se despliega el contenedor
- La pestaña Policies muestra información sobre las directivas de certeza y las directivas referentes a la ejecución que se usan en la aplicación.
En la sección Assurance policies, verá la siguiente información:
- Estado de la aplicación con respecto a la directiva (Passed o Failed).
- Nombre de la directiva.
- Indicación de la existencia de amenazas de seguridad. Según la directiva aplicada, los resultados de los análisis pueden mostrarse de la siguiente manera:
- Se realizó el análisis, se identificaron amenazas de seguridad (
).
- Se realizó el análisis, no se detectaron amenazas de seguridad (
).
- No se realizó ningún análisis para este tipo de amenaza de seguridad (
).
- Se realizó el análisis, se identificaron amenazas de seguridad (
En la sección Runtime policies, encontrará la siguiente información:
- Nombre de la directiva
- Modo de aplicación de directiva (Audit o Enforce)
Si hace clic en el enlace en el nombre de una directiva en la pestaña Policies, podrá ver una descripción detallada. La barra lateral muestra la siguiente información:
- Tipo y nombre de la directiva
- Descripción de la directiva (si la hubiere)
- Autoría de la directiva
- Modo (para una directiva referente a la ejecución)
- Lista de alcances predefinidos
- Acciones que se realizan al aplicar la directiva (para una directiva de certeza)
- Puntos de referencia establecidos y sus parámetros
Si hace clic en el botón Edit policy, puede editar la configuración de una directiva de certeza.
Para ver una descripción detallada de las directivas, debe tener los derechos necesarios para verlas. Los derechos de gestión de directivas son necesarios para modificar su configuración.
Visualizar información acerca de los objetos en una aplicación
Para ver información sobre los objetos en el gráfico con aplicaciones:
- En el gráfico con aplicaciones, elija la aplicación sobre cuyos objetos desee obtener información y realice una de las siguientes acciones:
- Haga doble clic en la aplicación para expandirla y ver sus objetos.
- Haga clic en el icono de aplicación (
) para abrir el menú y elija Expand on graph.
- Elija el objeto y haga doble clic para expandir la información en el panel lateral.
Kaspersky Container Security abre un panel lateral que contiene información detallada sobre el objeto elegido.
Según el tipo de objeto, verá información adicional sobre la entidad elegida. En la tabla siguiente, verá la información que muestra la solución para diversos objetos en la aplicación.
Información acerca de los objetos en una aplicación
Objeto |
Datos mostrados del objeto |
---|---|
Despliegue |
|
DaemonSet |
|
Entrada |
|
Secreto |
|
ReplicaSet |
|
Servicio |
|
Endpoint |
|
StatefulSet |
|
ConfigMap |
|
Volumen persistente |
|
Solicitud de volumen persistente |
|
Con el botón Download .yaml, puede generar y descargar un archivo que contenga la descripción del estado actual del objeto en formato .YAML para todos los objetos.
Inicio de página
Visualizar información acerca de un pod
Para ver la información del pod, realice lo siguiente:
En el gráfico, elija el pod sobre el que desee recibir información y haga doble clic en él para expandir la información en el panel lateral.
Kaspersky Container Security muestra los pods en todos gráficos: gráficos con espacios de nombres y gráfico con aplicaciones.
La solución abre un panel lateral que contiene información detallada sobre el pod.
Kaspersky Container Security muestra la siguiente información sobre el pod:
- Tipo de objeto.
- Calificación máxima de riesgo entre las imágenes del pod.
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant.
- Nombre del pod.
- En la pestaña General, verá la siguiente información sobre el objeto:
- Fecha y hora de creación
- Etiquetas
- Estado de ejecución del pod
- Vigencia del pod: período entre la fecha y hora de visualización de la información del pod y la fecha y hora de su creación
- Lista de puertos usados por los contenedores del pod en el siguiente formato: <
"nombre del puerto" protocolo del puerto
> (por ejemplo,"dns" UDP 53
) - Funciones de sistema disponibles del pod
- Nombre del volumen persistente que utiliza el pod
- Nombre de la solicitud de volumen persistente usada
- Nombre de la aplicación, espacio de nombres y clúster donde se encuentra el pod
Además, en la pestaña, puede hacer clic en Download *.yaml para generar y descargar un archivo con una descripción del pod.
- La pestaña Containers contiene la siguiente información sobre los contenedores en el pod:
- Nombre del contenedor
- Nombre de la imagen desde donde se desplegó el contenedor
- Estado del cumplimiento de la imagen desplegada: Compliant o Non-compliant
- Calificación máxima de riesgo de la imagen desplegada
- Número de problemas de seguridad en todos los tipos de riesgos (en el caso de vulnerabilidades, se especifica el número de problemas de seguridad y se detalla su gravedad)
- Fecha y hora del último análisis de la imagen desde la cual se despliega el contenedor
- Lista de puertos usados por los contenedores del pod en el siguiente formato: <
"nombre del puerto" protocolo del puerto
> - Propiedades adicionales del contenedor (
- La pestaña Policies muestra información sobre las directivas de certeza y las directivas referentes a la ejecución que se usan en el pod. La información sobre las directivas aparece en dos secciones (Assurance policies y Runtime policies), al igual que la información mostrada sobre las directivas usadas cuando se visualiza información sobre la aplicación en el gráfico.
Para ver una descripción detallada de las directivas, debe tener los derechos necesarios para verlas. Los derechos de gestión de directivas son necesarios para modificar su configuración.
Visualizar detalles acerca de los objetos del gráfico de la aplicación en la tabla
Para ver información sobre los objetos en el gráfico con aplicaciones en una tabla:
- Realice una de las siguientes acciones:
- Haga clic en el icono de espacio de nombres (
) que indica el número de aplicaciones dentro del espacio de nombres en el gráfico.
- Haga clic en el icono del grupo de aplicaciones dentro del espacio de nombres (
).
- Haga clic en el icono de espacio de nombres (
- En el menú que se abre, elija Open in table.
La solución abre una tabla que contiene información sobre las aplicaciones en la parte inferior del espacio de trabajo, debajo del gráfico. Kaspersky Container Security muestra la siguiente información:
- Lista de aplicaciones en el espacio de nombres y sus tipos (tipos de los objetos principales)
- Número de pods y contenedores en cada aplicación
- Calificación máxima de riesgo asignada a los objetos del espacio de nombres
- Estado del cumplimiento con las directivas de seguridad: Compliant o Not Compliant
Resaltar objetos en el gráfico
Para resaltar objetos en el gráfico:
- Haga clic en el botón Highlight objects que se encuentra encima del gráfico.
Kaspersky Container Security abre una barra lateral desde donde puede configurar los objetos resaltados.
- Elija las casillas de verificación para especificar los valores de los siguientes parámetros de configuración:
- Risk rating. Puede elegir uno o más niveles de riesgo (Critical, High o Medium). Si no elige las casillas de verificación, los objetos en el gráfico no se resaltan.
Las casillas de verificación de los valores Critical y High están seleccionadas de forma predeterminada.
- Compliance. Si elige la casilla de verificación Non-compliant, Kaspersky Container Security resalta los objetos que no cumplen con las directivas de seguridad en uso. Si elige esta casilla de verificación, los objetos en el gráfico no se resaltarán, sin importar si cumplen o no con los estándares.
De forma predeterminada, Non-compliant está especificada.
- Risk rating. Puede elegir uno o más niveles de riesgo (Critical, High o Medium). Si no elige las casillas de verificación, los objetos en el gráfico no se resaltan.
- Haga clic en Apply.
Kaspersky Container Security actualiza el gráfico y muestra los objetos según la configuración.
Para cada usuario, la solución guarda la configuración de resaltado que el usuario ha especificado y la aplica al mostrar los objetos del clúster cuando el usuario visualice esto luego.
Configurar la visibilidad de objetos en el gráfico
De forma predeterminada, Kaspersky Container Security muestra todos los espacios de nombres del clúster en el gráfico. De ser necesario, puede ocultar los espacios de nombres si estos y sus objetos no son relevantes para la tarea de análisis específica.
Puede configurar la visibilidad de los objetos en el gráfico en los siguientes sitios:
- En el gráfico
- En la tabla que contiene información sobre el objeto secundario
Para ocultar un espacio de nombres desde el gráfico:
- Haga clic en el icono del objeto en el gráfico.
- En el menú que se abre, elija Hide.
Kaspersky Container Security actualiza el gráfico y oculta el objeto.
Puede restablecer la visibilidad del objeto desde la tabla que contiene información detallada sobre el objeto o grupo de objetos principales.
Para configurar la visibilidad de los espacios de nombres desde la tabla:
- En la tabla que contiene espacios de nombres como parte de la columna, elija uno o más objetos para los cuales desee modificar la configuración de visibilidad.
- Use los botones que se encuentran por encima de la tabla para realizar una de las siguientes acciones:
- Para mostrar el objeto en el gráfico, haga clic en Show on graph.
- Para ocultar el objeto en el gráfico, haga clic en Hide on graph.
Kaspersky Container Security actualiza el gráfico y muestra los objetos según la configuración. En la columna Data display, podrá ver si el objeto se muestra o no en el gráfico.
Gráfico con conexiones de red
Kaspersky Container Security muestra las interacciones de red entre los objetos en el gráfico y también proporciona información sobre las conexiones de red entre los recursos del clúster.
Para ver las conexiones de red en el clúster:
- En la sección Resources → Clusters, vaya a la pestaña Graph view.
- Haga clic en el botón Network connections que se encuentra encima del área del gráfico.
La solución abre la barra lateral que contiene los tipos de conexiones de red disponibles para su visualización.
- Elija las casillas de verificación de las opciones de visualización de una o más conexiones de red. Puede elegir las siguientes opciones de visualización:
- Show Audit-mode connections . Así mostrará las conexiones de red detectadas según las directivas referentes a la ejecución aplicadas en el modo Audit.
- Show Enforce-mode connections. Así mostrará los intentos de conexiones de red bloqueados según las directivas referentes a la ejecución aplicadas en el modo Enforce.
- Show all the rest connections. Así mostrará las conexiones de red no alcanzadas por las directivas referentes a la ejecución en los modos Audit y Enforce.
- Haga clic en Apply.
El gráfico volverá a cargarse y se mostrarán las conexiones de red elegidas.
Principios para mostrar las procesos de red
En Kaspersky Container Security, se aplican los siguientes procesos para mostrar las conexiones de red en el gráfico:
- La solución muestra las conexiones como bordes entre dos objetos (grupos de objetos dentro de un clúster) o entre un objeto (grupo de objetos) y los recursos externos al clúster. Una flecha en el gráfico apunta desde el objeto del emisor al objeto del destinatario. Si los mismos tipos de conexiones de red (por ejemplo, conexiones en el modo de auditoría) ocurren entre un par de objetos vinculados por una conexión de red y el tráfico entre los objetos sea bidireccional, la solución representa esta actividad con una flecha bidireccional.
- Si el objeto del destinatario es externo al clúster, la infraestructura o el alcance pertinente asignado al usuario, la solución lo indica con Resources out of cluster or scope.
- El gráfico muestra las conexiones de red con un grupo de espacios de nombres o aplicaciones si se detecta tráfico entrante o saliente que involucre al menos a un objeto en dicho grupo. Si expande un grupo para ver sus objetos, se muestra la conexión con el recurso específico.
- Si hay múltiples conexiones que van desde un objeto a otro, la solución prioriza las conexiones de red al mostrarlos. Las conexiones en el modo de aplicación tienen la prioridad más alta, mientras que las demás conexiones tienen la prioridad más baja.
La solución muestra diferentes tipos de conexiones de red de la siguiente manera:
- En el gráfico, la conexión en el modo de aplicación se muestra con una línea roja punteada (
).
- En el gráfico, la conexión en el modo de auditoría se muestra con una línea roja fija y una flecha (
).
- En el gráfico, las demás conexiones se muestran con una línea negra fija y una flecha (
).
- En el gráfico, las conexiones de red bidireccionales se muestran con una línea que corresponde a uno de los tipos de actividad y flechas en ambos extremos (
).
- Si coloca el cursor sobre una línea de conexión de red en el gráfico, esta se resaltará y cambiará el color (
).
Visualizar información acerca de las conexiones de red
Kaspersky Container Security puede proporcionar información resumida y detallada de las conexiones de red.
Para ver un resumen acerca de una conexión de red:
Coloque el cursor sobre la conexión de red que desee consultar:
La solución mostrará un mensaje emergente que detalla el número de conexiones generales de cada tipo de conexión de red (para las conexiones en modos de aplicación o de auditoría y otras conexiones).
Para ver información detallada acerca de una conexión de red:
Haga clic en la conexión que desee consultar.
Kaspersky Container Security abre la barra lateral que contiene información sobre las conexiones de red de la conexión elegida.
La barra lateral muestra información sobre las conexiones de red durante los 15 minutos anteriores a que se abriera la barra lateral. En las pestañas Audit-mode connections, Enforce-mode connections y Other connections, se puede encontrar información sobre las conexiones de red en forma de tablas. El número de conexiones figura junto a los nombres de las pestañas.
Las tablas tienen la misma estructura y contienen la siguiente información:
- En la columna Source, verá el nombre del pod emisor del tráfico de red y la dirección IP del pod en el formato
<dirección IP del pod:puerto de tráfico saliente>
. Puede hacer clic en el enlace en el nombre del pod para abrir una descripción detallada del pod. - En la columna Protocol, verá el protocolo de interacción del pod.
- En la columna Destination, verá el nombre del pod destinatario del tráfico de red y la dirección IP del pod en el formato
<dirección IP del pod:puerto de tráfico entrante>
. Puede hacer clic en el enlace en el nombre del pod para abrir una descripción detallada del pod. - En la columna Number of connections, verá el número total de conexiones generales entre el emisor y el destinatario del tráfico.
- En la columna Last connection, verá la fecha y hora de la última conexión general entre el emisor y el destinatario del tráfico.
Si el objeto del emisor o el objeto del destinatario es externo al clúster pertinente, en las columnas Source o Destination, se muestra el nombre de dominio y la dirección IP de dicho objeto (si la solución puede obtener esta información).
Mostrar gráfico según el alcance correspondiente
Al mostrar los recursos de un clúster en el gráfico, se considera el alcance asignado al rol del usuario. En este caso, se debe considerar lo siguiente:
- Si el alcance predeterminado se asigna al rol del usuario, el gráfico mostrará todos los recursos del clúster.
- Si un alcance con acceso a una imagen específica dentro del espacio de nombres se asigna al rol del usuario, el gráfico mostrará todo el espacio de nombres (es decir, se muestran todas las entidades en el espacio de nombres).
- Si un alcance sin acceso a espacios de nombres específicos se asigna al rol del usuario, dichos espacios de nombres no se mostrarán en el gráfico.
Si no hay espacios de nombres para mostrar para el clúster elegido según el alcance asignado, la solución le informará de la falta de datos para mostrar.
Trabajar con imágenes de registros
En la sección Resources → Registries, encontrará una lista de los repositorios de imágenes que analizó Kaspersky Container Security y los resultados de dichos análisis. La lista incluye imágenes de los registros integrados a Kaspersky Container Security. Puede añadir imágenes a la lista de forma manual o automática.
La lista de imágenes estará vacía hasta que configure la integración a registros y la extracción y el análisis de imágenes del registro en la sección Administration.
La lista de imágenes se muestra como una tabla y las imágenes se agrupan según el repositorio al que pertenecen.
En la sección Resources → Registries, puede realizar las siguientes acciones:
- Buscar imágenes por nombre o suma de verificación
La búsqueda se realiza solo en el registro de imágenes activas elegido. Si la imagen que busca no está en el registro elegido, pero forma parte de otro registro, la búsqueda no arroja resultados positivos.
- Filtrar la lista para mostrar imágenes que coincidan con los criterios especificados:
- Imágenes solo de registros especificados
- Imágenes que cumplen, o no, con los puntos de referencia
- Imágenes analizadas durante un período específico
- Imágenes para las que se identificaron determinados riesgos
- Comenzar el reanálisis de imágenes especificadas (el botón Rescan aparece encima de la tabla después de que elija una o más imágenes)
- Generar informes sobre las imágenes especificadas (el botón Create report aparece encima de la tabla después de que se elija una o más imágenes)
- Añadir imágenes a la lista y eliminar imágenes de la lista
- Consultar información detallada acerca de los resultados de los análisis de imágenes
Añadir y eliminar imágenes
Las imágenes de los registros integrados a Kaspersky Container Security pueden añadirse a la lista de imágenes automáticamente según la configuración de la extracción y el análisis de imágenes para cada registro. También puede añadir imágenes a la lista desde los registros de forma manual. Las nuevas imágenes se ponen en cola para su análisis.
Para añadir imágenes a la lista:
- En la sección Resources → Registries, haga clic en el botón Add images que se encuentra encima de la tabla.
No puede añadir imágenes a un registro de imágenes que se haya creado según la solicitud de un registro de Harbor externo.
- En la ventana, elija un registro de la lista desplegable Registry.
- En el campo Search, introduzca el nombre o la parte del nombre del repositorio o la imagen y haga clic en el botón Search.
- En Repositories, elija un repositorio.
- En Image tags, elija imágenes mediante las casillas de verificación.
Puede elegir imágenes de diferentes repositorios.
- Haga clic en el botón Add images.
Para optimizar la carga en registros de imágenes, se genera una lista de imágenes de los registros conectados cada 10 minutos. Después de que aparezca una nueva imagen en el registro, es posible que también tarde el mismo tiempo en aparecer en Kaspersky Container Security.
Para eliminar imágenes de la lista:
- En la sección Resources → Registries, realice una de las siguientes acciones:
- Elija una o más imágenes que desee eliminar de la lista y haga clic en el enlace Delete que se encuentra por encima de la tabla.
- En la lista, elija el repositorio que contiene las imágenes que desee eliminar, abra el menú de acciones en la fila que tiene el nombre del repositorio y elija Delete repository.
- En la ventana que se abre, confirme la eliminación.
Visualizar los resultados del análisis de imágenes de registros
Podrá encontrar información resumida sobre los resultados de los análisis de todas las imágenes en el repositorio y cada imagen específica en la lista de imágenes de los repositorios en la sección Resources → Registries.
Haga clic en el enlace del nombre para abrir una página que contiene información sobre los resultados de los análisis de las imágenes.
Las pestañas en la parte superior de la ventana contienen la siguiente información:
- En la pestaña Risk, se proporciona un resumen de los resultados de los análisis. Si se detectan amenazas durante un análisis, las acciones recomendadas para proteger la imagen estarán disponibles en la parte inferior de la página. Haga clic en el botón Rescan image para repetir el análisis de la imagen.
- En la pestaña Vulnerabilities, se pueden observar las vulnerabilidades detectadas en la imagen. Si hace clic en el enlace en el nombre de la vulnerabilidad, se abrirá una descripción detallada de la vulnerabilidad y podrá detectar si tiene un .
Kaspersky Container Security recibe una descripción de las vulnerabilidades desde la base de datos de vulnerabilidades conectada. Dicha descripción estará en el idioma de la base de datos de vulnerabilidades. Por ejemplo, una descripción de vulnerabilidades de la Base de datos nacional de vulnerabilidades (NVD) estará en inglés.
En la solución, la clasificación de vulnerabilidades coincide con la clasificación de la base de datos de vulnerabilidades conectada. - En la pestaña Layers, verá los niveles usados en la imagen y el detalle de las vulnerabilidades identificadas. Haga clic en el enlace del nombre del nivel para abrir una descripción detallada de las vulnerabilidades identificadas.
- En la pestaña Resources, verá los recursos (componentes) y el detalle de las vulnerabilidades identificadas. Haga clic en el enlace del nombre del recurso para abrir una descripción detallada de las vulnerabilidades identificadas.
- En Malware Scan, se enumera el malware que se detectó al analizar la imagen. Haga clic en el enlace del nombre del malware para abrir una descripción detallada.
- En la pestaña Sensitive data, podrá ver los datos confidenciales (secretos) hallados en la imagen, como contraseñas, claves de acceso o tokens.
- En la pestaña Misconfigurations, verá configuraciones incorrectas detectadas en la imagen que representan una amenaza. Haga clic en el enlace del nombre de la configuración incorrecta para abrir una descripción detallada.
- En la pestaña Information, verá información básica sobre la imagen y un historial de la imagen.
- En Hash scan history, verá los resultados del último análisis para cada versión de la imagen. Los resultados se actualizan si se analiza la misma versión de una imagen o se añaden como una fila separada en la tabla si se analiza una versión diferente de la imagen.
Para cada imagen, se muestra la siguiente información:
- Estado del cumplimiento con los requisitos de las directivas de seguridad.
- Clasificación de riesgo y nivel de gravedad del riesgo.
- Fecha y hora del último análisis.
- Número de objetos que contienen vulnerabilidades, malware, datos confidenciales y configuraciones incorrectas en la imagen. En el caso de las vulnerabilidades, el número de objetos se indica de forma independiente para cada nivel de gravedad.
- Los resultados del análisis de imágenes con las directivas de seguridad apropiadas dentro de los alcances actuales.
Si se incluye una imagen en el registro de imágenes creado durante la integración a la solución según una solicitud de Harbor, la solución lo indicará y marcará la imagen con el icono de Harbor ().
Si hace clic en el botón Create report, se generará un informe detallado de las imágenes. También puede iniciar el reanálisis de la imagen si hace clic en el botón Rescan.
El reanálisis no está disponible para las imágenes que recibe Kaspersky Container Security desde el registro de imágenes creado durante la integración a la solución según una solicitud de Harbor.
Puede aceptar cada riesgo identificado.
Inicio de página
Información detallada sobre vulnerabilidades detectadas
La lista de vulnerabilidades detectadas durante el análisis de las imágenes aparece en formato de tabla en la pestaña Vulnerabilities, en la ventana de resultados de análisis de imágenes. Tendrá la siguiente información sobre cada vulnerabilidad:
- Identificador de la entrada de la vulnerabilidad. El identificador tendrá el formato CVE-YYYY-X…, donde:
- CVE es el prefijo que indica que la vulnerabilidad aparece en la base de datos de vulnerabilidades y fallos de seguridad conocidos.
- YYYY es el año de detección de la vulnerabilidad.
- X… es el número que los entes autorizados asignaron a la vulnerabilidad.
- El nivel de gravedad se basa en su calificación de riesgo.
Si una vulnerabilidad contiene un exploit, el icono de exploit (
) se muestra junta al nivel de gravedad.
- Recurso instalado en el contenedor donde se detectó la vulnerabilidad.
- Si existe una corrección del proveedor para la vulnerabilidad. La solución indicará el número de versión que tiene la corrección o si no hay ninguna corrección disponible.
Puede hacer clic en el botón Accept, en la columna Risk acceptance, para aceptar el riesgo de la vulnerabilidad.
Para aceptar riesgos, es necesario tener derechos de gestión de riesgos.
Para ver información detallada sobre una vulnerabilidad detectada:
- Haga clic en el enlace del ID del registro de la vulnerabilidad en una de las siguientes secciones:
- En la pestaña Vulnerabilities, en la ventana de resultados de los análisis de imágenes
- En el bloque Vulnerabilities del panel
- En la tabla que contiene la lista completa de vulnerabilidades en la sección Investigation → Vulnerabilities
- Se abrirá la barra lateral que contiene la siguiente información sobre la vulnerabilidad detectada:
- Identificador de entrada de la vulnerabilidad.
- Descripción de la vulnerabilidad tomada de la base de datos de vulnerabilidades. Dicha descripción estará en el idioma de la base de datos de vulnerabilidades. Por ejemplo, las descripciones de las vulnerabilidades de la NVD aparecen en inglés.
- En la pestaña General information, verá la siguiente información:
- El nivel de gravedad se basa en su calificación de riesgo.
- Recurso instalado donde se detectó la vulnerabilidad.
- La puntuación de la gravedad de vulnerabilidades se basa en el estándar abierto de las bases de datos de vulnerabilidades de , y y en la puntuación de la gravedad de vulnerabilidades combinada final.
- En la pestaña Artifacts, verá información detallada sobre los artefactos para imágenes de registros y en ejecución o sobre objetos de CI/CD y la cantidad de artefactos existentes.
En el bloque de la imagen de un registro o en ejecución, se observa la siguiente información:
- Tipo de objeto y nombre de la imagen Image. Si los perfiles automáticos se crean sobre la base de la suma de verificación de esta imagen, aparecerá el icono de perfil automático (
) junto al nombre de la imagen.
Si hace clic en el nombre de la imagen, visitará la página que contiene información detallada sobre los resultados del análisis de imágenes.
Para ver información detallada, necesitará los derechos para ver los resultados de los análisis de imágenes.
- Sistema operativo de la imagen.
- Estado del cumplimiento de la imagen: Compliant o Not-compliant.
- Calificación de riesgo.
- Fecha y hora del último análisis de la imagen.
- Fecha y hora de la primera detección de la vulnerabilidad en la imagen.
En el bloque de un objeto de la canalización de CI/CD, se observa la siguiente información:
- Tipo de objeto (que se corresponde con el tipo de artefacto) y nombre del objeto.
Si hace clic en el nombre del artefacto, podrá visitar la página que contiene información detallada sobre los resultados del análisis de objetos en la etapa de compilación del proyecto.
Para ver información detallada, necesita derechos para ver los resultados de los objetos analizados en los procesos de CI/CD.
- Sistema operativo donde se analizó el objeto.
- Estado del cumplimiento de la imagen: Compliant o Not-compliant.
- Calificación de riesgo.
- Fecha y hora del último análisis de objetos.
- Fecha y hora de la primera detección de la vulnerabilidad en el objeto.
- Marca de tiempo del análisis del objeto en un proceso de CI/CD.
- Tipo de objeto y nombre de la imagen Image. Si los perfiles automáticos se crean sobre la base de la suma de verificación de esta imagen, aparecerá el icono de perfil automático (
- En la pestaña Workloads, verá una lista de los pods que contienen imágenes con dicha vulnerabilidad y cuántas hay. Tendrá la siguiente información sobre cada objeto:
- Nombre del clúster que contiene el pod en cuya imagen (o imágenes) se detectó la vulnerabilidad.
- Nombre del espacio de nombres que contiene el pod en cuya imagen se detectó la vulnerabilidad.
Si hace clic en el espacio de nombres, se abrirá el panel lateral del espacio de nombres en el gráfico.
- Nombre del pod en cuya imagen se detectó la vulnerabilidad.
Si hace clic en el espacio de nombres, se abrirá el panel lateral del pod en el gráfico.
- En la pestaña Risk acceptance, verá la siguiente información:
- Fecha de la aceptación de riesgos
- Período de la aceptación de riesgos
- Subconjunto
- Quién inició la aceptación de riesgos
- Motivo de la aceptación de riesgos
Podrá ver la pestaña Risk acceptance si tiene derechos para visualizar riesgos aceptados.
Para cada riesgo aceptado, podrá realizar las siguientes acciones.
- Hacer clic el icono
para configurar la duración de la aceptación del riesgo
- Hacer clic en el icono
para cancelar la aceptación de riesgos
En esta pestaña, también podrá hacer clic en el botón Add risk acceptance para añadir una aceptación del riesgo a la vulnerabilidad.
Se requieren derechos de "gestión de riesgos" para editar la configuración de aceptación de riesgos.
Información detallada sobre el malware detectado
Si se detecta malware durante el análisis de la imagen, la solución mostrará esto en la página e información sobre los resultados del análisis de la imagen. Para ver información detallada sobre el objeto malicioso detectado, en la ventana que contiene los resultados del análisis de la imagen, elija la pestaña Malware scan.
Para cada objeto, la solución genera un hash SHA256 o MD5 e indica la ruta a la ubicación donde se detectó el objeto malicioso.
Puede ver información detallada sobre objetos maliciosos detectados en las bases de datos de ciberamenazas creadas en
y . Si desea obtener información detallada, haga clic en el enlace a los recursos de Kaspersky OpenTIP y Kaspersky TIP.Se encuentra a disposición del público una página con la descripción de una amenaza en el portal de Kaspersky OpenTIP. Los usuarios deben introducir las credenciales de su cuenta para acceder a Kaspersky TIP.
Control de configuraciones incorrectas de imágenes
Kaspersky Container Security permite detectar configuraciones incorrectas al analizar archivos de configuración. Se analizan imágenes, sistemas de archivos y repositorios que contienen archivos IaC (por ejemplo, Terraform, CloudFormation, plantillas de Azure ARM, paquetes de Helm Chart y Dockerfile).
Kaspersky Container Security analiza los siguientes archivos de configuración:
- Archivos de configuración de objetos de Kubernetes
- Archivos de configuración de componentes de clústeres
- Archivos de configuración de imágenes
- Archivos de configuración de servicios de entornos en la nube de Amazon
- Archivos de configuración de servicios de entornos en la nube de Azure
- Archivos de configuración del entorno de nube de DigitalOcean
- Archivos de configuración del entorno de nube de ApacheCloudStack
- Archivos de configuración de Terraform GitHub Provider
- Archivos de configuración de servicios de entornos en la nube de Google
- Archivos de configuración de Nifcloud Provider
- Archivos de configuración de OpenStack
- Archivos de configuración de Oracle Compute Cloud
En la tabla siguiente, se enumeran los tipos y formatos de archivos de configuración que admite Kaspersky Container Security.
Tipos y formatos de archivos de configuración
Tipo de archivo |
Formato de archivo |
---|---|
Kubernetes |
*.yml, *.yaml y *.json |
Docker |
Dockerfile y Containerfile |
Terraform |
*.tf, *.tf.json y *.tfvars |
Terraform Plan |
tfplan, *.tfplan y *.json |
CloudFormation |
*.yml, *.yaml y *.json |
Plantilla de Azure ARM |
*.json |
Helm |
*yaml, *.tpl y *.tar.gz |
YAML |
*.yaml y *.yml |
JSON |
*.json |
Acerca de la calificación de riesgos
Cuando Kaspersky Container Security realiza un análisis, se califica el riesgo del objeto analizado. Durante el análisis, la solución podría detectar algunos de los siguientes problemas de seguridad en los objetos:
- Vulnerabilidades
- Malware
- Datos confidenciales
- Configuraciones incorrectas
Cada riesgo detectado recibe una de las siguientes calificaciones de riesgo, sobre la base de la gravedad de las amenazas de seguridad:
- Negligible
- Low
- Medium
- High
- Critical
Si no se detectan problemas de seguridad durante el análisis, se considera que la imagen es segura y recibe la marca Ok.
Las calificaciones de riesgo de las vulnerabilidades, el malware, los datos confidenciales y las configuraciones incorrectas que se detecten corresponden con las calificaciones especificadas en las bases de datos de amenazas de seguridad que se utilizan en los análisis (por ejemplo, la Base de datos nacional de vulnerabilidades y la Base de datos de amenazas a la seguridad). Estas bases de datos de vulnerabilidades y amenazas emplean escalas de puntuación de amenazas especiales para evaluar la gravedad de las amenazas de seguridad. Por ejemplo, en la Base de datos nacional de vulnerabilidades se aplica el Sistema de puntuación común de vulnerabilidades (CVSS).
El objeto recibe el nivel de gravedad más alto de todos los detectados y la calificación de riesgo adecuada.
Por ejemplo, durante el análisis de un objeto se detectaron las siguientes amenazas de seguridad:
- Vulnerabilidades con nivel de gravedad bajo
- Datos confidenciales con niveles de gravedad alto y crítico
- Errores de configuración con nivel de gravedad medio
- Malware con nivel de gravedad bajo
En este caso, la calificación de riesgo es crítica según el nivel de gravedad más alto de las amenazas detectadas.
Inicio de página
Gestión de riesgos
Las amenazas que identifique Kaspersky Container Security (vulnerabilidades, malware, datos confidenciales y configuraciones incorrectas) quedan sujetas a un procedimiento de aceptación de riesgos. Si acepta el riesgo de la amenaza, no se considerará según las directivas de certeza al determinar el estado de seguridad de la imagen (En cumplimiento/En incumplimiento [Compliant/Non-compliant] con las directivas de seguridad) durante el período de aceptación especificado. El análisis de imágenes continúa con la detección de la amenaza, pero no la etiqueta como En incumplimiento (Non-compliant).
Si acepta el riesgo de la vulnerabilidad detectada en una imagen, se acepta el riesgo en el registro de imágenes específico. Si se acepta el riesgo de todas las vulnerabilidades en una imagen, se considera que la imagen cumple con los requisitos de las directivas de seguridad y su estado cambia a Compliant.
Si modifica la configuración de la directiva de certeza aplicada a las imágenes, también se modificará el estado de seguridad de la imagen.
De forma predeterminada, el riesgo de una amenaza se acepta por un período de 30 días. Puede ampliar este período. También puede cancelar la aceptación del riesgo cuando lo desee. Si cancela la aceptación del riesgo, la amenaza asociada afectará al estado de seguridad de la imagen.
Puede ver la lista de riesgos aceptados en la sección Policies → Risk acceptance.
Aceptación de riesgos
Al aceptar los riesgos que detecte la solución debe considerar lo siguiente:
- En el caso de las vulnerabilidades, los errores de configuración y los datos confidenciales, puede aceptar riesgos con todos los niveles de gravedad.
- En el caso del malware, solo puede aceptar los riesgos que tengan los niveles de gravedad Medio (Medium), Bajo (Low) e Insignificante (Negligible).
No puede aceptar los riesgos con niveles de gravedad Alto (High) ni Crítico (Critical).
Puede aceptar riesgos desde las siguientes secciones:
- En la ventana de resultados de los análisis de imágenes, puede aceptar los riesgos asociados con todos los tipos de amenazas (vulnerabilidades, malware, configuraciones incorrectas y datos confidenciales) que se detecten al analizar una imagen específica.
- En la sección Investigation → Vulnerabilities, se pueden aceptar los riesgos de todas las vulnerabilidades que detecte la solución. Los riesgos se aceptan en relación con todos los artefactos detectados durante el proceso de análisis, incluidos los objetos de CI/CD.
Para aceptar riesgos, es necesario tener derechos de gestión de riesgos.
Para aceptar un riesgo sobre la base de los resultados del análisis de imágenes:
- En la ventana de resultados de los análisis de imágenes, abra la pestaña que contiene información sobre el tipo de amenaza que desea aceptar.
- En la tabla, elija una amenaza y haga clic en el botón Accept, en la columna Risk acceptance.
- En la ventana que se abre, defina los parámetros de aceptación de riesgos:
- Elija el alcance de la aceptación de riesgos:
- Para la imagen elegida que tiene el riesgo detectado
- Para todas las imágenes en el repositorio que contienen la amenaza de seguridad detectada
- Para todas las imágenes donde se haya detectado, o se detectará, esta amenaza de seguridad
- Especifique el período después del cual debe reconsiderarse la amenaza de seguridad al determinar el estado de seguridad de la imagen.
- Detalle la razón para aceptar el riesgo.
- Elija el alcance de la aceptación de riesgos:
- Haga clic en el botón Accept.
La amenaza elegida no afecta al estado de seguridad de la imagen especificada, las imágenes en el repositorio o todas las imágenes durante el período establecido (o un período ilimitado).
En la sección Policies → Risk acceptance, puede visualizar un riesgo aceptado.
Para aceptar el riesgo de una vulnerabilidad detectada:
- Haga clic en el ID del registro de la vulnerabilidad en una de las siguientes secciones:
- En la pestaña Vulnerabilities, en la ventana de resultados de los análisis de imágenes.
- En la sección Investigation → Vulnerabilities.
- En la barra lateral que se abre, vaya a la pestaña Risk acceptance.
Podrá ver la pestaña Risk acceptance si tiene derechos para visualizar riesgos aceptados.
- Haga clic en el botón Add risk acceptance.
- En la ventana que se abre, defina los parámetros de aceptación de riesgos:
- Elija el alcance de la aceptación de riesgos:
- Para el artefacto elegido (imagen u objeto de CI/CD)
- Para el repositorio que contiene el objeto con la vulnerabilidad detectada
- Para los artefactos donde se detectó la vulnerabilidad
- Para todos los artefactos, incluidos aquellos que la solución podría encontrar en análisis posteriores
Se asume el riesgo sin importar el alcance.
- Detalle un período de entre 1-999 días después del cual se revocará la aceptación del riesgo de dicha vulnerabilidad. De forma predeterminada, el período es de 30 días.
- Detalle la razón para aceptar el riesgo.
- Elija el alcance de la aceptación de riesgos:
- Haga clic en el botón Add.
En la pestaña Risk acceptance, verá el riesgo aceptado de la vulnerabilidad. También puede visualizarlo en la sección Policies → Accepted risks.
Inicio de página
Visualizar información acerca de riesgos aceptados
Puede ver la lista de riesgos aceptados en la sección Policies → Risk acceptances.
Puede utilizar la lista para hacer lo siguiente:
- Buscar por nombre de riesgo, nombre de repositorio, imagen o recurso donde se haya detectado el riesgo.
- Filtrar la lista por tipo de riesgo y disponibilidad de correcciones del fabricante.
- Generar un informe de aceptación de riesgos con un clic en el botón Create report que se encuentra encima de la tabla.
- Ordenar la lista por fecha de aceptación, nombre de riesgo, alcance (aplicado a todas las imágenes o solo a una) y período de aceptación. Debe hacer clic en el icono de orden (
).
- Visualizar información detallada sobre la aceptación de riesgos y la amenaza asociada. Haga clic en el enlace del nombre del riesgo para abrir la ventana que contiene información detallada relacionada.
Utilice los botones que se encuentran en la ventana de información detallada para realizar lo siguiente:
- Especificar o extender el período después del cual debe reconsiderarse la amenaza de seguridad al determinar el estado de seguridad de la imagen
- Cancelar la aceptación de riesgos
También puede consultar información sobre riesgos aceptados en la lista de amenazas detectadas en los resultados de los análisis de imágenes. En la fila que contiene la amenaza con el riesgo aceptado, puede encontrar la fecha de aceptación del riesgo. Puede hacer clic en el enlace para abrir una ventana que contiene información detallada sobre la aceptación de riesgos y la amenaza asociada.
En la sección Investigation → Vulnerabilities, también puede encontrar información sobre la aceptación de riesgos para una vulnerabilidad en particular en la tabla que contiene la lista de todas las vulnerabilidades que detectó la solución. En la columna Risk acceptance, verá el número de artefactos (imágenes, objetos de CI/CD) para los cuales se aceptó el riesgo.
Para poder ver los riesgos aceptados de una vulnerabilidad, necesita tener derechos de visualización de riesgos aceptados.
La información sobre los riesgos aceptados se muestra sin importar los alcances.
En la descripción detallada de la vulnerabilidad, en la pestaña Risk acceptance, podrá consultar información detallada sobre cada riesgo aceptado para una vulnerabilidad en particular.
Inicio de página
Cancelar la aceptación de riesgos
Para cancelar la aceptación de riesgos:
- En una de las siguientes secciones, abra la tabla que contiene la lista de objetos donde se detectó el riesgo:
- En la pestaña que se corresponde con el riesgo en la ventana de resultados de los análisis de imágenes
- En la sección Investigation → Vulnerabilities
- Elija un riesgo y haga clic en el botón Edit, en la columna Risk acceptance.
El botón Edit aparece solo para los riesgos aceptados previamente.
- Haga clic en el botón Revoke y confirme su decisión en la ventana que se abre.
Si hace clic en el icono , en la pestaña Risk acceptance, también puede revocar la aceptación de riesgos de las vulnerabilidades desde la ventana que contiene información detallada acerca de la vulnerabilidad.
Al cancelar la aceptación de riesgos, la amenaza asociada volverá a afectar al estado de seguridad de las imágenes para las cuales se aceptó el riesgo.
Inicio de página
Analizar paquetes Java en imágenes
Kaspersky Container Security puede analizar los paquetes Java en las imágenes de un registro. Para ello, la solución emplea bases de datos sobre vulnerabilidades de Java.
Podrá analizar paquetes Java en Kaspersky Container Security 1.2.1 y versiones posteriores. Si tiene una versión anterior, deberá actualizar la solución a la versión 1.2.1 para usar esta funcionalidad.
Para configurar el análisis de paquetes Java, debe configurar el valor de la variable de entorno ENABLE_JAVA_VULN
en el archivo values.yaml. Si ENABLE_JAVA_VULN = true
, Kaspersky Container Security realizará el análisis con bases de datos sobre vulnerabilidades de Java. Si ENABLE_JAVA_VULN = false
, no se analizarán paquetes Java.
De forma predeterminada, ENABLE_JAVA_VULN
tiene el valor false
.
A partir de la versión 1.2.1, el componente kcs-updates en el kit de distribución contiene bases de datos sobre vulnerabilidades de Java. Con este componente, debería asegurarse de que las variables de entorno en el archivo values.yaml se definan de la siguiente manera:
ENABLE_JAVA_VULN = true
KCS_UPDATES_TAG=vX.Х.Х
(el valor de la variable de la versión se especifica según la versión de la solución)KCS_UPDATES=true
Si el análisis de paquetes Java está activado (ENABLE_JAVA_VULN = true
), el componente kcs-scanner de la solución descarga las bases de datos sobre vulnerabilidades de Java y notifica a los componentes kcs-middleware y kcs-ih en consecuencia. A continuación, el componente kcs-ih recibe los archivos de la base de datos de kcs-scanner, organiza y valida la base de datos y la usa durante el análisis.
Las vulnerabilidades halladas con la base de datos sobre vulnerabilidades de Java se muestran en los resultados de los análisis de imágenes.
Además, Kaspersky Container Security puede analizar paquetes Java en imágenes en registros externos y durante el proceso de CI/CD al realizar un análisis externo. En este caso, debe realizar el análisis con la etiqueta vX.Х.Х-with-db-java, que contiene una base de datos sobre vulnerabilidades de Java preinstalada. La configuración y el uso de este análisis son similares a los del análisis vX.Х.Х-with-db.
Investigar eventos de seguridad
Para investigar eventos de seguridad que sucedan en contenedores y vulnerabilidades que se detecten en imágenes, Kaspersky Container Security le permite realizar los siguientes análisis:
- Análisis forense de contenedores. Con la solución, puede identificar eventos en contenedores sobre la base de los procesos en ejecución, las operaciones en archivos, el tráfico de red y el malware detectado.
- Análisis de vulnerabilidades. Con la solución, obtendrá una lista de las vulnerabilidades que se detectaron durante el análisis estático de las imágenes del registro, los análisis de imágenes en entornos de ejecución y los objetos de CI/CD.
Análisis forense de contenedores
En la sección Investigation → Container forensic, Kaspersky Container Security le permite organizar los eventos que hayan ocurrido en los contenedores para un siguiente análisis. La información sobre estos eventos se presentará en formato de tabla.
Podrá ver esta sección si tiene los derechos para visualizar eventos.
En la tabla, verá la siguiente información sobre los eventos:
- Fecha y hora del evento
- Tipo de evento: Process, File operations, Network traffic o File Threat Protection
- Información adicional, exhibida de la siguiente forma:
- Para la ejecución de un proceso, se indica el comando ejecutado en el contenedor.
- Para operaciones en archivos, se indica el tipo de operación (por ejemplo, escritura o eliminación).
- Para el tráfico de red, se indica el emisor y el destinatario del tráfico, es decir, el nombre del pod o dominio del emisor, los puertos y las direcciones IP.
- Para eventos generados por el componente Protección frente a amenazas en archivos, se indica el nombre del malware detectado.
- Modo de la directiva referente a la ejecución: Audit o Enforce
- Nombre y ruta completa del archivo ejecutable en el contenedor que se iniciará (en el caso de operaciones en archivos, se muestra la ruta al archivo como nombre y ubicación del archivo o directorio en el sistema de archivos del contenedor donde se realizó la acción)
Con los filtros, puede modificar la visualización de la información en la tabla de la siguiente manera:
- Por tipo de evento:
- Procesos en ejecución
- Operaciones en archivos
- Tráfico de red
- Malware detectado por el componente Protección frente a amenazas en archivos
- Por fecha del evento (debe especificar la fecha y la hora del evento). De forma predeterminada, la solución muestra los eventos del día actual.
- Por ruta o datos del evento (debe introducir los datos o la ruta en el campo de búsqueda).
Si hace clic en la fila del evento en la tabla, podrá expandir la barra lateral que contiene información detallada sobre el evento elegido.
Inicio de página
Buscar datos forenses sobre contenedores
En Investigation → Container forensic, puede buscar eventos que ocurrieron en contenedores.
Para buscar eventos de seguridad que ocurrieron en el contenedor:
En el campo Search by event data and path, introduzca la fecha del evento que busca.
Según el tipo de evento, deberá especificar los siguientes datos:
- ID o nombre del contenedor (para todos los tipos de eventos)
- Ruta a los archivos (para los eventos Process, File operations o File Threat Protection)
- Dirección IP o nombre de dominio (para el evento Network traffic)
En la solución, verá los resultados de la búsqueda en la tabla de eventos de seguridad, en la sección Investigation → Container forensic.
Inicio de página
Información detallada sobre un proceso en ejecución
Para ver información detallada sobre un proceso en ejecución:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento Process en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se inició el proceso
- Comando usado para iniciar el proceso, incluidos los argumentos
- Ruta al archivo o directorio
- Modo de la directiva referente a la ejecución
- En la sección Location details, verá la siguiente información sobre el contenedor donde se inició el proceso:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, verá los siguientes datos sobre el proceso en ejecución:
- ID del proceso principal (PPID)
- ID del proceso (PID) y un nuevo PID
- ID del usuario vigente (EUID)
- ID del grupo vigente (EGID)
- ID del grupo (GID)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor que tienen los procesos en ejecución. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre operaciones en archivos
Para ver información detallada sobre operaciones en archivos, realice lo siguiente:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento File operations en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se realizó la operación en el archivo
- Tipo de operación en archivo (por ejemplo, Create o Delete)
Ejemplos de operaciones en archivos en Kaspersky Container Security
- Ruta al archivo o directorio
- Nueva ruta al archivo o directorio (solo mostrada para la operación Rename or move)
- Nuevos permisos (solo mostrados para la operación Change access permissions)
- Modo de la directiva referente a la ejecución
- Código del error
- En el bloque Location details, verá la siguiente información sobre el contenedor donde se hallaron las operaciones en archivos:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, encontrará los siguientes datos sobre el proceso donde se hallaron las operaciones en archivos:
- ID del proceso principal (PPID)
- ID del proceso (PID) y un nuevo PID
- ID del usuario (UID)
- ID del grupo
- ID del usuario vigente (EUID)
- ID del grupo vigente (EGID)
- UID del nuevo propietario (solo mostrado para la operación Change ownership)
- GID del nuevo propietario (solo mostrado para la operación Change ownership)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectaron las operaciones en archivos. Para cada directiva, en la solución se muestra el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre el tráfico de red
Para ver información detallada sobre operaciones en archivos, realice lo siguiente:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento Network traffic en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se realizó la operación en el archivo
- Modo de la directiva referente a la ejecución
- Tipo de tráfico: conexión de entrada o salida
- En la sección Source, verá la siguiente información sobre la conexión:
- Nombre del pod o dominio del emisor en la conexión. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Dirección IP del emisor del tráfico de red.
- Puerto usado para la conexión.
- Nombre del pod o dominio del emisor en la conexión. Puede ver información detallada del pod si hace clic en el nombre del pod.
- En la sección Destination, verá la siguiente información sobre la conexión:
- Nombre del pod o dominio del destinatario del tráfico de red. Puede ver información detallada del pod si hace clic en el nombre del pod.
- Dirección IP del destinatario del tráfico de red.
- Puerto usado para la conexión
- En la sección Location details, verá la siguiente información sobre el contenedor donde se detectó tráfico de red:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectaron las conexiones de red. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Información detallada sobre objetos maliciosos detectados
Para ver información detallada sobre objetos maliciosos detectados:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento File Threat Protection en la tabla.
- En la barra lateral que se abre, vaya a la pestaña Information.
Kaspersky Container Security muestra la siguiente información:
- En la sección General information, verá la siguiente información general:
- Fecha y hora en que se detectó el malware
- Nombre del malware
- Tipo de malware detectado (por ejemplo, un virus)
- Nivel de gravedad del malware
- Sumas de verificación del archivo en los formatos MD5 o SHA286
- Tipo de evento (por ejemplo, amenaza detectada)
- Ruta al archivo o directorio
- ID del propietario
- ID del objeto
- Modo de la directiva referente a la ejecución
- Modo interceptor de archivos (el interceptor de archivos se ejecuta sin considerar el modo de la directiva referente a la ejecución)
- En la sección Location details, verá la siguiente información sobre el contenedor donde se detectó el malware:
- ID y nombre del contenedor.
- Nombre y suma de verificación de la imagen. Si hace clic en el nombre de la imagen, podrá abrir la página que contiene los resultados del análisis de la imagen.
Para ver los resultados del análisis de una imagen, debe tener los derechos pertinentes. También deberá tener acceso al alcance de los clústeres.
- Nombre del pod. Puede ver información detallada del pod si hace clic en el nombre del pod.
Para ver y gestionar los recursos de un clúster debe tener los derechos correspondientes. También deberá tener acceso al alcance correspondiente.
- Nombre del espacio de nombres
- Nombre del clúster
- Dirección IP y nombre del host.
- En la sección Process, verá la siguiente información sobre el proceso donde se detectó el malware:
- ID del proceso (PID) y un nuevo PID
- ID del usuario vigente (EUID)
- En la tabla en Runtime policies impacting the container, verá una lista de todas las directivas referentes a la ejecución que podrían aplicarse al contenedor donde se detectó el malware. Para cada directiva, en la solución se muestran el nombre y el modo.
Si hace clic en el nombre de la directiva, podrá abrir la barra lateral que contiene una descripción detallada. La información de la directiva se muestra de forma similar a como se exhibe la información de las directivas aplicadas al ver información de una aplicación en el gráfico. Al ver información sobre las directivas, puede haber ciertas limitaciones.
Restricciones para directivas referentes a la ejecución
Para cada tipo de evento, Kaspersky Container Security muestra una lista de las directivas referentes a la ejecución que pueden aplicarse al contenedor donde se halló el evento de seguridad. La lista de directivas está disponible bajo las siguientes condiciones:
- Si el usuario tiene los derechos para gestionar las directivas referentes a la ejecución y tiene el mismo rol que el autor de la directiva, el usuario tendrá acceso a toda la información sobre las directivas y también podrá modificar la configuración de la directiva referente a la ejecución.
- Si el usuario tiene los derechos para ver las directivas referentes a la ejecución, el usuario tendrá acceso a toda la información sobre las directivas.
- Si el usuario no tiene los derechos para ver las directivas referentes a la ejecución, el usuario no podrá ver una descripción detallada de la directiva referente a la ejecución. El usuario solo tendrá acceso a la información sobre la lista de directivas referentes a la ejecución pertinentes en la pestaña Information, en la barra lateral que contiene una descripción detallada del evento de seguridad.
Análisis forense de contenedores considerando eventos próximos en el tiempo
Al investigar un evento, debe prestar atención y analizar los eventos que ocurrieron antes y después del evento en cuestión.
Para ver los eventos que ocurrieron antes y después del evento en cuestión:
- En la sección Investigation → Container forensic, haga clic en cualquier sitio de la fila de un evento en la tabla.
- Vaya a la pestaña Adjacent events.
De forma predeterminada, la solución muestra una tabla que contiene la siguiente información:
- El evento examinado
- 3 eventos que ocurrieron antes del evento en cuestión
- 46 eventos que ocurrieron después del evento en cuestión
Para cada evento, también podrá visualizar los eventos que ocurrieron en un rango de 90 días. Por ejemplo, si está viendo un evento del día de hoy, podrá abrir los eventos de los 90 días anteriores. Si un evento ocurrió hace 45 días, podrá abrir los eventos que ocurrieron hasta 45 días antes del evento en cuestión.
Para cada evento en la tabla, la solución muestra la siguiente información:
- Fecha y hora del evento
- Tipo de evento
- Información adicional del evento
- Ruta completa
Si hace clic en la fila del evento en la tabla, podrá abrir la barra lateral que contiene información detallada sobre el evento elegido.
También puede descargar información sobre todos los eventos con una descripción detallada de cada uno en formato de texto.
Inicio de página
Analizar vulnerabilidades detectadas
Kaspersky Container Security detecta vulnerabilidades mediante un análisis estático de imágenes de registros, análisis de imágenes en entornos de ejecución y objetos de CI/CD. Para fines de análisis, la lista completa de vulnerabilidades detectadas se presenta en forma de tabla en la sección Investigation → Vulnerabilities.
En la tabla, se enumera la siguiente información para cada vulnerabilidad detectada:
- En la columna Vulnerability, verá el ID de la entrada de la vulnerabilidad. Si hace clic en el identificador, podrá abrir una página con información detallada sobre la vulnerabilidad detectada en la imagen.
- En la columna Severity, verá el nivel de gravedad de la vulnerabilidad detectada y si contiene un exploit.
- En la columna Resource, verá el nombre del recurso donde se detectó la vulnerabilidad.
- En la columna Vendor fix, verá si el proveedor ofrece una corrección frente a dicha vulnerabilidad. La solución indicará el número de versión que tiene la corrección o si no hay ninguna corrección disponible.
- En la columna Artifacts, verá el número de artefactos (imágenes en registros y en el entorno de ejecución y objetos de CI/CD) que analizó Kaspersky Container Security.
La solución mostrará el número de las imágenes únicas con
imagename:tag
para el alcance elegido. Para determinar el número de artefactos, se aplican las siguientes reglas:- Si una imagen con
imagename:tag
forma parte de los recursos de un alcance basado en recursos y clústeres, la imagen se cuenta una única vez. - Si un usuario tiene acceso a los recursos de un alcance basado en clústeres, pero no tiene acceso a los recursos basados en los registros de ese alcance, solo se cuentan las imágenes en el entorno de ejecución.
- Si utiliza el filtro All de alcances, verá el número total de artefactos para todos los alcances.
- Los artefactos de CI/CD solo se cuentan al trabajar con el alcance predeterminado.
- Si una imagen con
- En la columna Workloads, verá el número de pods que contienen las imágenes con la vulnerabilidad.
En la sección Investigation → Vulnerabilities, puede usar los filtros para elegir las vulnerabilidades que se mostrarán en la tabla.
Inicio de página
Elegir vulnerabilidades para mostrar
Para mostrar las vulnerabilidades que se mostrarán en la tabla debe usar los botones de filtros que se encuentran encima de la tabla:
- Haga clic en los botones de filtros que contienen los valores que desee mostrar. Puede elegir las vulnerabilidades sobre la base de los siguientes criterios:
- Vulnerabilidades por ubicación de la detección:
- Imagen en registros
- Imagen desplegada en un entorno de ejecución
- Objeto de CI/CD
- Vulnerabilidades por nivel de gravedad:
- Negligible
- Low
- Medium
- High
- Critical
De forma predeterminada, todas las ubicaciones de detección y todos los niveles de gravedad están seleccionados.
- Vulnerabilidades por ubicación de la detección:
- De ser necesario, use los botones Disabled o Enabled para mostrar solo las vulnerabilidades con exploits. De forma predeterminada, el valor es Disabled.
- De ser necesario, introduzca el ID de la vulnerabilidad o el nombre del recurso en el campo de búsqueda.
Para aplicar un filtro y elegir las vulnerabilidades que se mostrarán en la tabla:
- Haga clic en el icono de filtros (
) que se encuentra encima de la tabla y contiene la lista de usuarios.
- En la barra lateral abierta, use los botones Disabled o Enabled para mostrar solo las vulnerabilidades con exploits. De forma predeterminada, el valor es Disabled.
- Para determinar el nivel de gravedad, elija una de las opciones Severity level o Score, y luego realice lo siguiente:
- Si eligió Severity level, haga clic en los botones que tienen los valores que desee mostrar. Puede elegir los siguientes valores para mostrar:
- Negligible
- Low
- Medium
- High
- Critical
De forma predeterminada, todos los niveles de gravedad están seleccionados.
- Si elige Score, utilice el botón deslizante para definir la puntuación de vulnerabilidad. Los valores van de 0-10. La solución mostrará las vulnerabilidades que coincidan con la puntuación que defina.
- Si eligió Severity level, haga clic en los botones que tienen los valores que desee mostrar. Puede elegir los siguientes valores para mostrar:
- En la configuración de Vendor fix, especifique la opción sobre una corrección disponible del proveedor: All, Available o Not available. El valor predeterminado es All.
- En la configuración de Risk acceptance, especifique la opción sobre si se aceptó la vulnerabilidad elegida en el recurso especificado: All, Accepted o Not accepted. El valor predeterminado es All.
- En la configuración de Location details, especifique la ubicación donde se detectó la vulnerabilidad:
- Imagen en registros
- Imagen desplegada en un entorno de ejecución
- Objeto de CI/CD
De forma predeterminada, todas las ubicaciones de detección están seleccionadas.
Restricciones relacionadas con alcances
El acceso a la lista de vulnerabilidades detectadas se concede según alcances asignados al usuario de la siguiente manera.
- Si el usuario está asignado al alcance predeterminado, tendrá acceso a toda la información sobre las vulnerabilidades detectadas, incluidos los objetos de CI/CD.
- Si el usuario tiene un alcance con acceso a los recursos basados en registros, verá las vulnerabilidades para las cuales el valor de la columna Workloads es 0.
- Si el usuario tiene un alcance con acceso a los recursos basados en clústeres, verá las vulnerabilidades para las cuales el valor de la columna Workloads es mayor de 0.
- Si el usuario tiene un alcance con acceso a los recursos basados en registros y clústeres, verá las vulnerabilidades para las cuales el valor de la columna Workloads es igual o mayor de 0.
Integración a recursos de terceros
Para identificar problemas de seguridad y garantizar la protección de las aplicaciones en contenedores, Kaspersky Container Security puede integrarse a los siguientes recursos de terceros:
- Registros de imágenes externos. La solución permite analizar contenedores e imágenes de IaC alojados en plataformas de almacenamiento y gestión de repositorios, incluso como parte de un proceso de CI/CD, en busca de vulnerabilidades, malware, configuraciones incorrectas y datos confidenciales.
- Validadores de firmas en imágenes. Kaspersky Container Security puede validar firmas digitales presentes en imágenes con una aplicación externa de firmas.
- Servicios de notificaciones. Al implementar directivas de respuesta, la solución puede enviar notificaciones a usuarios acerca de eventos de seguridad mediante mensajes por correo electrónico o Telegram.
- Servicios externos de directorios LDAP. Al definir alcances y roles de usuarios, la solución permite configurar cuentas de usuarios sobre la base de los datos en un servicio externo de directorio y asignar roles de usuarios a grupos de usuarios de Active Directory.
- Sistemas SIEM. Kaspersky Container Security permite conectarse a sistemas de gestión de eventos e información de seguridad para enviar notificaciones de eventos para su análisis y responder ante posibles amenazas.
- Almacenamiento externo HashiCorp Vault. La solución permite almacenar y usar de forma segura contraseñas, tokens y secretos mediante HashiCorp Vault.
Configurar la integración a registros de imágenes externos
Kaspersky Container Security puede analizar imágenes desde los siguientes registros externos:
- Harbor
- GitLab Registry
- JFrog Artifactory
- Sonatype Nexus Repository OSS
- Yandex Registry
- Docker Hub
- Docker Registry
La integración a Docker Registry exige compatibilidad con la API de Docker Registry V2 del lado del servidor del registro externo.
- Red Hat Quay
- Amazon Elastic Container Registry
Debe configurar la integración a registros externos para que la solución pueda analizar las imágenes de esos registros. Las imágenes de registros integrados a Kaspersky Container Security pueden analizarse de forma automática o manual, según la configuración de la extracción y el análisis de imágenes de cada registro.
Derechos mínimos para la integración a registros
Para integrarse a registros de imágenes externos, la cuenta de Kaspersky Container Security debe tener determinados derechos, que variarán según el tipo de registro. A continuación podrá consultar la lista de los derechos mínimos que necesita la cuenta para la integración a cada tipo de registro.
GitLab
Para integrar la solución a un registro del usuario en GitLab, debe definir los parámetros con los siguientes valores:
- Rol de usuario en el proyecto o grupo: Reporter
- Nivel de acceso al proyecto: Reporter
- Derechos asignados al token del usuario: read_api, read_registry
JFrog Artifactory
Para integrar la solución a un registro del usuario en JFrog, debe definir los parámetros con los siguientes valores:
- Rol de usuario en el proyecto o grupo: Manage Reports
- Acceso al proyecto: Can Update Profile
- Derechos del usuario: derecho a leer cualquier repositorio (ANY)
Harbor
Para integrar la solución a un registro del usuario en Harbor, debe definir los parámetros con los siguientes valores:
- Tipo de miembro: user. Para ello, en la sección Projects → Members, debe especificar el valor User en la columna tipo de miembro de la tabla.
- Rol del usuario en el proyecto o el grupo: usuario con derechos limitados. Para ello, en la sección Projects → Members, debe especificar el valor Guest en la columna rol de la tabla.
- Derechos del usuario: usuario sin derechos de administrador. Para ello, en la sección Usuarios , debe elegir No en la columna Administrator de la tabla.
Nexus
Para integrar la solución a un registro del usuario en Nexus, debe definir los parámetros con los siguientes valores:
- Rol de usuario en el proyecto o grupo: user
- Derechos asignados al rol del usuario en el proyecto o grupo: nx-apikey-all, nx-repository-view-docker-*-browse, nx-repository-view-docker-*-read
Docker Hub
La solución se integra al registro del usuario en Docker Hub después de autorizarse con nombre de usuario y contraseña.
La opción de integración al registro de Docker Hub solo es posible en un espacio de nombres personal.
RedHat Quay
Para integrar la solución a un registro del usuario en RedHat Quay, debe tener los siguientes derechos y permisos:
- Permisos del usuario para el funcionamiento correcto de la función Probar conexión: usuario con permisos de administración de la organización
- Permisos para ver todos los repositorios visibles
- Permisos de lectura y escritura en cualquier repositorio accesible
Yandex
Para integrar la solución a un registro del usuario en Yandex, debe definir los parámetros con los siguientes valores:
- Rol de usuario en el proyecto o grupo:
container-registry.viewer
- Permisos otorgados al rol del usuario en un proyecto o grupo: visualización de registros en contenedores
Amazon Elastic Container Registry
Para integrar la solución a un registro del usuario en Amazon Elastic Container Registry, debe definir los parámetros con los siguientes valores:
- Directiva de AWS para acceder a un proyecto o grupo:
AmazonEC2ContainerRegistryReadOnly
- Permisos otorgados al rol del usuario en un proyecto o grupo: visualización y lectura
Trabajar con registros públicos sin autorización
Kaspersky Container Security 2.0 no funciona con registros públicos sin una autorización. Por ejemplo, no puede usar la solución para analizar imágenes si accede a Docker Hub de forma anónima.
Si no autoriza los registros públicos, puede usar dichos registros de imágenes en un clúster, añadirlos a Kaspersky Container Security y asignarlos manualmente a un alcance determinado. Si el alcance incluye uno o diversos registros públicos sobre los cuales no tenga autorización e intenta añadir una imagen desde la sección Resources → Registries, la solución mostrará un error que indica que es imposible añadir imágenes porque la solución no cuenta con la integración al registro.
Inicio de página
Añadir integraciones a registros de imágenes externos
Los registros integrados admiten solo repositorios locales que contienen las imágenes directamente. En la versión 2.0, Kaspersky Container Security no admite el uso de repositorios remotos o virtuales.
Para añadir una integración a un registro externo:
- En la sección Administration → Integrations → Image registries, haga clic en el botón Add registry.
Se abre la ventana de configuración de la integración.
- En la pestaña Registry details, configure la conexión con el registro:
- Introduzca el nombre del registro.
- De ser necesario, introduzca una descripción del registro.
- Elija el tipo de registro en la lista desplegable. Kaspersky Container Security admite los siguientes tipos de registros:
- Harbor (integración mediante la API de Harbor V2)
- GitLab Registry (integración mediante la API de GitLab Container Registry)
- JFrog Artifactory (integración mediante la API de JFrog)
- Sonatype Nexus Repository OSS (integración mediante la API de Nexus)
- Yandex Registry (integración mediante la API de Yandex Container Registry)
- Docker Hub (integración mediante la API de Docker Hub)
- Docker Registry (integración mediante la API de Docker Registry V2)
- Red Hat Quay (integración mediante la API de Red Hat Quay)
- Amazon Elastic Container Registry (integración mediante la API de Amazon Elastic Container Registry)
Puede acceder a Docker Registry mediante la API de Docker Registry V2 si ha configurado la integración a Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (con un puerto o un subdominio) o Yandex Registry. Las integraciones a GitLab Registry, Docker Hub y JFrog Artifactory (con la ruta al repositorio) no son compatibles.
- Si configura la integración al registro de JFrog Artifactory, elija uno de los siguientes métodos en la lista desplegable Repository Path method para acceder a Docker:
- Repository path
- Subdomain
- Port
- Si configura la integración al registro de Sonatype Nexus Repository OSS, elija el modo de extracción Tagged images o All images. Si elige el modo All images, la solución extrae todas las imágenes del registro, tengan o no etiquetas. Las imágenes sin etiquetas se mostrarán con el hash de compilación.
- Si configura una integración a un registro de JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry o Red Hat Quay, introduzca la dirección URL completa del registro que dirige al registro del contenedor. Recomendamos que utilice una conexión HTTPS (la conexión HTTP también es compatible).
Si utiliza una conexión HTTP o HTTPS con un certificado autofirmado o no válido, debe elegir la casilla de registro no seguro para el motor de Docker en los nodos donde se instale el servidor y se realice el análisis.
- Si configura una integración a un registro de JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS o Red Hat Quay, introduzca la dirección URL completa que dirige a la API del registro.
- Elija un método de autenticación y especifique los datos necesarios de la siguiente manera:
- Si configura una integración a un registro de GitLab Registry, elija la autenticación mediante una cuenta o un token de acceso.
- Si configura una integración a un registro de Yandex Registry, elija la autenticación mediante una clave de API (token OAuth de Yandex) o un nombre de usuario con contraseña. Al usar el token de OAuth de Yandex, debe especificar el nombre de usuario oauth o iam si usa el token de Yandex IAM.
- Para los registros de Sonatype Nexus Repository OSS y Docker Hub, la autenticación solo se realiza con una cuenta.
- Para un registro de Harbor, la autenticación solo está permitida con una cuenta de usuario o robot.
- Para un registro de Docker, la autenticación solo está permitida con un usuario con contraseña, que proporciona la API de Docker V2.
- Para los registros de Red Hat Quay, el único método de autenticación es mediante el nombre de la organización y el token de acceso. Especifique estos parámetros en los campos Organization name y OAuth token.
- En el caso de Amazon Elastic Container Registry, puede autenticar una cuenta especificando la región, el ID de la clave de acceso y la clave de acceso a los secretos.
En el campo Region, debe especificar una de las regiones de Amazon Web Services (por ejemplo, us-west-2 o us-east-2).
Para la configuración de Access key ID y Access key, debe especificar los valores que puede recibir con la consola de administración de AWS.
- Diríjase a la pestaña Repository caching y utilice los botones Disabled/Enabled para activar la copia en caché de repositorios si es necesario. Si la copia en caché está desactivada, los repositorios y las imágenes en la sección Registry solo se mostrarán si se usa el campo Search. Si la copia en caché está activada, la solución muestra la lista de los repositorios e imágenes disponibles. De forma predeterminada, la copia en caché de repositorios está desactivada.
Activar la copia en caché de repositorios podría afectar al rendimiento de Kaspersky Container Security.
- Diríjase a la pestaña Image scan details y configure los siguientes parámetros para el análisis de imágenes:
- Tiempo de espera del análisis, en minutos, para las imágenes de este registro. El tiempo de espera predeterminado de análisis es de 60 minutos.
Si el análisis de la imagen tiene una duración mayor del tiempo especificado, el análisis se detiene y la imagen se devuelve a la cola de análisis. La solución pondrá la imagen en cola un máximo de 3 veces. Esto significa que el tiempo necesario para analizar una imagen del registro podría triplicarse.
Configuración de extracción y análisis de imágenes del registro. De forma predeterminada, la opción Manual está seleccionada en Pull and scan images: las imágenes no se extraen automáticamente del registro, sino que el usuario puede añadir imágenes de forma manual a la lista de imágenes para su análisis. Las nuevas imágenes se ponen en cola para su análisis automáticamente.
Si desea que las imágenes se extraigan del registro y se coloquen en cola para su análisis de forma automática, elija Automatic en Pull and scan images y configure la extracción y el análisis de imágenes. Las siguientes opciones están disponibles:
- Scan interval (days): período, en días, para la extracción de imágenes del registro para su análisis. El valor predeterminado es 1 día.
- Scan time (GMT): tiempo durante el cual se analizan las imágenes del registro.
- De ser necesario, debe elegir la casilla de verificación para volver a hacer un análisis de las imágenes extraídas anteriormente siempre que se analicen nuevas imágenes.
- De ser necesario, en Advanced settings, elija la casilla de verificación Name / tag criteria para usar el nombre de la imagen o los patrones de etiquetas a fin de especificar las imágenes que desee extraer y analizar. Si elige la casilla de verificación, Kaspersky Container Security solo extraerá las imágenes que coincidan con los patrones especificados para análisis.
Puede utilizar los siguientes patrones:
- nombre de imagen y etiqueta: <nombre><:etiqueta>
- solo nombre de imagen: <nombre>
- solo etiqueta: <:etiqueta>
Por ejemplo:
- Para el patrón
alpine
, se extraen todas las imágenes con el nombre "alpine", no importa cuál sea su etiqueta. - Para el patrón
4
, se extraen todas las imágenes con la etiqueta "4", no importa cuáles sean los nombres de las imágenes. - Para el patrón
alpine:4
, se extraen todas las imágenes que tengan el nombre "alpine" y la etiqueta "4".
Al generar patrones, puede usar el carácter * para reemplazar cualquier cantidad de caracteres.
Puede añadir uno o más patrones.
- Elija una de las siguientes condiciones para extraer imágenes:
- Si no desea aplicar ninguna condición adicional, elija No additional conditions.
- Si solo desea extraer las imágenes creadas en un plazo específico, elija esta opción y, en los campos a la derecha, especifique la duración del plazo y la unidad de medida. De forma predeterminada, el período es de 60 días.
- Si desea extraer únicamente las imágenes que tengan las etiquetas más recientes (a partir de la fecha de creación de la imagen), elija esta opción y, en el campo a la derecha, especifique la cantidad de etiquetas recientes de cada repositorio que desee considerar.
- De ser necesario, en Exceptions, elija las casillas de verificación para especificar las excepciones de la extracción de imágenes:
- Never pull images with the name/tag pattern: con los patrones nombre de imagen y etiqueta puede especificar las imágenes que se excluyen de la extracción y el análisis.
- Always pull images with the name/tag pattern: con los patrones nombre de imagen y etiqueta puede especificar las imágenes que se extraen y analizan siempre, sin importan otras condiciones establecidas anteriormente.
- Tiempo de espera del análisis, en minutos, para las imágenes de este registro. El tiempo de espera predeterminado de análisis es de 60 minutos.
- Haga clic en Test connection para verificar si se puede establecer una conexión con el registro.
- Haga clic en el botón Save, en la parte superior de la ventana, para guardar la configuración de la integración al registro.
Ejemplo de la configuración de la integración al registro de Red Hat Quay
Inicio de página
Visualizar información sobre integraciones a registros
Puede visualizar la tabla que contiene todos los registros integrados a Kaspersky Container Security en la sección Administration → Integrations → Image registries.
En la tabla, se observa la siguiente información sobre los registros integrados:
- Nombre de la integración al registro de imágenes.
- Descripción (si se ha especificado una al crear la integración al registro de imágenes).
- Tipo de registro conectado.
- Dirección URL del registro.
- Estado de la última conexión con el registro de imágenes: Success o Error. Si aparece el estado Error, la solución también muestra una descripción breve del error de conexión.
En la tabla, puede realizar las siguientes acciones:
- Añadir nuevas integraciones a registros. Haga clic en Add registry, que se encuentra encima de la tabla, para abrir la ventana de configuración de integraciones.
- Ver y modificar la configuración de integraciones a registros, incluso la configuración de extracción y análisis de imágenes. Haga clic en el enlace del nombre del registro para abrir la ventana de edición.
En esta ventana, también puede hacer clic en Test connection para verificar si se puede establecer una conexión al registro.
- Eliminar integraciones a registros.
Eliminar la integración a registros externos
Para eliminar la integración a un registro externo:
- En la sección Administration → Integrations → Image registries, elija la integración que desee eliminar; para ello haga clic en la casilla de verificación en la fila del nombre del registro. Puede elegir una o más integraciones.
- Haga clic en Delete por encima de la tabla.
Podrá hacer clic en el botón Delete después de elegir al menos una integración.
- En la ventana que se abre, confirme la eliminación.
Kaspersky Container Security no analiza imágenes de un registro con el cual ya no existe ninguna integración.
Inicio de página
Integración a Harbor
Puede integrar Kaspersky Container Security al registro externo de Harbor de una de las siguientes formas:
- De la misma manera que al integrar la solución a otros registros externos
- Después de una solicitud del registro externo de Harbor
Harbor considera que la solución es una herramienta de análisis externa que busca vulnerabilidades en objetos. Debe configurar la integración de Kaspersky Container Security con el complemento de análisis de Harbor. La solución identificará el registro de imágenes creado automáticamente como Harbor External Integration y marcará el repositorio donde se encuentre con el icono de Harbor ().
Esta integración sigue siendo la única integración a Harbor creada automáticamente y el nombre que recibe el registro no puede modificarse.
Para comenzar el análisis de Harbor, debe conocer el endpoint de la API de Kaspersky Container Security.
Para crear una integración a partir de una solicitud de Harbor, es necesario tener derechos para visualizar y configurar el análisis de CI/CD. Si no tiene estos derechos, Harbor no podrá conectarse con la solución para el análisis ni analizar objetos como parte del proceso de CI/CD.
Inicio de página
Crear una integración a partir de una solicitud de Harbor
Para crear una integración al registro a partir de una solicitud de Harbor, debe tener una cuenta de Harbor y derechos de administrador y derechos para visualizar y configurar análisis en CI/CD en Kaspersky Container Security. Si no tiene estos derechos, Harbor no podrá conectarse con la solución para realizar análisis.
Para crear una integración a Harbor a partir de una solicitud de Harbor:
- En el menú principal, en el panel izquierdo de la interfaz web de Harbor, elija Administración (Administration) → Servicios de consultas (Interrogation Services).
- Haga clic en el botón Nuevo análisis (New Scanner).
- Introduzca la siguiente información:
- El nombre único de la integración a la solución que se mostrará en la interfaz de Harbor
- Una descripción, de ser necesaria, de la herramienta externa de análisis que se añadirá
- La dirección del endpoint de la API de Kaspersky Container Security que mostrará Harbor
- En la lista desplegable Autorización (Authorization), elija APIKey como método de autorización al conectar el registro con la solución.
- En el campo APIKey, introduzca el token de la API.
Si el token de la API cambiara, debería declarar su nuevo valor antes de iniciar un análisis con Harbor. Si no se añade el nuevo token de la API a la configuración de la herramienta externa de análisis en Harbor, el análisis finalizará con un error.
- Elija la casilla Omitir verificación del certificado (Skip certificate verification) para omitir esta verificación.
- De ser necesario, haga clic en Probar conexión (Test Connection) para verificar que Harbor pueda conectarse con la solución.
- Haga clic en Añadir (Add) para crear la integración.
En la lista de herramientas de análisis disponibles en Administración (Administration) → Servicios de consulta (Interrogation Services) → Análisis (Scanners), se mostrará el nombre que ha asignado a la solución en Harbor.
La nueva herramienta de análisis se utilizará para analizar objetos si se especifica como la herramienta predeterminada en Harbor o se asigna al proyecto. Ambas opciones requieren una configuración adicional en Harbor.
Después de iniciar el análisis, en el registro externo se crea una integración a la solución a partir de la solicitud de Harbor. Kaspersky Container Security mostrará el registro de Harbor External Integration en la lista de registros de imágenes en la sección Administration → Integrations → Image registries. El repositorio que contiene las imágenes del registro externo se marcará con el icono de Harbor (). Harbor External Integration se actualiza después de iniciar y ejecutar otro análisis en el registro externo.
No puede añadir una imagen a un registro de imágenes creado automáticamente desde Harbor con el botón Add images en la Consola de administración.
Los análisis de Harbor External Integration pueden iniciarse manualmente o ejecutarse automáticamente desde el registro externo. No puede iniciar el análisis o el reanálisis de imágenes desde el registro de imágenes de Harbor creado automáticamente en Kaspersky Container Security.
El registro de Harbor External Integration (y el registro creado como parte de la integración estándar a Harbor) se analiza según la directiva de análisis pertinente.
Al finalizar el análisis, la solución genera un informe de las vulnerabilidades halladas durante el análisis de los objetos elegidos y lo envía a Harbor. Si el envío del informe demora más de 5 segundos (por ejemplo, debido a la calidad de la conexión de red), verá un error en los resultados de recepción del análisis en la interfaz del registro externo.
Inicio de página
Visualizar y editar la configuración de la integración Harbor External Integration
En la sección Administration → Integrations → Image registries, se muestra el registro de imágenes de Harbor External Integration en la lista de registros integrados a Kaspersky Container Security.
Para modificar la configuración de Harbor External Integration:
- Elija el registro de Harbor External Integration en la lista de registros de imágenes en la sección Administration → Integrations → Image registries.
- Especifique los valores de los siguientes parámetros de configuración:
- Description en la pestaña Registry details
- Scan timeout en la pestaña Image scan details
No puede modificar otros datos del registro de Harbor External Integration.
- Haga clic en Save.
Reanálisis
Después de recibir los resultados de los análisis, los objetos del registro de Harbor External Integration no pueden enviarse para un reanálisis desde Kaspersky Container Security. Solo puede solicitarlo desde Harbor.
Si crea una integración a Harbor desde Kaspersky Container Security y el registro de imágenes creado es similar a Harbor External Integration, se aplican las siguientes reglas en un reanálisis:
- Los objetos de análisis en el registro creado en la solución no ejecutan un reanálisis en Harbor External Integration.
- Los objetos de análisis en Harbor External Integration no ejecutan un reanálisis en el registro creado en la solución.
Integración al proceso de CI/CD
Kaspersky Container Security le permite analizar imágenes en contenedores e IaC que residen en sistemas de gestión de repositorios de código en el proceso de CI/CD para detectar vulnerabilidades, malware, configuraciones incorrectas y datos confidenciales.
Durante la compilación de un proyecto en el sistema de gestión de repositorios, puede ejecutar el componente Kaspersky Container Security Scanner para verificar el cumplimiento de los objetos con las directivas de seguridad activas. Scanner se inicia desde un registro mediante un agente, como GitLab Runner in GitLab. Los datos sobre la tarea de análisis y los resultados del análisis se reenvían mediante una interfaz de programación de aplicaciones (API).
Al analizar un objeto durante la compilación de un proyecto, debe asegurarse de no elegir el paso Fail CI/CD en la configuración de la directiva de certeza aplicada. Si esta configuración está activa, la solución le enviará una notificación del error durante el análisis.
En la sección Inventory → CI/CD → Scanning in CI/CD, podrá ver los resultados del análisis en la lista de imágenes.
Kaspersky Container Security muestra la siguiente información para cada objeto en la tabla:
- Fecha y hora del último análisis.
- Nombre.
- Calificación de riesgo.
- Resumen de los resultados del análisis y objetos identificados con vulnerabilidades, malware, datos confidenciales y configuraciones incorrectas.
- Tipo de artefacto.
- Número y canalización de la compilación donde se analiza la imagen.
En la sección Resources → CI/CD → Scanning in CI/CD, también puede generar un informe de las imágenes que se analizan en un proceso de CI/CD.
Los informes se generan solo para los objetos que tienen el tipo de artefacto Image. En esta sección, no puede generar un informe para otros tipos de artefactos.
Análisis de artefactos en procesos de CI/CD
Kaspersky Container Security le permite analizar imágenes usadas en CI/CD. Para analizar imágenes de CI/CD, debe configurar la integración de Kaspersky Container Security a los procesos de CI/CD.
Los datos al escuchar e interceptar el tráfico de red deben transferirse de forma segura entre el entorno de CI/CD y la solución.
Para analizar los repositorios e imágenes (para realizar el análisis de los archivos de configuración) utilizados en el proceso de CI/CD, debe añadir una fase a la canalización de CI/CD que ejecute Kaspersky Container Security Scanner.
Para analizar imágenes de CI/CD, en el archivo de configuración usado para integrar al repositorio, especifique los valores de las variables de entorno API_BASE_URL
(dirección web del servidor de la API de Kaspersky Container Security) y API_TOKEN
(token de acceso a la API de Kaspersky Container Security) de Scanner. También debe especificar el valor de API_CA_CERT
(certificado que verifica el servidor host de la solución API) o SKIP_API_SERVER_VALIDATION = true
para omitir el análisis.
Los resultados del análisis se reenviarán al servidor y se mostrarán en la Consola de administración, en la sección Resources → CI/CD. En la tabla, verá una lista de las imágenes analizadas, los resultados de la calificación de riesgos y las vulnerabilidades detectadas.
Puede hacer clic en el enlace del nombre para abrir una página que contiene información detallada sobre los resultados de los análisis de las imágenes. Esta página es similar a la página que muestra los resultados de los análisis de las imágenes del registro.
Kaspersky Container Security también mostrará el tipo de artefacto de cada objeto. Se utilizan dos artefactos principales:
- El sistema de archivos es el repositorio que contiene los archivos de configuración.
- La imagen de contenedor es la plantilla utilizada para la implementación del contenedor en el entorno de ejecución.
Para cada objeto de análisis, debe especificar el número de compilación (BUILD_NUMBER
) y la
BUILD_PIPELINE
). Puede usar estos parámetros para determinar la etapa puntual en la que el objeto dio un error.
En el caso de las imágenes de CI/CD, no es posible volver a hacer un análisis.
Kaspersky Container Security realiza los siguientes tipos de análisis en CI/CD:
- Análisis de imágenes del registro de imágenes. La solución ejecuta un análisis después de que la compilación sea correcta y guarda la imagen en el registro de imágenes.
- Análisis de imágenes de archivos comprimidos TAR. Un archivo comprimido TAR se almacena como el artefacto de compilación que la solución analizará en la siguiente canalización de compilación.
- Análisis de un repositorio de Git, que puede realizarse de las siguientes maneras:
- para la rama de un proyecto (ruta de desarrollo individual) en el repositorio de Git
- para un commit (punto de control o captura del estado en la escala de tiempo de un proyecto)
Para analizar una imagen de un registro de imágenes:
Ejecute un comando, con el siguiente formato, para iniciar el análisis:
/scanner [TARGET] --stdout
donde:
<TARGET>
es la dirección completa de la imagen en el registro<--stdout>
es el servicio de notificaciones para el registro de eventos de seguridad
Para acceder al registro, debe configurar el nombre de usuario COMPANY_EXT_REGISTRY_USERNAME
y la contraseña (token) COMPANY_EXT_REGISTRY_PASSWORD
en las variables de entorno.
Para usar un certificado y establecer una conexión segura con el registro, debe especificar los datos del certificado en la variable de entorno COMPANY_EXT_REGISTRY_TLS_CERT
como la siguiente cadena en el formato .PEM : -----BEGIN CERTIFICATE-----\n...
<datos del certificado
> ...\n-----END CERTIFICATE-----
.
Ejemplos del análisis de imágenes en el CI/CD de GitLab y CI/CD de Jenkins.
Para analizar una imagen de un archivo comprimido TAR:
- Compile una imagen y guárdela como archivo comprimido TAR con cualquier aplicación para crear imágenes en contenedores.
- Ejecute un comando, con el siguiente formato, para iniciar el análisis:
/scanner [TARGET] --file --stdout
donde:
<TARGET>
es la ruta al archivo que tiene la imagen que se analizará<--file>
es la marca que indica el análisis del archivoTARGET
<--stdout>
es el servicio de notificaciones para el registro de eventos de seguridad
Ejemplo de un archivo de configuración con parámetros para analizar un archivo comprimido TAR:
Para analizar el repositorio de Git:
- En el archivo de configuración del repositorio de Git, en las variables de entorno debe especificar el token para acceder al repositorio (
GITHUB_TOKEN
oGITLAB_TOKEN
). - Ejecute un comando, con el siguiente formato, para iniciar el análisis:
/scanner [TARGET] --repo [--branch BRANCH] [--commit COMMIT] --stdout
donde:
<DESTINO>
es la dirección web (URL) del repositorio de Git<--repo>
es la marca que indica el análisis del archivo
TARGET
<--branch BRANCH>
es la rama del repositorio que se analizará
<--commit COMMIT>
es el hash del commit que se analizará
<--stdout>
es el servicio de notificaciones para el registro de eventos de seguridad
Para analizar el sistema de archivos IaC, debe usar la imagen de análisis con la base de datos vX.XX-with-db. Para analizar archivos IaC, la herramienta de análisis debe tener acceso a los archivos dentro del contenedor (por ejemplo, tras montar un volumen con archivos o copiar archivos al sistema de archivos del contenedor).
Pasos para analizar el sistema de archivos:
Ejecute un comando, con el siguiente formato, para iniciar el análisis:
/scanner [TARGET] --sources --stdout
donde:
<DESTINO>
es la ruta a la carpeta del archivo a analizar<--sources>
es
el indicador que señala la necesidad de analizar archivos en el sistema de archivos<--stdout>
es el servicio de notificaciones para el registro de eventos de seguridad
Puede ver los resultados de los análisis en Resources → CI/CD o puede descargarlos en formatos .SPDX, .JSON o .HTML.
Inicio de página
Configurar la integración al proceso de CI/CD de GitLab
En este ejemplo, se utiliza una imagen específica para el análisis con bases de datos de vulnerabilidades incorporadas ubicadas en el registro de imágenes del fabricante de Kaspersky Container Security.
Para usar la funcionalidad de análisis de imágenes en el proceso de CI/CD de GitLab, debe activar el uso de GitLab Container Registry.
Configurar la integración comprende los pasos siguientes:
- Autorizar la CI/CD de GitLab en el registro de imágenes del fabricante de Kaspersky Container Security:
- En la estación de trabajo del operador del clúster, debe ejecutar el siguiente comando para preparar un hash Base64 de los datos de autorización:
printf "login:password" | openssl base64 -A
donde "login" y "password" equivalen al nombre de usuario y la contraseña de la cuenta en el registro de imágenes del fabricante de Kaspersky Container Security.
- En las variables de entorno de CI/CD de GitLab, debe crear la variable DOCKER_AUTH_CONFIG (en el repositorio de GitLab, elija Configuración [Settings] → CI/CD, haga clic en el botón Expandir [Expand] para expandir Variables y luego haga clic en el botón Añadir variable [Add variable]).
- Especifique la variable de la siguiente forma:
{
"auths": {
"repo.cloud.example.com": {
"auth": "base64hash"
}
}
}
donde base64hash es la cadena obtenida en el paso 1.1.
- En la estación de trabajo del operador del clúster, debe ejecutar el siguiente comando para preparar un hash Base64 de los datos de autorización:
- Autorizar las solicitudes de CI/CD de GitLab al enviar datos a Kaspersky Container Security:
- Copie el token de la API en la página My profile.
- Pegue el valor copiado del token de la API en la variable API_TOKEN en el archivo de configuración .gitlab-ci.yml.
- Añadir la etapa de análisis de imágenes en el proceso de CI/CD
Para añadir el análisis a la canalización CI/CD, debe añadir las siguientes líneas al archivo .gitlab-ci.yml:
- Añada información sobre la imagen de análisis que contiene las bases de datos de vulnerabilidades y otros objetos maliciosos después de la etapa de compilación del código, de la siguiente forma:
scan_image:
stage: scanner
image:
name: repo.cloud.example.com/repository/company/scanner:v2.0-with-db
entrypoint: [""]
pull_policy: always
Recomendamos que siempre determine el parámetro
pull_policy
para recibir las compilaciones relevantes que contienen las bases de datos actualizadas de vulnerabilidades y otros objetos maliciosos para cada análisis. - Debe especificar la etiqueta, el ID de compilación y el token de la API para autorizar las solicitudes de análisis de CI/CD a Kaspersky Container Security de la siguiente manera:
SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master
BUILD_NUMBER: ${CI_JOB_ID}
BUILD_PIPELINE: ${CI_PIPELINE_ID}
API_TOKEN:
<API token value>
En este ejemplo, verá la etiqueta
master
; también puede especificar otra etiqueta. - Si configura el análisis de un repositorio privado, debe especificar los datos de autorización para asegurarse de que Scanner pueda acceder a la imagen. Los datos para realizar la autorización pueden configurarse como variables.
COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}
COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}
- Para usar un certificado y establecer una conexión segura con el registro, debe especificar los datos del certificado en la variable de entorno
COMPANY_EXT_REGISTRY_TLS_CERT
como una cadena con el formato .PEM:-----BEGIN CERTIFICATE-----\n... <
datos del certificado
> ...\n-----END CERTIFICATE-----
. - Specify the following parameters of communication using a proxy server:
HTTP_PROXY
–<proxy server for HTTP requests>
HTTPS_PROXY
–<proxy server for HTTPS requests>
NO_PROXY
–<domains or appropriate domain masks to be excluded from proxying>
- De ser necesario, especifique la variable que usará para verificar el servidor de recepción de datos en CI/CD con un certificado de CA en el controlador de entrada:
API_CA_CERT: ${KCS_CA_CERT}
El certificado de CA del controlador de entrada se determina en el campo de texto como cadena con el formato .PEM:
----- BEGIN CERTIFICATE ----- \ n...
<datos del certificado>
...\ n ----- END CERTIFICATE -----Si no se configura la variable
API_CA_CERT
, el análisis comenzará, pero no podrá completarse.Usar el certificado de CA del controlador de entrada permite al componente Scanner ejecutado en CI/CD verificar la autenticidad del servidor de recepción de datos.
Si utiliza un certificado autofirmado o desea omitir la verificación del servidor de recepción de datos con el certificado de CA del controlador de entrada, debe especificar el valor de la variable para omitir la verificación:
SKIP_API_SERVER_VALIDATION: 'true'
- Especifique la dirección web del servidor host de la API de Kaspersky Container Security:
API_BASE_URL
–<web address>
variables:
API_BASE_URL: ${API_BASE_URL}
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json
artifacts:
paths:
- artifact-result.json
- Añada información sobre la imagen de análisis que contiene las bases de datos de vulnerabilidades y otros objetos maliciosos después de la etapa de compilación del código, de la siguiente forma:
Después de configurar la integración a un registro externo, podrá analizar las imágenes en el proceso de CI/CD, incluso un análisis en el modo SBOM. Puede ver los resultados de los análisis en Resources → CI/CD o puede descargarlos en formatos .SPDX, .JSON o .HTML.
Inicio de página
Configurar la integración al proceso de CI/CD de Jenkins
Configurar la integración a CI/CD de Jenkins comprende los pasos siguientes:
- Autorizar la CI/CD de Jenkins en el registro de imágenes del fabricante de Kaspersky Container Security. Para ello, en la estación de trabajo del operador del clúster, debe ejecutar el siguiente comando para preparar un hash Base64 de los datos de autorización:
printf "usuario:contraseña" | openssl base64 -A
donde "usuario" y "contraseña" equivalen al nombre de usuario y la contraseña de la cuenta en el registro de imágenes del fabricante de Kaspersky Container Security.
- Autorizar la API de Kaspersky Container Security. Para ello, siga los siguientes pasos:
- Copie el token de la API en la página My profile.
- Pegue el valor copiado del token de la API en la variable API_TOKEN en el archivo de configuración Jenkinsfile.
- Autenticar el servidor de recepción de datos en CI/CD con el certificado de CA del controlador de entrada. Para autenticarlo, en el archivo de configuración Jenkinsfile, especifique una de las siguientes variables:
-e API_CA_CERT=${KCS_CA_CERT}
implica la realización de la autenticación y que Scanner iniciado en CI/CD puede garantizar que el servidor de recepción es auténtico.-e SKIP_API_SERVER_VALIDATION=true
implica la no realización de la autenticación del servidor de recepción con el certificado de CA del controlador de entrada.
- Crear las variables de entorno de Jenkins:
Para crear las variables de entorno, añada las siguientes líneas a Jenkinsfile:
- Añada información sobre el registro de contenedores donde se encuentra Scanner, de la siguiente manera:
LOGIN
: nombre de la cuenta en el registro de ScannerPASS
: contraseña del registro de Scanner - Si configura el análisis de un repositorio privado, debe especificar los siguientes datos de autorización para asegurarse de que Scanner pueda acceder a una imagen:
COMPANY_EXT_REGISTRY_USERNAME
: nombre de la cuenta del registro de la imagen analizadaCOMPANY_EXT_REGISTRY_PASSWORD
: contraseña del registro de la imagen analizada - Para usar un certificado y establecer una conexión segura con el registro, debe especificar los datos del certificado en la variable de entorno
COMPANY_EXT_REGISTRY_TLS_CERT
como una cadena con el formato .PEM:-----BEGIN CERTIFICATE-----\n... <
datos del certificado
> ...\n-----END CERTIFICATE-----
. - Especifique las siguientes variables de la comunicación con un servidor proxy:
HTTP_PROXY
:<servidor proxy para solicitudes HTTP>
HTTPS_PROXY
:<servidor proxy para solicitudes HTTPS>
NO_PROXY
:<dominios o máscaras de dominio adecuadas que se excluirán del redireccionamiento>
- Añada información sobre el registro de contenedores donde se encuentra Scanner, de la siguiente manera:
- Añadir información para iniciar Scanner. Se añade la información para iniciar Scanner (esta contiene las bases de datos de vulnerabilidades y otros objetos maliciosos) al archivo de configuración Jenkinsfile como una canalización declarativa o de script.
Ejemplo de la información para iniciar Scanner como una canalización declarativa
Ejemplo de los datos para iniciar Scanner como una canalización de script
- Generar un artefacto para su descarga
Puede generar un artefacto para descargar y recibir los resultados del análisis en los formatos .HTML o .JSON. Puede especificar el formato del artefacto en
--stout
de la siguiente manera:pipeline {
agent any
stages {
stage('run scanner') {
steps {
sh 'docker login -u ${LOGIN} -p ${PASS} company.example.com'
sh 'docker run -e API_BASE_URL=https://kcs.int.company.com -e SKIP_API_SERVER_VALIDATION=true -e API_TOKEN=${API_TOKEN} -e COMPANY_EXT_REGISTRY_USERNAME=${COMPANY_EXT_REGISTRY_USERNAME} -e COMPANY_EXT_REGISTRY_PASSWORD=${COMPANY_EXT_REGISTRY_PASSWORD} company.example.com:5050/company/kcs/scanner:v2.0.1-lite jfrog.company.com/demo-kcs/bad:bad-project-test --html --stdout > result.html'
}
}
stage('archive') {
steps {
archiveArtifacts artifacts: 'result.html'
}
}
}
}
Para generar un artefacto .JSON, vuelva a escribir la línea
--html --stdout> result.html'
en el ejemplo anterior de la siguiente manera:--stdout > result.json'
,y en la línea
archiveArtifacts artifacts
, especifique el nombre del archivo en el formato definido: 'result.json'.Puede obtener los resultados de los análisis en el formato que especificó y también puede visualizarlos desde la sección Resources → CI/CD.
Configurar la integración al proceso de CI/CD de TeamCity
Para configurar la integración a CI/CD de TeamCity:
- Copie el token de la API en la página My profile para autorizar la API de Kaspersky Container Security en TeamCity.
- En el menú de configuración de la interfaz web de TeamCity, elija Build Configuration Home → Parameters.
- Haga clic en Add new parameters para añadir los valores de las siguientes variables de entorno:
API_TOKEN
: determine el valor copiado del token de la API de Kaspersky Container Security.API_BASE_URL
: determine la dirección URL de Kaspersky Container Security.RUST_BACKTRACE
: de ser necesario, escribafull
para hacer el seguimiento de la pila.SKIP_API_SERVER_VALIDATION
: escribatrue
si usa un certificado autofirmado o si necesita omitir la autenticación del servidor de recepción con el certificado de CA del controlador de entrada.COMPANY_EXT_REGISTRY_USERNAME
: determine el nombre de la cuenta del registro de la imagen analizada.COMPANY_EXT_REGISTRY_PASSWORD
: determine la contraseña del registro de la imagen analizada.COMPANY_EXT_REGISTRY_TLS_CERT
: determine los datos del certificado para establecer una conexión segura con el registro.Los datos del certificado se declaran como una cadena en el formato .PEM:
-----BEGIN CERTIFICATE-----\n... <
datos del certificado
> ...\n-----END CERTIFICATE-----
.HTTP_PROXY
: servidor proxy para solicitudes HTTPHTTPS_PROXY
: servidor proxy para solicitudes HTTPSNO_PROXY
: dominios o máscaras de dominio adecuadas que se excluirán del redireccionamiento
- Diríjase a la sección Build Configuration Home → Build Step: Command Line y haga clic en Add build step para añadir el paso de compilación.
- En la ventana que se abre, defina los siguientes parámetros del paso de compilación:
- En la lista desplegable Runner type, elija Command Line.
- En la lista desplegable Run, elija Custom script.
- En el campo Custom script, detalle la ruta al contenedor para el análisis (por ejemplo,
/bin/sh /entrypoint.sh nginx:latest
).
- En Docker Settings, especifique los siguientes parámetros de la configuración:
- En el campo Run step within Docker container, introduzca la dirección del análisis para el registro de Docker. Por ejemplo,
company.gitlab.cloud.net:5050/companydev/example/scanner:v2.0.0-with-db
. - En el campo Additional docker run arguments, aumente el valor de privilegios a
--privileged
.
- En el campo Run step within Docker container, introduzca la dirección del análisis para el registro de Docker. Por ejemplo,
- Haga clic en Save para guardar la configuración.
- Haga clic en Run, en la esquina superior derecha de la página, para comenzar la compilación.
- De ser necesario, descargue el artefacto con los resultados del análisis, que estará disponible en la pestaña Artifacts, en la página de resultados de análisis en la interfaz web de TeamCity.
Definir la ruta a imágenes de contenedores
Para iniciar un análisis, la solución debe determinar la ruta a las imágenes del contenedor que deben analizarse. Esta ruta puede especificarse de dos formas:
- Detallando la etiqueta de la imagen después del nombre del registro, el nombre del repositorio y el nombre de la imagen. La etiqueta es una descripción de la imagen modificable y fácil de leer.
En este caso, la ruta tendrá el siguiente formato:
<registro>/<repositorio>/<nombre de la imagen>:<etiqueta>
. Por ejemplo, http://docker.io/library/nginx:1.20.1. - Detallando el código hash de la imagen después del nombre del registro, el nombre del repositorio y el nombre de la imagen. El código hash es una propiedad interna e integral de una imagen, en particular, el hash de su contenido (se utiliza un algoritmo de hash SHA256).
Al usar un código hash, la ruta será la siguiente:
<registro>/<repositorio>/<nombre de la imagen><código hash>
. Por ejemplo, http://docker.io/library/nginx@sha256:af9c...69ce.
Una etiqueta puede asignarse a diferentes códigos hash, mientras que el código hash es exclusivo de cada imagen.
Según el método usado para especificar la ruta a la imagen, Kaspersky Container Security realiza una de las siguientes acciones antes del análisis:
- Convierte la etiqueta en un código hash de confianza.
- Verifica si el código hash especificado en la ruta de la imagen es de confianza. Se considerará que un código hash es de confianza si garantiza cierto nivel de seguridad para mantener la protección deseada respecto del objeto codificado con el algoritmo de hash.
Solo se envían códigos hash de confianza al entorno de ejecución del contenedor.
Antes de ejecutar un contenedor, el contenido de la imagen se compara con el código hash recibido. Para reconocer un código hash como de confianza y una imagen como no dañada, Kaspersky Container Security verifica la integridad y la autenticidad de la firma de la imagen.
Supervisar la integridad y el origen de las imágenes
Al analizar imágenes en CI/CD, Kaspersky Container Security ofrece protección frente a la suplantación de imágenes a nivel del registro. Para controlar la integridad y el origen de las imágenes de los contenedores desplegados en el clúster del orquestador, se verifican las firmas de las imágenes, comenzando en la etapa de compilación en CI.
La integridad de las imágenes se controla en dos etapas:
- Las imágenes de contenedores se firman después de crearse. Para ello se utilizan aplicaciones externas de firmas.
- Las firmas de las imágenes se verifican antes de desplegar las imágenes.
La solución guarda una clave de firma, que se basa en la función hash SHA256 y se utiliza como el código para validar la firma. Al desplegarse en un orquestador, Kaspersky Container Security consulta al servidor de firmas para confirmar la autenticidad de la firma.
Kaspersky Container Security verifica las firmas de las imágenes de la siguiente manera:
- En la sección Administration → Integrations → Image signature validators, puede configurar la integración de la solución a aplicaciones externas de validación de firmas en imágenes.
- En la sección Policies → Runtime → Policies, se añade una directiva referente a la ejecución para proteger el contenido de la imagen. La directiva referente a la ejecución valida la autenticidad de las firmas. Las firmas digitales se validan sobre la base de la configuración de los validadores de firmas en imágenes.
- El orquestador inicia el despliegue de imágenes y utiliza un para ejecutar una solicitud de despliegue al agente (kube-agent).
Para enviar la solicitud al agente de Kaspersky Container Security, configure el controlador de admisión dinámica en el archivo de configuración values.yaml.
- Sobre la base de la directiva referente a la ejecución pertinente, el agente verifica la configuración de la validación de firmas en la sección Administration → Integrations → Image signature validators.
- Si dicha verificación confirma la autenticidad y la validez de la firma, la solución permite que la imagen se despliegue. De lo contrario, se bloqueará el despliegue.
Ejecutar análisis en modo SBOM
Kaspersky Container Security le permite iniciar Scanner para verificar las imágenes en busca de vulnerabilidades en el modo
. En este caso, la solución analiza el archivo SBOM creado en lugar del archivo comprimido TAR.Usar una SBOM plantea las siguientes ventajas:
- Menos recursos necesarios para analizar imágenes en busca de vulnerabilidades
- Menor tiempo de análisis debido a la verificación automática del funcionamiento y el uso correctos de los componentes de la solución
- Capacidad de análisis de todas las vulnerabilidades existentes en una imagen sin excepciones
- Alta fiabilidad en los resultados de los análisis
En CI/CD, el proceso de análisis comprende dos etapas: la recepción de un archivo SBOM y el análisis de una imagen sobre la base del archivo SBOM recibido. El análisis de las imágenes se realiza de la siguiente manera:
- Durante el análisis de CI/CD se genera la lista de los componentes de la imagen y se envía el artefacto generado a Kaspersky Container Security.
- Con el controlador de la imagen, la solución reenvía el archivo SBOM recibido para su análisis.
Para analizar en el modo SBOM, Kaspersky Container Security inicia un análisis con bases de datos preinstaladas que contienen información sobre vulnerabilidades y otros objetos maliciosos (
scanner:v2.0-with-db
,scanner:v2.0-with-db-java
).
Para analizar imágenes en CI/CD, debe especificar los valores de las siguientes variables de entorno en el archivo:
API_TOKEN
: valor del token de la API de Kaspersky Container SecurityAPI_BASE_URL
: URL de Kaspersky Container SecurityAPI_CA_CERT
: datos del certificado de CA del controlador de entrada que permite al componente Scanner ejecutado en CI/CD verificar la autenticidad del servidor de recepción de datos. Si utiliza un certificado autofirmado o desea omitir la verificación del servidor de recepción de datos con el certificado de CA del controlador de entrada, debe proporcionar el valor de la variable para omitir la verificación:SKIP_API_SERVER_VALIDATION: 'true'
COMPANY_EXT_REGISTRY_USERNAME
: determine el nombre de la cuenta del registro de la imagen analizada.COMPANY_EXT_REGISTRY_PASSWORD
: determine la contraseña del registro de la imagen analizada.COMPANY_EXT_REGISTRY_TLS_CERT
: determine los datos del certificado para establecer una conexión segura con el registro.Los datos del certificado se declaran como una cadena en el formato .PEM:
-----BEGIN CERTIFICATE-----\n... <
datos del certificado
> ...\n-----END CERTIFICATE-----
.HTTP_PROXY
: servidor proxy para solicitudes HTTPHTTPS_PROXY
: servidor proxy para solicitudes HTTPSNO_PROXY
: dominios o máscaras de dominio adecuadas que se excluirán del redireccionamiento
Para los siguientes análisis, Kaspersky Container Security generará un informe en el formato CycloneDX. También puede generar un artefacto con la SBOM para descargarlo desde el proceso de CI/CD en los formatos
o .Para generar un archivo SBOM con formato .SPDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --spdx --stdout > example.spdx
donde:
<--sbom>
indica la creación de un archivo SBOM.
<--spdx>
indica que el artefacto se genera con el formato .SPDX.
<--stdout > example.spdx>
indica la salida de los datos a un archivo con el formato .SPDX.
Para generar un archivo SBOM con formato .CDX cuando Scanner opera en la creación de la SBOM:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --sbom --cdx --stdout > example.cdx.json
donde:
<--sbom>
indica la creación de un archivo SBOM.
<--cdx>
indica que el artefacto se genera con el formato .CDX.
<--stdout > example.cdx.json>
indica la salida de los datos a un archivo con el formato .JSON.
El archivo resultante (por ejemplo, example.cdx.json) se especifica como un artefacto artifacts: paths:
El análisis con un archivo SBOM solo es posible al analizar imágenes en busca de vulnerabilidades. Si el proceso de CI/CD exige analizar en busca de otros riesgos y amenazas (como configuraciones incorrectas), debe ejecutar el análisis correspondiente de forma independiente y añadir los resultados al controlador de la imagen junto al archivo SBOM.
Inicio de página
Ejecutar análisis en modo SBOM básico
Kaspersky Container Security le permite iniciar Scanner para verificar las imágenes en busca de vulnerabilidades en el modo SBOM básico. En este caso, la solución analiza un archivo SBOM creado especialmente y los resultados estarán disponibles en la etapa de CI/CD.
Los datos al escuchar e interceptar el tráfico de red deben transferirse de forma segura entre el entorno de CI/CD y la solución.
Puede generar un artefacto para descargar y recibir los resultados en los formatos .SPDX, .HTML, .JSON o .CDX.
Puede obtener los resultados de los análisis en el formato que especificó y también puede visualizarlos desde la sección Resources → CI/CD.
Ejecutar un análisis en GitLab
Para iniciar el análisis en el modo SBOM básico en GitLab, al configurar el análisis de imágenes en el proceso de CI/CD, debe editar el archivo de configuración .gitlab-ci.yml de la siguiente manera:
- Añada información sobre la imagen que se analizará en CI/CD de la siguiente manera:
scan_image:
stage: scanner
image:
name:repo.cloud.example.com/repository/company/scanner:v.2.0.0-lite
entrypoint: [""]
pull_policy: always
- Detalle la etiqueta de la plataforma de orquestación:
k8s
En el ejemplo, la etiqueta
k8s
se utiliza para Kubernetes, pero también puede especificar otra etiqueta para otra plataforma de orquestación compatible. - Especifique el ID de compilación, los datos del registro de imágenes de la imagen analizada y del certificado para establecer una conexión segura con el registro, el ID de la canalización y el token de la API para autorizar las solicitudes del análisis de CI/CD en Kaspersky Container Security de la siguiente manera:
SCAN_TARGET: ${CI_REGISTRY_IMAGE}:master
COMPANY_EXT_REGISTRY_USERNAME: ${COMPANY_EXT_REGISTRY_USERNAME}
COMPANY_EXT_REGISTRY_PASSWORD: ${COMPANY_EXT_REGISTRY_PASSWORD}
COMPANY_EXT_REGISTRY_TLS_CERT: ${COMPANY_EXT_REGISTRY_TLS_CERT}
BUILD_NUMBER: ${CI_JOB_ID}
BUILD_PIPELINE: ${CI_PIPELINE_ID}
API_TOKEN:
<API token value>
HTTP_PROXY
:<servidor proxy para solicitudes HTTP>
HTTPS_PROXY
–<proxy server for HTTPS requests>
NO_PROXY
–<domains or appropriate domain masks to be excluded from proxying>
Los datos del certificado para establecer una conexión segura con el registro de imágenes en la variable
COMPANY_EXT_REGISTRY_TLS_CERT
se especifican como una cadena en el formato .PEM:
-----BEGIN CERTIFICATE-----\n...
<datos del certificado
> ...\n-----END CERTIFICATE-----
. - Si es necesario, especifique una variable para analizar el certificado de la API de la solución:
API_CA_CERT: ${KCS_CA_CERT}
Si no se configura la variable
API_CA_CERT
, el análisis comenzará, pero no podrá completarse. - Especifique la dirección web del servidor host de la API de Kaspersky Container Security:
API_BASE_URL –
<web address>
- Especifique el comando para crear un artefacto en uno de los siguientes formatos cuando se inicie el análisis:
- Para generar un artefacto en el formato .JSON:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > artifact-result.json
artifacts:
paths:
- artifact-result.json
- Para generar un artefacto en el formato .HTML:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > artifact-result.html
artifacts:
paths:
- artifact-result.html
- Para generar un artefacto SBOM en el formato .SPDX:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --spdx --stdout > artifact-result.spdx
artifacts:
paths:
- artifact-result.spdx
- Para generar un artefacto SBOM en el formato .JSON:
script:
- /bin/sh /entrypoint.sh $SCAN_TARGET --cdx --stdout > artifact-result.cdx.json
artifacts:
paths:
- artifact-result.cdx.json
- Para generar un artefacto en el formato .JSON:
Ejecutar un análisis fuera del proceso de CI/CD
En caso de recursos limitados, puede ejecutar la herramienta de análisis de Kaspersky Container Security independientemente de los nodos de trabajo en el proceso de CI/CD. Por ejemplo, mediante el comando docker run
en un nodo de Docker o como un Job en un clúster de Kubernetes.
Para ahorrar la mayor cantidad de recursos, recomendamos utilizar la imagen scanner: 2.0.0-lite, ya que no contiene bases de datos de vulnerabilidades y envía el archivo SBOM en función de los resultados del análisis de la imagen de destino a la solución que utiliza la API.
Para iniciar la herramienta de análisis de Kaspersky Container Security fuera del proceso de CI/CD, debe especificar los siguientes parámetros obligatorios:
API_TOKEN: el <
valor del token de la API
>
es el token del usuario de Kaspersky Container Security para la autenticación en la interfaz de la API de la solución.API_BASE_URL: la <
dirección web
>
es un enlace para acceder a la interfaz de la API de Kaspersky Container Security. Se puede acceder a la interfaz mediante los protocolos HTTP y HTTPS, según las variables de entorno de la solución desplegada.API_CA_CERT: el <
certificado en formato .PEM
>
es una variable para la validación del certificado de la API de la solución.SKIP_API_SERVER_VALIDATION = true
es una variable que, de ser necesario, se puede especificar para omitir la validación del certificado de la API de Kaspersky Container Security.
También puede especificar parámetros adicionales para el funcionamiento de la herramienta de análisis:
COMPANY_EXT_REGISTRY_USERNAME: el <
nombre de usuario del registro
>
es el nombre de usuario del registro donde se almacena la imagen que se va a analizar.COMPANY_EXT_REGISTRY_PASSWORD: la <
contraseña del usuario del registro
>
es la contraseña del usuario del registro donde se almacena la imagen que se va a analizar.BUILD_NUMBER: el <
ID del número de compilación
>
es el ID que se usa para rastrear el número de compilación en la interfaz de la solución. Kaspersky Container Security muestra el número en los resultados del análisis del proceso de CI/CD.BUILD_PIPELINE: el <
ID del número de canalización
>
es el identificador que se utiliza para rastrear el número de canalización en la interfaz de la solución. Kaspersky Container Security muestra el número en los resultados del análisis del proceso de CI/CD.HTTP_PROXY
: el <servidor proxy para solicitudes HTTP
>
es una variable que indica el uso de un servidor proxy HTTP cuando se requiere acceso a recursos externos.HTTPS_PROXY
: el <servidor proxy para solicitudes HTTPS
>
es una variable que indica el uso de un servidor proxy HTTPS cuando se requiere acceso a recursos externos.NO_PROXY
: los <dominios o máscaras correspondientes a dominios utilizados para la exclusión de proxy
>
son una variable que indica los recursos disponibles de manera local cuando se utiliza un servidor proxy.
Ejecutar un análisis en Docker
Ejecutar el análisis como un Job en un clúster de Kubernetes
Inicio de página
Obtener resultados del análisis en formato JSON o HTML
Al usar Kaspersky Container Security para analizar imágenes en CI/CD, debe generar y guardar un artefacto que contenga los resultados del análisis en la plataforma de CI/CD. Para ello, debe usar un archivo de configuración del sistema de repositorios externo integrado a la solución. Por ejemplo, puede usar un archivo de configuración .gitlab-ci.yml en GitLab.
Puede generar un artefacto que contenga los resultados del análisis en las siguientes situaciones:
- Cuando se realiza un análisis completo de CI/CD, se puede generar un archivo de los resultados del análisis en los formatos .HTML o .JSON.
- Cuando se analiza y se crea una SBOM, se puede generar un archivo que contenga los resultados del análisis en los formatos .SPDX o .JSON.
Para generar un archivo de los resultados del análisis en el formato .HTML:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --html --stdout > example.html
donde:
<--html>
indica que el artefacto se genera con el formato .HTML.
<--stdout > example.html>
indica la salida de los datos a un archivo con el formato .HTML.
Para generar un archivo de los resultados del análisis completo de CI/CD en formato .JSON:
Introduzca el siguiente comando en el archivo de configuración .gitlab-ci.yml:
- /bin/sh /entrypoint.sh $SCAN_TARGET --stdout > example.json
donde:
<--stdout > example.json>
indica la salida de los datos a un archivo con el formato .JSON.
El archivo resultante (por ejemplo, example.json) se especifica como un artefacto: artifacts: paths:
Especificar secretos al iniciar un análisis
Al iniciar una tarea de análisis en el proceso de CI/CD, se puede acceder al registro que contiene la imagen de análisis (análisis básico o with-db para la versión correspondiente de Kaspersky Container Security) solo después de una autorización correcta. Para ello, puede pasar los secretos necesarios a la tarea de análisis.
Para autorizar el acceso al registro al iniciar una tarea de análisis:
- Cree un secreto:
kubectl create secret docker-registry ci-creds --docker-server=client.repo.example.com --docker-username=username --docker-password=password
- En la tarea de análisis, especifique el valor de la variable
imagePullSecrets
:imagePullSecrets:
- name: ci-creds
- Inicie la tarea de análisis.
Ejemplo de una tarea de análisis y secretos para la autorización
En este ejemplo, la tarea de análisis contiene los siguientes secretos:
- El secreto para descargar la imagen de análisis (especificado en la variable
imagePullSecrets
) - La contraseña para descargar la imagen de análisis si el acceso al registro pertinente está limitado (especificada en la variable
COMPANY_EXT_REGISTRY_PASSWORD
)
Puede omitir estas contraseñas si puede acceder sin autorización al registro al que la solución obtiene acceso al ejecutar una tarea de análisis.
Inicio de página
Configurar la integración a validadores de firmas en imágenes
Kaspersky Container Security puede verificar la autenticidad y la validez de las firmas digitales de las imágenes. Para ello, debe configurar la integración de la solución a una o más aplicaciones externas de firmas. Los detalles específicos de la firma de un código hash de la imagen, la ubicación de las firmas y la protección de las firmas dependen de la aplicación de firmas que haya elegido. La solución admite dos aplicaciones externas de validación de firmas:
- Notary v1 es un servicio web desarrollado por Docker que se utiliza para garantizar la seguridad de los contenedores en diferentes etapas del ciclo de vida, que incluyen la creación y el posterior almacenamiento de las firmas.
- Cosign es un servicio web diseñado para crear firmas en contenedores, verificarlas y colocar contenedores firmados en repositorios. La herramienta se desarrolló durante el proyecto .
En la sección Administration → Integrations → Image signature validators, puede configurar la integración a un validador de firmas en imágenes.
Inicio de página
Visualizar lista de integraciones a validadores de firmas
En la sección Administration → Integrations → Image signature validators, verá una tabla que contiene todas las integraciones configuradas a validadores de firmas en imágenes.
En la tabla, verá la siguiente información sobre los validadores de firmas en imágenes incorporados:
- Nombre del validador
- Descripción (si se ha especificado una al crear la integración)
- Tipo de validador de firmas en imágenes: Notary v1 o Cosign
- Dirección web a la cual se conecta el validador de firmas en imágenes
En la tabla, puede realizar las siguientes acciones:
- Añadir nuevas integraciones a módulos de verificación de firmas. Haga clic en Add signature validator por encima de la lista para abrir la ventana de configuración de integraciones.
- Ver y editar la configuración de la integración al módulo de verificación de firmas en imágenes. Puede hacer clic en el enlace del nombre del módulo de verificación para abrir la ventana de edición.
- Eliminar una integración a un validador de firmas en imágenes.
Añadir una integración a un validador de firmas en imágenes
Para añadir una integración a un validador de firmas en imágenes:
- En la sección Administration → Integrations → Image signature validators, haga clic en el botón Add signature validator.
Se abre la ventana de configuración de la integración.
- En la sección General information, introduzca el nombre de la directiva y, de ser necesario, una descripción.
- En la sección Type, elija uno de los siguientes validadores de firmas:
- Notary v1
- Cosign
- Según el validador de firmas que elija, deberá especificar las credenciales de autenticación del servidor:
- En el caso de Notary v1, especifique lo siguiente:
- Web address: dirección web completa del servidor donde se almacenan las firmas en las imágenes.
- Signature server authentication secret name: nombre del secreto del orquestador y credenciales para acceder al servidor donde se almacenan las firmas en las imágenes.
El secreto debe estar en el espacio de nombres de Kaspersky Container Security.
- Certificate: certificado autogenerado para el servidor donde se almacenan las firmas. El certificado se genera en formato .PEM.
- Delegations: lista de titulares de firmas que participan en el proceso de firma.
- Trusted roots: pares de todas las claves públicas que la solución verificará durante la verificación de firmas. Un par de clave incluye el nombre y el valor de la clave.
De ser necesario, puede hacer clic en el botón Add key pair para añadir claves adicionales. La solución admite hasta 20 pares de claves.
- En el caso de Cosign, especifique lo siguiente:
- Signature server authentication secret name: nombre del secreto del orquestador y credenciales para acceder al servidor donde se almacenan las firmas en las imágenes.
El secreto debe estar en el espacio de nombres de Kaspersky Container Security.
- Certificate: certificado autogenerado para el servidor donde se almacenan las firmas. El certificado se genera en formato .PEM.
- Trusted roots: pares de todas las claves públicas que la solución verificará durante la verificación de firmas; Un par de clave incluye el nombre y el valor de la clave.
En el caso de Cosign, debe especificar las claves públicas para los algoritmos ECDSA o RSA que proporciona cosign.pub.
De ser necesario, puede hacer clic en el botón Add key pair para añadir claves adicionales. La solución admite hasta 20 pares de claves.
- Signature requirements: número mínimo de firmas y de titulares de firmas que deben firmar la imagen.
- Signature server authentication secret name: nombre del secreto del orquestador y credenciales para acceder al servidor donde se almacenan las firmas en las imágenes.
- En el caso de Notary v1, especifique lo siguiente:
- Haga clic en el botón Save, en la parte superior de la ventana, para guardar la configuración de la integración al validador de firmas en imágenes.
Puede usar la integración configurada en directivas referentes a la ejecución para garantizar la protección del contenido de la imagen.
Inicio de página
Visualizar y editar la información sobre la integración a validadores de firmas en imágenes
Para ver y editar la configuración de la integración a un validador de firmas en imágenes:
- En la sección Administration → Integrations → Image signature validators, haga clic en el enlace del nombre de la integración, en la lista de integraciones a validadores de firmas.
- De ser necesario, en la ventana que se abre, edite la siguiente configuración de la integración, que variará según el validador de firmas elegido:
- En el caso de Notary v1, puede modificar los siguientes parámetros de configuración:
- Validator name
- Description
- URL
- Signature server authentication secret name
- Certificate
- Delegations
- Key name
- Key value
- En el caso de Cosign, puede modificar los siguientes parámetros de configuración:
- Signature server authentication secret name
- Certificate
- Key name
- Key value
- Threshold
- Required signers
- En el caso de Notary v1, puede modificar los siguientes parámetros de configuración:
- De ser necesario, puede hacer clic en el botón Add key pair para añadir pares de claves.
- Haga clic en el botón Save en la parte superior de la ventana.
Eliminar la integración a un validador de firmas en imágenes
Para eliminar una integración a un validador de firmas en imágenes:
- Abra la lista que contiene las integraciones configuradas a validadores de firmas en imágenes.
- Elija la casilla de verificación en la fila del nombre de la integración que desee eliminar.
- Haga clic en Delete por encima de la tabla.
Podrá hacer clic en el botón Delete después de elegir al menos una integración.
- En la ventana que se abre, confirme la eliminación.
Configurar una integración a servicios de notificaciones
Kaspersky Container Security puede enviar notificaciones a los usuarios acerca de eventos de conformidad con la configuración de las directivas de respuesta. Para usar esta función de notificación, debe configurar la integración de Kaspersky Container Security a uno o más servicios de notificaciones.
Kaspersky Container Security es compatible con los siguientes servicios:
- Correo electrónico
- Telegram, un sistema de mensajería instantánea
Visualizar lista de integraciones a servicios
Para visualizar la lista de integraciones a servicios configuradas:
- Diríjase a la sección Administration → Integrations → Notifications.
- Según el tipo de notificación que desee recibir, deberá ir a la pestaña Email o Telegram.
La tabla que contiene una lista de todas las integraciones configuradas muestra la siguiente información sobre las integraciones actuales:
- Nombre de la integración.
- Quién realizó la actualización.
- Fecha y hora de la última actualización.
- Estado de la última conexión al servicio de notificaciones: Success o Error. Si aparece el estado Error, la solución también muestra una descripción breve del error de conexión.
En la tabla, puede realizar las siguientes acciones:
- Añadir nuevas integraciones a correos electrónicos o Telegram. Haga clic en Add integration por encima de la tabla para abrir la ventana de configuración de integraciones.
- Ver y editar la configuración de la integración a servicios de notificaciones. Haga clic en el enlace del nombre de la integración para abrir la ventana de edición.
En esta ventana, también puede hacer clic en Test connection para ver si se completó la integración al servicio de notificaciones.
- Eliminar la integración a servicios.
Añadir integraciones a correos electrónicos
Para añadir una integración a correos electrónicos:
- En Administration → Integrations → Notifications, en la sección Email, haga clic en Add integration.
Se abre la ventana de configuración de la integración.
- Introduzca la siguiente información:
- Nombre de la integración: mostrado en la configuración de la directiva de respuesta
- Nombre de usuario y contraseña de la cuenta usada para enviar mensajes
- Nombre del servidor SMTP
- Método de cifrado de correos electrónicos
- Puerto utilizado por el servidor SMTP
- Dirección de correo electrónico del emisor del mensaje
- Direcciones de correo electrónico de los destinatarios del mensaje (en este campo, puede introducir más de una dirección)
- Haga clic en Test connection para verificar si se puede establecer una conexión con el correo electrónico.
- Haga clic en Add para guardar la integración al correo electrónico.
Ejemplo de la configuración de la integración al correo electrónico
Puede usar la integración configurada en las directivas de respuesta.
Inicio de página
Visualizar información acerca de la integración a correos electrónicos
Para visualizar y modificar una integración al correo electrónico:
- En la sección Email, en Administration → Integrations → Notifications, haga clic en el enlace del nombre de la integración, en la lista de integraciones.
- En la ventana de edición que se abre, modifique los parámetros de configuración necesarios de la integración:
- Nombre
- Nombre de usuario
- Contraseña de la cuenta de usuario utilizada para enviar los mensajes
- Nombre del servidor SMTP
- Método de cifrado de correos electrónicos
- Puerto utilizado por el servidor SMTP
- Dirección de correo electrónico del emisor del mensaje
- Direcciones de correo electrónico de los destinatarios del mensaje
- Haga clic en Test connection para verificar si se puede establecer una conexión con el correo electrónico.
- Haga clic en Save.
Añadir integraciones a Telegram
Para añadir una integración a Telegram:
- En Administration → Integrations → Notifications, en Telegram, haga clic en Add integration.
Se abre la ventana de configuración de la integración.
- Introduzca la siguiente información:
- Nombre de la integración: mostrado en la configuración de la directiva de respuesta.
- ID del chat donde se publicarán los mensajes; puede obtenerlo de la siguiente manera:
- Escriba el primer mensaje en el bot de mensajes. El ID del chat se genera la primera vez que envía un mensaje.
- En la barra de dirección del navegador, escriba lo siguiente:
https://api.telegram.org/bot
<token>
/getUpdates
donde <token> representa el token del bot de mensajes.
- En el archivo de respuesta .json que reciba, busque el valor "ID" en el objeto "chat". Este valor es el ID del chat.
Después de modificar la configuración de visibilidad del historial de mensajes para los nuevos participantes en el chat de Telegram, también se modificará el ID del chat. En este caso, deberá modificar la configuración de la integración a Telegram y especificar el nuevo valor del ID del chat.
- Token del bot de mensajes: recibirá este token después de ejecutar el comando
/newbot
en el bot BotFather para crear un bot. También puede ejecutar el comando/token
para obtener el token de un bot creado anteriormente.
- Haga clic en Test connection para verificar si se puede establecer una conexión con Telegram.
- Haga clic en Add para guardar la integración a Telegram.
Ejemplo de la configuración de la integración a Telegram
Puede usar la integración configurada en las directivas de respuesta.
Inicio de página
Visualizar y editar información acerca de la integración a Telegram
Para visualizar y modificar una integración a Telegram:
- En Telegram, en la sección Administration → Integrations → Notifications, haga clic en el enlace del nombre de la integración en la lista de integraciones.
- En la ventana de edición que se abre, modifique los parámetros de configuración necesarios de la integración:
- Nombre.
- ID del chat
- Token del bot
- Haga clic en Test connection para verificar si se puede establecer una conexión con Telegram.
- Haga clic en Save.
Eliminar integraciones a servicios de notificaciones
Para eliminar una integración a Telegram o a correos electrónicos:
- En la sección Administration → Integrations → Notifications, abra la lista de integraciones a Telegram o a correos electrónicos configuradas.
- Elija la casilla de verificación en la fila del nombre de la integración que desee eliminar.
- Haga clic en Delete por encima de la tabla.
Podrá hacer clic en el botón Delete después de elegir al menos una integración.
- En la ventana que se abre, confirme la eliminación.
No puede eliminar una integración utilizada en una o más directivas de respuesta.
Inicio de página
Configurar la integración a un servidor LDAP
Kaspersky Container Security le permite conectarse con los servidores de
externos que se usan en su organización mediante . Se trata de una integración a un grupo específico en .La conexión con un servicio de directorios externo mediante el protocolo LDAP le permite realizar las siguientes tareas:
- Configurar cuentas de usuarios para tomar datos de un servicio de directorios externo y trabajar con Kaspersky Container Security.
- Relacionar usuarios en Kaspersky Container Security con grupos de usuarios de Active Directory. Los usuarios de estos grupos podrán usar las credenciales de sus cuentas de dominio para iniciar sesión en la interfaz web de la solución y acceder a las funcionalidades de la aplicación sobre la base del rol asignado.
Recomendamos que cree estos grupos de usuarios en Active Directory con anterioridad para poder completar la autorización con las cuentas de dominio en la interfaz web de Kaspersky Container Security.
Deberá indicar una dirección de correo electrónico en las cuentas de usuario de Active Directory.
Crear una integración a un servidor LDAP
Para crear una integración a un servidor LDAP:
- En la sección Administration → Integrations → LDAP, haga clic en el botón Connect server.
Se abrirá la ventana de configuración del servidor LDAP.
- Elija un modo para validar los certificados de la conexión con el servidor LDAP. De manera predeterminada, se especifica el modo Certificate chain y se verifican los certificados que Kaspersky Container Security guarda durante la primera conexión con el servidor LDAP. Puede elegir el modo Root certificate e introducir los datos del certificado raíz en el campo de texto correspondiente.
No modifique el modo predeterminado de validación de certificado, a menos que utilice un certificado raíz para conectarse con el servidor LDAP.
- Configure los siguientes parámetros obligatorios:
- Dirección web (URL) del servidor LDAP de la empresa
La dirección web del servidor LDAP se especifica de la siguiente manera:
ldap://<host>:<puerto>
. Por ejemplo,ldap://ldap.example.com:389
. - Nombre y contraseña de la cuenta de usuario técnica
Bind DN es el nombre distintivo de la cuenta de usuario técnica necesaria para la autenticación inicial y la búsqueda de un usuario en Active Directory.
Puede especificar el nombre de la cuenta de usuario técnica de forma completa o con el formato <
login@domain>
si el servidor LDAP admite este formato en la autenticación.En el campo Bind DN password, debe introducir la contraseña de la cuenta especificada.
Antes de actualizar la solución, asegúrese de haber completado los campos Bind DN y Bind DN password. Si no especifica estos parámetros de configuración, la integración al servidor LDAP no funcionará.
- Base DN es el nombre que identifica y describe de forma única a un registro del servidor de directorios LDAP
Por ejemplo, el nombre base distintivo de example.com sería
dc=example,dc=com
.
- Dirección web (URL) del servidor LDAP de la empresa
- De ser necesario, Kaspersky Container Security puede emplear los datos disponibles para completar los campos restantes del formulario de creación de la integración. Para ello y según la razón para crear la integración, realice una de las siguientes acciones:
- Si desea crear una integración a un servidor mediante el protocolo LDAP, haga clic en el botón Autofill as LDAP.
- Si desea configurar la integración directamente para el grupo del servicio de Active Directory asociado con el rol en Kaspersky Container Security, haga clic en el botón Autofill as Active Directory.
Kaspersky Container Security especifica los atributos de los valores de los parámetros, no los valores. Por ejemplo, la solución especificará un atributo del nombre de usuario que puede usarse para buscar al usuario, no especificará este nombre de usuario.
La solución completa el formulario de creación de la integración con los siguientes atributos de los valores de los parámetros:
- User filter para definir la configuración de búsqueda de usuarios en Active Directory
- Group filter para definir la configuración de búsqueda de grupos en Active Directory
Kaspersky Container Security utiliza los valores más generales para los filtros a fin de garantizar el funcionamiento de casi todas las configuraciones posibles. Cuando configure User filter y Group filter, le recomendamos que solo almacene los valores de atributos que se usan en Active Directory.
- En Base schema, la solución determina los siguientes parámetros de configuración:
- Organizational unit name attribute
- Distinguished name attribute
- En User lookup schema, la solución determina los siguientes parámetros de configuración:
- User first name attribute
- User lastname attribute
- Group name attribute
- User username
- Group member
- User email attribute
- User member of
De ser necesario, puede editar los valores que especifica la solución en el formulario de creación de la integración.
- Para verificar si los valores son correctos, haga clic en Test connection.
Kaspersky Container Security mostrará una notificación con información sobre la conexión correcta con el servidor LDAP o un error al intentar establecer la conexión.
- Haga clic en Save.
Si se modifica el certificado del servidor LDAP, vuelva a configurar la integración.
Puede usar la integración configurada al crear y asignar roles de usuarios.
Inicio de página
Visualizar, configurar o eliminar la integración a un servidor LDAP
Para visualizar una conexión con el servidor LDAP:
Diríjase a la sección Administration → Integrations → LDAP.
Kaspersky Container Security muestra la siguiente información sobre el servidor LDAP conectado:
- Dirección web del servidor LDAP conectado.
- Estado de la última conexión con el servidor: Success, Not available o Error Si aparece el estado Error, la solución también muestra una descripción breve del error de conexión.
Para editar la configuración de la integración al servidor LDAP:
En la sección Administration → Integrations → LDAP, haga clic en el botón Edit settings.
Kaspersky Container Security abrirá la página que contiene el formulario con los datos de la integración al servidor LDAP.
Para eliminar una integración a un servidor LDAP:
- En la sección Administration → Integrations → LDAP, haga clic en Delete integration.
- En la ventana que se abre, confirme la eliminación.
Probar la conexión con un servidor LDAP
Para probar la conexión con un servidor LDAP:
- Diríjase a la sección Administration → Integrations → LDAP.
- Realice una de las siguientes acciones:
- Si la integración al servidor LDAP ya ha sido creada, haga clic en el botón Test connection.
- Si está creando una integración a un servidor LDAP o editando la configuración, haga clic en Test connection debajo del formulario que tiene los datos de la integración al servidor LDAP.
Kaspersky Container Security mostrará una notificación con información sobre la conexión con el servidor LDAP o un error al intentar establecer la conexión.
Obtener acceso a un grupo de Active Directory
Después de configurar la integración al servidor LDAP, podrá especificar un grupo de Active Directory para cada rol en Kaspersky Container Security. Después de autorizar las credenciales de las cuentas, los usuarios de este grupo obtendrán acceso a las funcionalidades de la solución sobre la base de los roles que tengan.
Inicio de página
Configurar la integración a sistemas SIEM
Kaspersky Container Security le permite conectarse con
para enviar mensajes de eventos para analizar y responder ante posibles amenazas. Estos mensajes contienen datos para los mismos tipos y las categorías de eventos que se recogen en el registro de eventos de seguridad. También se transmiten los datos sobre eventos de supervisión de nodos en clústeres mediante la integración a sistemas SIEM y los enlaces de grupos de agentes.Los mensajes se envían a un sistema SIEM en el formato
, por ejemplo:CEF:0|Kaspersky|Kaspersky Container Security|2.0|PM-002|Process management|7|dpid=1846367 spid=1845879 flexString2=0ce05246346b6687cb754cf716c57f20f226e159397e8e5985e55b448cb92e3f flexString2Label=Container ID cs6=alpine cs6Label=Container name outcome=Success
El mensaje transmitido está compuesto por los siguientes componentes:
- Encabezado , que especifica el nombre de host, la fecha y la hora
- Prefijo y número de la versión de CEF
- Proveedor del dispositivo
- Nombre de la solución
- Versión de la solución
- Código único del tipo de evento generado por la solución
- Descripción del evento
- Evaluación de la gravedad de un evento
- Información adicional, como la dirección IP del dispositivo, el motivo del evento, el resultado del evento y el estado del evento
Para obtener información detallada sobre los componentes, consulte la tabla que contiene el significado de los valores de los mensajes CEF.
Significado de los campos con mensajes CEF
Los mensajes CEF enviados están en idioma inglés.
En la tabla siguiente, verá los principales componentes del encabezado y el cuerpo de los mensajes CEF que envía Kaspersky Container Security.
Componentes y valores de los componentes de los mensajes CEF
Componente |
Valor |
Ejemplo |
---|---|---|
Encabezado estándar del mensaje CEF (encabezado syslog) |
El encabezado se envía en el siguiente formato: |
|
Prefijo y versión del formato CEF |
|
|
ID del evento |
Proveedor del dispositivo Producto en el dispositivo Versión en el dispositivo |
|
ID único del tipo de evento (ID de firma) |
Kaspersky Container Security envía estos ID para los siguientes tipos de eventos:
|
Algunos de los ID de tipos de eventos que envía la solución:
|
Descripción del evento (nombre) |
La descripción debe poder ser leída por un usuario y relevante según el ID del tipo de evento. Por ejemplo, "Administration" (administración) para ADM o "Process management" (gestión de procesos) para PM. |
Algunos de los nombres de los eventos que envía la solución:
|
Importancia del evento (gravedad) |
La gravedad de un evento se representa mediante una escala de 0-10 de la siguiente manera:
La puntuación de gravedad de un evento depende del tipo y el estado del evento (Success o Failure). |
Por ejemplo, la puntuación de gravedad puede determinarse de la siguiente manera:
|
Información adicional del evento (extensión) |
La información adicional podría incluir uno o más conjuntos de pares clave-valor. |
A continuación, se detalla la información sobre los pares clave-valor que Kaspersky Container Security envía. |
Información adicional sobre un evento que envía Kaspersky Container Security
Crear una integración a un sistema SIEM
Para añadir una integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, haga clic en Add SIEM.
Se mostrará una barra lateral, en donde puede introducir los parámetros del sistema SIEM.
- En la pestaña General, especifique los siguientes parámetros obligatorios:
- Nombre del sistema SIEM.
- Protocolo de la conexión con el sistema SIEM; el valor TCP está seleccionado de forma predeterminada.
- Dirección del servidor del sistema SIEM en uno de los siguientes formatos:
- IPv4
- IPv6
- FQDN
- Puerto de la conexión con el sistema SIEM. Puede especificar puertos de 1-65535. El valor predeterminado es 514.
- Categorías de eventos sobre los cuales desee exportar mensajes al sistema SIEM. Para configurar esto, elija las casillas de verificación que se encuentran junto a una o más categorías de eventos de la siguiente lista:
- Administration
- Alert
- CI/CD
- Policies
- Resources
- Scanners
- Admission controller
- Forensic data
- API
Deberá tener una licencia avanzada para ver los eventos de las categorías Resources, Scanners, Admission controller y Forensic data.
De forma predeterminada, todos los estados están seleccionados.
Se envían los mensajes sobre las categorías de eventos elegidas al sistema SIEM especificado, sin importar si está vinculado con los grupos de agentes.
- En la pestaña Agent group logs, elija las casillas de verificación que se encuentran junto a uno o más tipos de eventos, como parte de la supervisión de nodos durante el tiempo de ejecución.
El registro de mensajes de eventos enviados al entorno de ejecución podría ser bastante pesado, lo que afectaría al espacio disponible en disco y la carga en la red.
- Si desea verificar si los parámetros especificados de la integración al sistema SIEM son correctos, haga clic en Test connection.
La solución prueba la conexión con el sistema SIEM si se elige el protocolo de conexión TCP. Si se elige el protocolo de conexión UDP, el botón Test connection estará desactivado.
- Haga clic en Save.
Vincular grupos de agentes con un sistema SIEM
En la sección Components → Agents, puede vincular grupos de agentes con sistemas SIEM durante la creación de grupos de agentes o la modificación de los parámetros de los grupos de agentes.
Para vincular un grupo de agentes en Kaspersky Container Security, debe tener los derechos suficientes para administrar grupos de agentes y, además, debe haber creado y configurado al menos una integración a un sistema SIEM.
Visualizar y editar la configuración de la integración a sistemas SIEM
Para ver una integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, abra la lista de integraciones a sistemas SIEM.
- En la lista de integraciones, haga clic en el nombre que desee.
Para editar la configuración de la integración al sistema SIEM:
- En la sección Administration → Integrations → SIEM, haga clic en el nombre de la integración en la lista de integraciones.
- De ser necesario, en la barra lateral que se observa, puede editar los parámetros de la integración de la siguiente manera:
- En la pestaña General, edite los siguientes parámetros obligatorios:
- Nombre del sistema SIEM
- Protocolo de la conexión con el sistema SIEM
- Dirección del servidor del sistema SIEM
- Puerto de la conexión con el sistema SIEM
- Categorías de los eventos que se exportarán
- De ser necesario, en la pestaña Agent group logs, puede editar la lista elegida de tipos de eventos de supervisión en los nodos de la red durante el tiempo de ejecución.
- En la pestaña General, edite los siguientes parámetros obligatorios:
- Si se usa el protocolo TCP para la conexión, haga clic en Test connection para ver si se puede establecer la conexión con el sistema SIEM.
- Haga clic en Save.
Eliminar la integración a un sistema SIEM
Para eliminar la integración a un sistema SIEM:
- En la sección Administration → Integrations → SIEM, abra la lista de integraciones a sistemas SIEM configuradas.
- Elija la casilla de verificación en la fila del nombre de la integración que desee eliminar.
- Haga clic en Delete por encima de la tabla.
Podrá hacer clic en el botón Delete después de elegir al menos una integración.
- En la ventana que se abre, confirme la eliminación.
Integración a HashiCorp Vault
Kaspersky Container Security permite transferir de forma segura contraseñas, tokens y secretos mediante HashiCorp Vault, un servicio de almacenamiento externo. La solución genera anotaciones en el pod, que el inyector Vault utiliza para montar los secretos necesarios del almacenamiento en el inicio.
Kaspersky Container Security es compatible con la integración a HashiCorp Vault 1.7 o una versión posterior.
La versión 2.0 de Kaspersky Container Security es compatible con HashiCorp Vault solo en el modo secundario con contenedores secundarios. En este caso, solo se admite la autenticación de Kubernetes.
Si el servicio considera pods no definidos y se utilizan cuentas predeterminadas del servicio, no recomendamos asignar los roles específicos del almacenamiento a dichas cuentas del servicio, en cumplimiento de los requisitos de seguridad críticos.
Los valores de la configuración de HashiCorp Vault se especifican en el archivo de configuración values.yaml y se despliegan al iniciar el paquete de Helm Chart.
La configuración de HashiCorp en el archivo de configuración values.yaml es de la siguiente manera:
- Si el parámetro
enabled
del bloquevault
tiene el valorfalse
, no se realizará la integración a Vault. - Si el parámetro
enabled
del bloquevault
tiene el valortrue
, se realizará la integración a Vault y se priorizarán los valores de las variables en el bloque de la configuración devault
.
El bloque de la configuración de vault
tiene las siguientes secciones:
secret
: para especificar secretos y credenciales.certificate
: para especificar certificados y claves de certificados.
En la sección secret
, se enumeran las rutas a los archivos que contienen los secretos para estos parámetros:
- Secretos de los servidores proxy ante solicitudes al entorno de información externo
- Credenciales de la base de datos de PostgreSQL
- Credenciales de un almacenamiento compatible con S3 para los archivos que genera la solución
- Credenciales del sistema de gestión de bases de datos ClickHouse
Los secretos se especifican con el formato key:value
donde:
<key>
es el nombre de la variable de entorno<value>
es la ruta completa al secreto en el almacenamiento, seguida del símbolo @ y el nombre de la clave del secreto creado en el almacenamiento
Por ejemplo, POSTGRES_USER:kv/secret/kcs/psql@POSTGRES_USER
Para obtener un certificado, en la sección vault.certificate
, debe especificar los siguientes parámetros:
- Para obtener un certificado de CA, el parámetro
ca
debe tener el valortrue.
En este caso, la ruta para acceder al certificado se forma a partir de la ruta estándarcert/ca
según el nombre de la infraestructura de clave pública (PKI). Si el certificado de CA no es un certificado raíz, use el parámetrocaList
para enumerar todos los certificados, incluido el certificado raíz. Por ejemplo:cert-ca:
ca: true
tls.crt: pki_kcs/cert/ca
caList:
- pki/cert/ca
- Para generar certificados y claves, debe especificar la ruta del nombre de PKI con la ruta estándar
issue
y el nombre del rol creado. El nombre común (cn
) y todos los nombres alternativos posibles (altname
) se añaden automáticamente al certificado. De ser necesario, puede especificar los valores decn
,altname
eipsans
de forma manual, como se muestra debajo para una base de datos externa:cert-pguser:
cn: pguser
altname: pguser,pguser.psql,pguser.psql.svc,pguser.psql.svc.cluster.local,localhost
ipsans: 0.0.0.0,127.0.0.1
- Para configurar la vigencia del certificado, debe especificar el valor del parámetro
ttl
. El valor predeterminado es 8760.El valor del parámetro no puede ser mayor del valor establecido en la PKI de HashiCorp Vault.
La sección certificate
, también contiene las rutas a los archivos que contienen los certificados y las claves siguientes:
- Certificado de CA y certificado del cliente para la base de datos externa de PostgreSQL
- Certificados obligatorios para los componentes de la solución:
- Certificado de CA y clave del certificado de CA para el controlador de admisión
- Certificado y clave del certificado para el módulo de licencias de Kaspersky Container Security
- Certificado y clave del certificado para el módulo que contiene la lógica corporativa principal de la solución
- Certificado y clave del certificado para la plataforma de llamada a procedimientos externos (GRPC)
- Certificado y clave del certificado para el servidor de análisis
- Certificado y clave del certificado para la API del servidor de análisis
- Certificado y clave del certificado para el servidor de archivos de actualización para redes corporativas privadas
- Certificado y clave del certificado para el almacenamiento de archivos compatible con S3
- Certificado y clave del certificado para el broker de eventos
- Certificado y clave del certificado para el broker de agentes
- Certificado y clave del certificado para el sistema de gestión de bases de datos ClickHouse
Configuración del almacenamiento HashiCorp Vault
Para que Kaspersky Container Security funcione con HashiCorp Vault, debe especificar los valores de los siguientes parámetros en el archivo de configuración values.yaml:
- La marca
enabled
activa la integración al almacenamiento. El valorvault.enabled = true
indica que se estableció la integración a HashiCorp Vault. Los valores de las variables de entorno se obtienen del almacenamiento. El valor predeterminado esfalse
. mountPath
: ruta para montar secretos de Vault al pod. La ruta predeterminada es/vault/secrets
.- El parámetro
role
es el rol para usarse en la autenticación del almacenamiento.Al crear un rol en Vault, debe especificar todos los valores existentes de la sección serviceAccount en el archivo values.yaml.
agentInitFirst
: variable para definir la cola de inicialización del contenedor init. El valortrue
indica que el pod primero inicializa el contenedor init de Vault. Debe configurar este valor cuando otros contenedores de la inicialización necesitan secretos para poder funcionar. Si el valor esfalse
, el orden de inicialización de los contenedores será al azar. El valor predeterminado estrue
.agentPrePopulate
: variable para activar el contenedor init y completar la memoria compartida con secretos antes de iniciar los contenedores. El valor predeterminado estrue
.agentPrePopulateOnly
: variable que indica si el contenedor init será el único inyectado en el pod. Si el valor estrue
, no se añadirá ningún contenedor secundario durante la ejecución del pod. El valor predeterminado esfalse
.preserveSecretCase
: variable para conservar las mayúsculas de los nombres de los secretos al crear archivos con secretos. El valor predeterminado estrue
.agentInjectPerms
: variable que define los derechos de acceso al archivo montado con secretos del almacenamiento. El valor predeterminado es0440
(el propietario y el grupo tienen permiso de lectura).annotations
: instrucciones para configurar el correcto funcionamiento del contenedor secundario. Puede añadir instrucciones al bloquevault
para que lo usen todos los componentes de Helm Chart o especificarlas en la secciónArchitecture
de forma independiente para cada componente. Por ejemplo:kcs-middleware:
enabled: true
appType: deployment
annotations:
vault.hashicorp.com/agent-limits-cpu: 200m
Limitaciones en cuanto al almacenamiento
Existen algunas limitaciones no críticas cuando Kaspersky Container Security funciona con HashiCorp Vault:
- La integración a HashiCorp Vault funciona solo con almacenamientos KV1 y KV2 y componentes de Secrets Engine para rotar los certificados de PKI.
- La solución no admite el funcionamiento con componentes externos de Secrets Engine, salvo los secretos de PKI.
- Kaspersky Container Security no admite el procesamiento dinámico de secretos. Para actualizar un secreto, deberá reiniciar la solución.
- Si usa la integración a Vault, puede especificar las credenciales solo para una base de datos externa de PostgreSQL en la sección
vault
. Para usar una base de datos interna de PostgreSQL, debe desactivar estas credenciales.
Configuración de las directivas de seguridad
Los componentes de Kaspersky Container Security emplean las siguientes directivas de seguridad:
- Las directivas de análisis determinan la configuración del análisis de diferentes tipos de recursos. Estas directivas aplican reglas para detectar datos confidenciales, vulnerabilidades, malware y configuraciones incorrectas.
- Las directivas de certeza definen las acciones de Kaspersky Container Security para proporcionar seguridad si las vulnerabilidades, el software malicioso, los datos confidenciales y las configuraciones incorrectas que se detectan durante el análisis de imágenes cumplen con los criterios de la directiva.
- Las directivas de respuesta definen las acciones de la solución en caso de que ocurran los eventos especificados en la directiva. Por ejemplo, Kaspersky Container Security puede enviarle una notificación a un usuario acerca de un evento.
- Las directivas referentes a la ejecución le permiten controlar y, de ser necesario, restringir el despliegue y el funcionamiento de contenedores en el clúster en consonancia con los requisitos de seguridad de su empresa.
Mientras está en funcionamiento, Kaspersky Container Security solo aplica las directivas activadas. Las directivas desactivadas no se pueden utilizan en las verificaciones.
Directivas de análisis
Una directiva de análisis determina la configuración del análisis de diferentes tipos de recursos.
Al instalar Kaspersky Container Security, se crea una directiva de análisis predeterminada que se puede aplicar a todos los recursos y ejecutar en todos los entornos. Se denomina directiva de alcance global (default). De manera predeterminada, esta directiva recibe un alcance predeterminado.
Puede activar, desactivar o establecer las configuraciones de las directivas de análisis global si su rol tiene los derechos para gestionar directivas de seguridad y visualizar el alcance predeterminado.
No podrá realizar las siguientes acciones en una directiva de análisis global:
- Cambiar el alcance predeterminado asignado
- Eliminar la directiva de análisis global
En la sección Policies → Scanner policies, podrá ver una tabla que contiene la lista de directivas de análisis configuradas.
Puede utilizar la lista para hacer lo siguiente:
- Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
- Utilice el botón Disabled/Enabled que se encuentra en la columna Status en la tabla para activar o desactivar las directivas.
- Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
En la ventana de edición también puede activar o desactivar directivas. Mientras está en funcionamiento, Kaspersky Container Security no utiliza directivas desactivadas.
- Configurar reglas para detectar datos confidenciales. Para ello, diríjase a la pestaña de datos Sensitive.
- Eliminar directivas.
Crear una directiva de análisis
Para añadir una directiva de análisis en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de análisis.
Para añadir una directiva de análisis:
- En la sección Policies → Scanner policies, haga clic en el botón Add policy.
Se abre la ventana de configuración de la directiva.
- Si lo necesita, puede usar el botón Disabled/Enabled para desactivar la directiva añadida. En este caso, la directiva se añadirá, pero no se aplicará hasta que la active.
De forma predeterminada, el estado de una directiva de análisis recién añadida es Enabled.
- Introduzca el nombre de la directiva y, si se requiere, una descripción.
- En el campo Scope, elija el alcance de la directiva de análisis a partir de las opciones disponibles.
Si tiene la intención de implementar la directiva con el alcance predeterminado, uno de los roles de usuario debe contar con derechos para visualizar alcances predeterminados.
- En la sección Vulnerabilities , configure los siguientes parámetros:
- Use el botón Disabled/Enabled para configurar el análisis con las bases de datos del Registro nacional de vulnerabilidades (NVD).
- Use el botón Disabled/Enabled para configurar el análisis con las Bases de datos de amenazas a la seguridad de los datos.
- En la sección Malware, use el botón Disabled/Enabled para configurar el análisis de malware en imágenes, como parte del componente Protección frente a amenazas en archivos.
- En la sección Misconfigurations, use el botón Disabled/Enabled para configurar el análisis en busca de configuraciones incorrectas.
- Haga clic en Save.
Editar la configuración de una directiva de análisis
Puede editar la configuración de una directiva de análisis en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.
Para editar la configuración de una directiva de análisis:
- En la sección Policies → Scanner policies, haga clic en el enlace del nombre de la directiva.
Se abre la ventana para editar la configuración de la directiva.
- De ser necesario, puede usar los botones Disable/Enable para modificar el estado de la directiva entre activada y desactivada.
- Realice los cambios que desee. Podrá modificar los siguientes parámetros:
- Nombre, descripción y alcance de la directiva.
- Configuración del control de vulnerabilidades. Elija las casillas de verificación de las bases de datos de vulnerabilidades que utilizará para analizar las imágenes.
- Configuración del control de software malicioso. Elija la casilla de verificación si necesita analizar las imágenes en busca de malware y otras amenazas en archivos. Este control se realiza mediante el uso del componente Protección frente a amenazas en archivos.
- Configuración del control de configuraciones incorrectas. Elija la casilla de verificación si necesita analizar las imágenes en busca de configuraciones incorrectas. Este control se realiza mediante la configuración predeterminada que estableció el fabricante de Kaspersky Container Security.
- Haga clic en Save.
Configurar reglas de detección de datos confidenciales
En la sección Policies → Scanner policies → Sensitive data, encontrará la lista de las reglas configuradas para detectar datos confidenciales (en adelante "secretos") durante el análisis de imágenes.
Las reglas se agrupan en diversas categorías según la finalidad y el alcance de los secretos que se detectarán. El fabricante de Kaspersky Container Security define la lista de categorías. Las categorías contienen reglas predefinidas.
Puede utilizar la lista para hacer lo siguiente:
- Visualizar y modificar la configuración de las reglas de detección de secretos. Haga clic en el enlace del ID de la regla para abrir la ventana de edición.
- Añadir nuevas reglas a la categoría elegida. Haga clic en el botón Add rule que se encuentra encima de la tabla para abrir la ventana de configuración de integraciones. Para añadir reglas que no pertenecen a ninguna de las categorías preestablecidas, use la categoría Other.
- Eliminar reglas. Haga clic en la casilla junto a las reglas de la lista que desee eliminar. Se mostrará el icono de eliminación.
Para modificar la configuración de las reglas de detección de datos confidenciales:
- En la tabla, en la sección Policies → Scanner policies → Policies, elija la directiva de análisis.
- En la sección Sensitive data, elija las casillas de verificación de las reglas que desee modificar.
- Utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de reglas de directivas para activar o desactivar este elemento de la directiva.
No haga clic en el botón Save.
Kaspersky Container Security aplica de inmediato los cambios a la configuración de detección de datos confidenciales y muestra la notificación pertinente. También puede actualizar la página para verificar que la configuración se haya modificado.
Directivas de certeza
Las directivas de certeza definen las acciones de Kaspersky Container Security para proporcionar seguridad si las amenazas detectadas durante el análisis de imágenes cumplen con los criterios de la directiva.
En la sección Policies → Assurance policies, se muestran las directivas de certeza configuradas en formato de tabla.
Puede utilizar la lista para hacer lo siguiente:
- Añadir nuevas directivas. Haga clic en el botón Add policy (Añadir directiva) que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
- Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
- Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.
- Eliminar directivas.
Si añade una directiva de certeza, modifica su configuración o elimina una directiva, se revisará el estado del cumplimiento (Compliant/Non-compliant) de las imágenes a las que se aplica la directiva.
Crear una directiva de certeza
Para añadir una directiva de certeza en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de certeza.
Para añadir una directiva de certeza:
- En la sección Policies → Assurance policy, haga clic en el botón Add policy.
Se abre la ventana de configuración de la directiva.
- Introduzca el nombre de la directiva y, si se requiere, una descripción.
- En el campo Scope, elija el alcance de la directiva de seguridad para imágenes a partir de las opciones disponibles.
Si tiene la intención de implementar la directiva con el alcance predeterminado, uno de los roles de usuario debe contar con derechos para visualizar alcances predeterminados.
- Especifique las acciones que debería realizar Kaspersky Container Security de acuerdo con la directiva:
- Fail CI/CD step: si Kaspersky Container Security Scanner detecta amenazas durante el análisis de una imagen en la canalización de CI/CD que coincide con el nivel de gravedad especificado en la directiva, el análisis finaliza y muestra un error. El resultado se envía al sistema de CI.
- Label images as non-compliant: Kaspersky Container Security etiqueta las imágenes que contienen las amenazas detectadas que coinciden con los criterios especificados en la directiva.
- En la sección Vulnerability level, configure los siguientes parámetros:
- Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de la vulnerabilidad.
- Configure el nivel de gravedad según las bases de datos de vulnerabilidades. Puede elegir una opción de la lista desplegable Severity level o especificar un valor de 0-10.
- Use los botones Disabled/Enabled para configurar el bloqueo en caso de que aparezcan vulnerabilidades específicas; puede detallarlas en el campo Vulnerabilities.
- En la sección Malware, use el botón Disabled/Enabled para configurar el análisis de malware en la imagen.
- En la sección Misconfigurations, configure los siguientes parámetros:
- Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de las configuraciones incorrectas.
- Elija una opción en la lista desplegable Severity level para determinar el nivel de gravedad de las configuraciones incorrectas.
El nivel de gravedad se asigna según las bases de datos de vulnerabilidades.
- En la sección Sensitive data, configure los siguientes parámetros:
- Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de los datos confidenciales.
- Elija una opción en la lista desplegable Severity level para determinar el nivel de gravedad de los datos confidenciales.
El nivel de gravedad se asigna según las bases de datos de vulnerabilidades.
- Haga clic en Save.
De forma predeterminada, la directiva que añada tendrá el estado Enabled.
Inicio de página
Editar la configuración de una directiva de certeza
Puede editar la configuración de una directiva de seguridad para imágenes en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.
Para editar la configuración de una directiva de certeza:
- En la sección Policies → Assurance policies, haga clic en el nombre de la directiva, en la lista de directivas de certeza existentes.
Se abre la ventana de configuración de la directiva.
- Realice los cambios que desee:
- Nombre, descripción y alcance de la directiva.
- Acciones que realizará la solución según la directiva.
- Análisis obligatorios.
- Nivel de gravedad de las vulnerabilidades detectadas durante los análisis.
- Número de vulnerabilidades para provocar un bloqueo.
- Haga clic en Save.
Directivas de respuesta
La directiva de respuesta define las acciones de la solución en caso de que ocurran los eventos especificados en la directiva. Por ejemplo, Kaspersky Container Security puede enviarle una notificación a un usuario acerca de las amenazas detectadas.
Si desea configurar directivas de respuesta para notificar a usuarios, primero debe configurar la integración a servicios de notificación.
En la sección Policies → Response policies, se muestran las directivas de respuesta configuradas en formato de tabla.
Puede utilizar la lista para hacer lo siguiente:
- Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
- Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
- Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.
Al desactivar una directiva, Kaspersky Container Security no realizará las allí acciones detalladas.
- Buscar directivas. Para buscar una directiva, use el campo de búsqueda, que se encuentra encima de la lista de directivas de respuesta, y escriba parte del nombre o el nombre completo de la directiva.
- Eliminar directivas.
En esta versión de la solución, las directivas de respuesta solo definen las acciones que realiza Kaspersky Container Security para notificar al usuario cuando ocurre un evento que se detalla en la directiva. Por ejemplo, si se detecta un objeto que tiene una vulnerabilidad crítica, la solución puede enviar una notificación por correo electrónico al usuario.
Crear una directiva de respuesta
Para añadir una directiva de respuesta en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de respuesta.
Para añadir una directiva de respuesta:
- En la sección Policies → Response policies, haga clic en el botón Add policy.
Se abre la ventana de configuración de la directiva.
- Introduzca el nombre de la directiva y, si se requiere, una descripción.
- En el campo Scope, elija el alcance de la directiva de respuesta a partir de las opciones disponibles.
Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.
- En el campo Trigger, use la lista desplegable para elegir el evento que provocará que Kaspersky Container Security envíe una notificación al usuario si dicho evento ocurre durante un análisis. Puede elegir uno de los siguientes eventos como desencadenante de una acción:
- Sensitive data. Se envía una notificación si la solución detecta indicios de la exposición de datos confidenciales en un objeto durante un análisis.
- Non-compliant. Kaspersky Container Security envía una notificación si las imágenes de contenedor analizadas no cumplen con los requisitos de las directivas de seguridad.
- Critical vulnerabilities. Se envía una notificación si el objeto analizado contiene vulnerabilidades del tipo Crítica (Critical).
- Malware. Se envía una notificación si se descubre malware durante el análisis.
- Risk acceptance expiration. Kaspersky Container Security envía una notificación si el objeto analizado contiene riesgos que había aceptado anteriormente, pero el período de la aceptación de riesgos ha caducado.
- Configure los métodos de notificación necesarios:
- Elija una opción en Output: correo electrónico o Telegram.
- En la lista desplegable en el campo Integration name, elija el nombre de la integración al servicio de notificación que se configuró anteriormente.
- Para añadir otro método de notificación, haga clic en Add button y complete los campos descritos en los párrafos a y b.
- Si lo necesita, puede quitar los métodos de notificación añadidos si hace clic en el icono que se encuentra a la derecha del campo Integration name.
- Haga clic en Save.
De forma predeterminada, la directiva que añada tendrá el estado Enabled.
Inicio de página
Editar la configuración de una directiva de respuesta
Puede editar la configuración de una directiva de respuesta en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.
Para editar la configuración de una directiva de respuesta:
- En la sección Policies → Response policies, haga clic en el nombre de la directiva, en la lista de directivas de respuesta existentes.
Se abre la ventana de configuración de la directiva.
- De ser necesario, realice los cambios que desee:
- Cambie el nombre de la directiva.
- Añada o edite la descripción de una directiva.
- Añada o edite el alcance de una directiva.
- Cambie el evento desencadenante en la lista desplegable.
- Haga clic en el botón Add para añadir un servicio de notificación.
- Haga clic en el icono de eliminación (
) que se encuentra junto a la línea del servicio de notificación elegido para eliminarlo.
- Haga clic en Save.
Directivas referentes a la ejecución
La directiva referente a la ejecución determina las acciones que realiza la solución al supervisar y controlar las operaciones de contenedores en entornos de ejecución según las directivas de seguridad. Kaspersky Container Security mantiene el control sobre la base de las amenazas de seguridad que se detectan en una imagen, su nivel de gravedad y la disponibilidad de
.Los contenedores en entornos de ejecución podrían ejecutarse a partir de imágenes verificadas o desde imágenes que la solución aún no conoce.
En la pestaña Policies, en Policies → Runtime policies, encontrará una tabla que contiene las directivas referentes a la ejecución configuradas.
Puede utilizar la lista para hacer lo siguiente:
- Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
- Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
- Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.
Al desactivar una directiva, Kaspersky Container Security no realizará las allí acciones detalladas.
- Buscar directivas. Para buscar una directiva, use el campo de búsqueda, que se encuentra encima de la lista de directivas de respuesta, y escriba parte del nombre o el nombre completo de la directiva.
- Eliminar directivas.
Para funcionar de forma óptima, una directiva referente a la ejecución debe complementarse con perfiles para la ejecución de contenedores que definen las reglas y las restricciones para los contenedores ejecutados en entornos de ejecución.
Crear una directiva referente a la ejecución
Para añadir una directiva referente a la ejecución en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas referentes a la ejecución.
Para añadir una directiva referente a la ejecución:
- En Policies → Runtime policies, elija la pestaña Policies.
- Haga clic en el botón Add policy.
Se abre la ventana de configuración de la directiva.
- De ser necesario, use los botones Disabled/Enabled para modificar el estado de la directiva. De forma predeterminada, la directiva que añada tendrá el estado Enabled.
- Introduzca el nombre de la directiva y, si se requiere, una descripción.
- En el campo Scope, elija el alcance de la directiva referente a la ejecución a partir de las opciones disponibles. Dado que las directivas referentes a la ejecución solo se utilizan en contenedores ejecutados o desplegados, puede elegir los alcances que contienen los recursos de todos los contenedores.
No podrá elegir los alcances que solo contienen recursos de registros. De ser necesario, en la sección Container runtime profiles, puede determinar las imágenes y los pods particulares de la directiva referente a la ejecución que está creando, como se especificó en el paso 11.
Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.
- En la sección Mode, elija uno de los siguientes modos de aplicación de directivas:
- Audit. En este modo, el análisis considera los componentes de los contenedores.
- Enforce. En este modo, la solución bloquea todos los objetos que no cumplen con las reglas ni con los criterios definidos en la directiva.
Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.
- En la pestaña Admission controller, configure los siguientes parámetros:
- En la sección Best practice check, use los botones Disabled/Enabled para activar el análisis del cumplimiento de las mejores prácticas de seguridad. En la lista de configuración, elija los parámetros del análisis que garanticen que se ejecute la imagen correcta y que el uso de CPU y RAM esté configurado de forma adecuada.
- En la sección Block non-compliant images, use los botones Disabled/Enabled para evitar la ejecución de contenedores a partir de imágenes que no cumplen con los requisitos. Solo se verificarán las imágenes analizadas que están registradas en la solución y tienen el estado En cumplimiento (Compliant).
- En la sección Block unregistered images, use los botones Disabled/Enabled para bloquear el despliegue de imágenes desconocidas para Kaspersky Container Security. Para desplegar la imagen , debe registrarla en la solución y aguardar a que aparezca en el registro.
- En el bloque Dynamic Admission Controller bypass criteria, use los botones Disabled/Enabled para definir las exclusiones de la directiva referente a la ejecución. Para ello, debe elegir los objetos pertinentes en la lista desplegable, especificar sus nombres y luego hacer clic en Add.
Al desplegar un contenedor, se verifican las exclusiones existentes de la directiva.
- En la sección Capabilities block, use los botones Disabled/Enabled para bloquear el uso de determinadas funciones de Unix. Para ello, debe elegir funciones del sistema específicas en la lista desplegable. También puede elegir ALL en la lista desplegable para bloquear el uso de todas las funciones del sistema de Unix.
- En la sección Image content protection, use los botones Disabled/Enabled para activar la verificación de las firmas digitales que confirman la integridad y el origen de las imágenes del contenedor. Para ello, realice las siguientes acciones:
- En el campo Image registry URL template, introduzca la plantilla de la dirección web del registro de imágenes donde desee verificar las firmas.
- En la lista desplegable, elija Check para activar la verificación o Don't check para desactivarla.
- En la lista desplegable, elija uno de los validadores de firmas en imágenes configurados.
- De ser necesario, puede hacer clic en el botón Add signature verification rule para añadir reglas de verificación de firmas. La solución aplicará diversas reglas de verificación de firmas en una única directiva referente a la ejecución.
- En la sección Limit container privileges, use los botones Disabled/Enabled para bloquear el inicio de contenedores que tienen un determinado conjunto de derechos y permisos específicos. En la lista configuración, elija los derechos y los permisos para bloquear ciertos parámetros de los pods.
- En la sección Registries allowed, use los botones Disabled/Enabled para permitir el despliegue de contenedores en un clúster solo a partir de registros específicos. Para ello, debe elegir los registros que desee en la lista desplegable Registries.
- En la sección Volumes blocked, use los botones Disabled/Enabled para prevenir que se monten los volúmenes elegidos en los contenedores. Para ello, debe especificar los puntos para montar volúmenes en el sistema host, en el campo Volumes.
El campo Volumes debe comenzar con una barra diagonal ("/") porque esto representa la ruta del sistema operativo.
- En la pestaña Container runtime, configure los siguientes parámetros:
- En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
- En la lista desplegable, elija un atributo para determinar los pods donde se aplicarán los perfiles para la ejecución de contenedores.
- Según el atributo elegido, realice lo siguiente:
- Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.
También puede hacer clic en el botón Add label pair para añadir otras etiquetas a los pods elegidos.
- Si eligió Image URL template, introduzca la plantilla de la dirección web del registro de imágenes.
Si el clúster contiene imágenes del registro público de Docker Hub, la solución considerará tanto la ruta completa como la ruta abreviada a las imágenes. Por ejemplo, si especifica que la dirección URL de la imagen de contenedor en el clúster es docker.io/library/ubuntu:focal, la solución la aceptará de igual manera que ubuntu:focal.
También puede hacer clic en el botón Add Image URL para añadir direcciones web a los pods elegidos.
- Si eligió Image digest, introduzca el código hash de la imagen que se creó con el algoritmo hash SHA256. El prefijo sha256 no es obligatorio para especificar el código hash de la imagen (por ejemplo, sha256:ef957...eb43 o ef957...eb43).
También puede hacer clic en el botón Add image digest para añadir otros códigos hash de imágenes a los pods elegidos.
- Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.
- En el campo Container runtime profile, debe especificar uno o más perfiles para la ejecución que se aplicarán a los pods que coinciden con los atributos definidos.
- De ser necesario, puede usar el botón Add pod mapping para añadir otros pods que se asignarán. Los pods que tengan diferentes atributos o perfiles para la ejecución se asignarán en la misma directiva referente a la ejecución.
- En la sección Container autoprofiles, use los botones Disabled/Enabled para activar el análisis de contenedores en el alcance especificado con los perfiles automáticos asociados a las imágenes de los contenedores.
Si hace clic en el enlace Show autoprofiles attributed to the scope, podrá consultar todos los perfiles automáticos que se incluyen en el alcance. En la barra lateral que se abre, la solución mostrará la tabla que contiene la lista de perfiles automáticos. Para cada perfil automático, se muestran el nombre, la fecha y hora de la última modificación y la imagen asociada al perfil automático.
- En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
- Haga clic en el botón Add.
Editar la configuración de una directiva referente a la ejecución
Puede editar la configuración de una directiva referente a la ejecución en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.
Para editar la configuración de una directiva referente a la ejecución:
- En la sección Policies → Runtime policies → Policies, haga clic en el nombre de la directiva, en la lista de directivas referentes a la ejecución existentes.
Se abre la ventana de configuración de la directiva.
- Cambie el estado y el nombre de la directiva.
- Añada o edite la descripción de una directiva.
- Añada o quite alcances.
- Elija el modo de la directiva: Audit o Enforce.
- En la pestaña Admission controller, modifique las secciones pertinentes de la directiva:
- Best practice check.
- Block non-compliant images.
- Block unregistered images.
- Dynamic Admission Controller bypass criteria.
- Capabilities block.
- Image content protection.
- Limit container privileges.
- Registries allowed.
- Blocking volumes.
- En la pestaña Container runtime, modifique las secciones pertinentes de la directiva:
- Container runtime profiles.
- Container autoprofiles.
- Haga clic en Save.
Administrar perfiles para la ejecución de contenedores
Al implementar directivas referentes a la ejecución, Kaspersky Container Security puede aplicar las reglas definidas por el usuario para supervisar procesos y la red. Para ello, debe añadir perfiles para la ejecución a las directivas referentes a la ejecución adecuadas. En esencia, las directivas referentes a la ejecución son listas de restricciones para contenedores. Los perfiles de imágenes definen la configuración del despliegue de una imagen segura y las actividades seguras de una aplicación desplegada en una imagen. Las acciones de los perfiles pueden reducir significativamente las posibilidades de que se infiltren ciberdelincuentes en una red y, por otro lado, pueden mejorar la seguridad durante el funcionamiento de los contenedores en entornos de ejecución.
Los siguientes parámetros determinan las restricciones en el perfil de una imagen:
- Archivos ejecutables que deben bloquearse
- Restricciones de red para conexiones entrantes y salientes
Los perfiles para la ejecución de contenedores en directivas referentes a la ejecución se aplican a las imágenes que se ejecutan en entornos de orquestación con objetos dentro del clúster. Si un contenedor se inicia fuera del entorno de orquestación (por ejemplo, con los comandos docker run
o ctr run
), la solución no detectará malware en dicho contenedor.
La solución no analiza automáticamente en busca de malware cuando los objetos se guardan en un contenedor. Recomendamos proteger los archivos de contenedores que están fuera del entorno de orquestación.
En la pestaña Container runtime profiles, en Policies → Runtime policies, encontrará la lista de directivas configuradas en formato de tabla. En esta sección, también puede hacer lo siguiente:
- Crear nuevos perfiles para la ejecución de contenedores. Haga clic en el botón Add profile, que se encuentra encima de la lista, para abrir la ventana de configuración de directivas.
- Editar la configuración de los perfiles haciendo clic en el enlace del nombre del perfil para la ejecución.
- Eliminar perfiles para la ejecución.
Crear un perfil para la ejecución
Para añadir un perfil para la ejecución de contenedores:
- En Policies → Runtime policies → Container runtime profiles, haga clic en el botón Add profile.
Se abrirá la ventana para configurar el perfil.
- Introduzca el nombre del perfil para la ejecución y, de ser necesario, también una descripción.
- En la lista desplegable Scopes, elija uno o más alcances.
En los perfiles para la ejecución, un alcance permite usar los perfiles de forma correcta en las directivas referentes a la ejecución.
- En File Threat Protection, use los botones Disabled/Enabled para activar el componente Protección frente a amenazas en archivos. Este componente se utilizará para buscar y analizar posibles amenazas en archivos; además, proporciona seguridad a los objetos en contenedores, como archivos comprimidos y archivos de correos electrónicos.
Al aplicar un perfil para la ejecución, si ha activado el componente Protección frente a amenazas en archivos, Kaspersky Container Security activa la protección frente a amenazas en archivos en tiempo real en todos los nodos que están bajo el alcance definido por dicha directiva. La configuración de los agentes desplegados depende de cómo haya configurado Protección frente a amenazas en archivos. Si hace clic en el botón File Threat Protection settings, en la pestaña Container runtime profiles de la sección Policies → Runtime, puede configurar el componente.
- En la sección Restrict container executable files, use los botones Disabled/Enabled para restringir archivos ejecutables según las reglas. En la lista, elija la opción de bloqueo que garantice que los contenedores tengan un rendimiento óptimo:
- Block process from all executable files: la aplicación bloquea el inicio de todos los archivos ejecutables mientras el contenedor está iniciado.
- Block specified executable files: la aplicación bloquea los archivos ejecutables que ha elegido en el campo Block the specified executable files. Puede bloquear todos los archivos ejecutables o algunos específicos. Debe detallar la ruta completa original al archivo ejecutable (por ejemplo,
/bin/php
). También puede usar la máscara*
(por ejemplo,/bin/*
) para aplicar una regla a todo un directorio y los subdirectorios.Puede detallar la lista de los archivos ejecutables permitidos y bloqueados si especifica exclusiones en las reglas de bloqueo. Por ejemplo, puede excluir la ruta
/bin/cat
para una regla aplicada a/bin/*
. En este caso, se bloqueará el inicio de todos los archivos ejecutables del directorio/bin/
, salvo la aplicación/bin/cat
.Ejemplo con una ruta a archivos ejecutables
Si trabaja con el archivo binario
busybox
que se entrega con muchas imágenes base de contenedor (comoalpine
), debe tener en cuenta quebusybox
contiene un conjunto de comandos para acceder a las aplicaciones sin necesidad de explicitarlas. Por ejemplo, el comandols
se usa para acceder al archivo ejecutable/bin/ls
, que actúa como enlace simbólico a/bin/busybox
. En este caso, debe especificar la ruta al archivo ejecutable de la siguiente manera:/bin/busybox/ls
(es decir, debe concatenar la ruta original del archivo ejecutable/bin/busybox
y el comandols
con el símbolo/
).Si elige la casilla de verificación Allow exclusions, la aplicación bloqueará todos los archivos ejecutables, salvo los especificados en el campo Allow exclusions cuando se inicie y ejecute un contenedor.
Todas las reglas y excepciones especificadas para estos parámetros son expresiones regulares (regex). En la solución, se emplean patrones e indicadores específicos para buscar todos los archivos que coinciden con una expresión regular en particular.
- En la sección Restrict ingress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones entrantes a un contenedor. Si activa esta restricción, Kaspersky Container Security bloqueará todos los orígenes de conexiones entrantes, salvo aquellos especificados en las exclusiones.
Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más orígenes permitidos de las conexiones de red entrantes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:
- Sources. En el campo Sources, introduzca una dirección IP o un rango de direcciones IP para el origen de conexiones de entrada mediante los enrutamientos CIDR4 o CIDR6.
- En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.
Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).
Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.
- En la sección Restrict egress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones salientes de un contenedor determinado.
Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más destinos permitidos de las conexiones de red salientes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:
- Destinations. En el campo Destinations, introduzca una dirección IP o un rango de direcciones IP para el destino de una conexión de salida mediante los enrutamientos CIDR4 o CIDR6, o la dirección web (URL) de un destino.
- En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.
Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).
Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.
- En la sección File operations, use los botones Disabled/Enabled para activar la supervisión de operaciones en archivos que ocurran en el contenedor. Para ello, debe especificar los valores de los siguientes parámetros:
- Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.
Al especificar rutas a archivos, debe introducir rutas completas que comiencen con una barra diagonal.
- De ser necesario, en el campo Exclusions, puede especificar las rutas a los archivos cuyas operaciones no se supervisarán.
- Operation type. Puede especificar las operaciones en archivos que supervisará la solución cuando la directiva referente a la ejecución esté aplicada. Para ello, utilice la casilla de verificación para elegir uno o más de los siguientes tipos de operaciones:
- Create: la solución registra todas las operaciones de creación en archivos en los directorios especificados.
- Open: la solución registra todas las operaciones de apertura de archivos.
- Read: la solución registra todas las operaciones de lectura en archivos.
- Write: la solución registra información sobre los cambios guardados en archivos.
- Rename or move: la solución registra las operaciones que modifican el nombre de los archivos o mueven los archivos a otras carpetas.
- Delete: la solución registra la información sobre la eliminación de archivos o carpetas de los directorios especificados.
- Change access permissions: la solución registra la información sobre los cambios en los derechos de acceso a archivos y directorios.
- Change ownership: la solución supervisa las operaciones que modifican al propietario de un archivo o una carpeta en el directorio especificado.
De ser necesario, puede usar el botón Add rule para añadir reglas para la supervisión de operaciones en archivos. La solución aplicará diversas reglas de supervisión de operaciones en archivos dentro de una única directiva referente a la ejecución.
En el caso de las operaciones en archivos, el modo Audit es el único compatible. Si se especifica el modo Enforce en la directiva referente a la ejecución pertinente, las operaciones en archivos se realizan en el modo Audit.
- Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.
- Haga clic en el botón Add.
En la sección Policies → Runtime policies → Container runtime profiles, encontrará el perfil para la ejecución añadido.
Inicio de página
Ejemplos de perfiles para la ejecución configurados
En la siguiente tabla, verá las imágenes utilizadas por la aplicación con mayor frecuencia y la configuración de las restricciones para las directivas referentes a la ejecución.
Imágenes y su configuración
Nombre de la imagen |
Restricción de módulos ejecutables en contenedores |
Restricción de conexiones de red |
---|---|---|
Nginx |
Archivo ejecutable permitido:
|
Bloqueo de conexiones salientes |
Mysql |
Archivos ejecutables permitidos:
|
Bloqueo de conexiones salientes |
Wordpress |
Archivos ejecutables permitidos:
|
|
Nodo |
Archivo ejecutable permitido:
|
Bloqueo de conexiones salientes |
MongoDB |
Archivos ejecutables permitidos:
|
|
HAProxy |
Archivos ejecutables permitidos:
|
|
Hipache |
Archivos ejecutables permitidos:
|
|
Drupal |
Archivos ejecutables permitidos:
|
|
Redis |
Archivos ejecutables permitidos:
|
Bloqueo de conexiones salientes |
Tomcat |
Archivos ejecutables permitidos:
|
Bloqueo de conexiones salientes |
Celery |
Archivos ejecutables permitidos:
|
Cambiar la configuración de un perfil para la ejecución
Para cambiar la configuración de un perfil para la ejecución de contenedores:
- En Policies → Runtime policies → Container runtime profiles, haga clic en el nombre del perfil en la lista de perfiles existentes para la ejecución de contenedores.
- En la ventana que se abre, modifique los valores de los siguientes parámetros que desee:
- Nombre del perfil para la ejecución.
- Descripción del perfil para la ejecución.
- Scopes.
- File threat protection
- Restrict container executable files.
- Restrict inbound network connections.
- Restrict outbound network connections.
- File operations
- Haga clic en Save.
Los cambios de la configuración de perfiles para la ejecución se aplican automáticamente al contenedor en ejecución y afectan a sus operaciones.
Inicio de página
Eliminar un perfil para la ejecución
Para eliminar un perfil para la ejecución de contenedores:
- En la tabla que contiene los perfiles para la ejecución configurados, en Policies → Runtime policies → Image profiles, haga clic en el icono de eliminación (
), en la fila del nombre del perfil que desee eliminar.
- En la ventana que se abre, confirme la acción.
Administrar perfiles automáticos para la ejecución
Kaspersky Container Security puede supervisar procesos, tráfico de red y operaciones en archivos de contenedores y, luego, usar la información obtenida para crear de forma automática perfiles para la ejecución de contenedores. Este proceso de creación automática de perfiles se realiza dentro del período establecido por el usuario y del alcance elegido. Dicho alcance puede ser un clúster, un espacio de nombres o un pod.
El contenido del perfil generado automáticamente (perfil automático) depende de la configuración de la supervisión del nodo en el grupo de agentes. Para iniciar la creación automática de perfiles, debe activar la configuración de supervisión de conexiones de red, inicios de procesos y operaciones en archivos de contenedores para el grupo de agentes pertinente.
La creación de perfiles automáticos es única y emplea tres parámetros: nombre del clúster, nombre del espacio de nombres y nombre del código hash de la imagen. Por consiguiente, en un espacio de nombres, el perfil automático se crea para todos los contenedores de la compilación elegida de una imagen.
Crear un perfil automático para la ejecución
Recomendamos reiniciar los pods después de que comience la creación automática del perfil de modo que la solución pueda registrar el inicio de los pods según las reglas. De esta forma, se evitará el bloqueo incorrecto de los pods cuando se reinicien.
Kaspersky Container Security permite crear perfiles automáticamente en tres niveles:
- Nivel del clúster
- Nivel del espacio de nombres
- Nivel del pod
A nivel de clúster y de espacio de nombres, puede crear un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede crear un perfil automático mediante la tabla.
Para crear un perfil automático para la ejecución con la tabla que contiene la lista de objetos:
- Vaya a Resources → Clusters.
- Siga estos pasos, según el nivel en el cual está creando un perfil automático:
- Si desea crear un perfil automático a nivel del clúster, en la tabla de clústeres, elija las casillas de verificación de uno o más clústeres.
- Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
- Haga clic en el nombre del clúster en la tabla de clústeres.
- En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres.
- Si desea crear un perfil automático a nivel del pod, siga los siguientes pasos:
- Haga clic en el nombre del clúster en la tabla de clústeres.
- Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
- En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods.
Asegúrese de que el proceso de creación automática de perfiles no esté ejecutándose en los objetos elegidos. De ser así, la solución no permitirá el inicio de otra tarea de creación automática de perfiles.
- Haga clic en el botón Build autoprofile que se encuentra encima de la tabla.
En un determinado clúster, solo puede iniciar una sola tarea de creación de perfiles automáticos a la vez. La solución permitirá el inicio de una nueva tarea solo después de que la anterior haya finalizado o se haya detenido.
- Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.
El tiempo predeterminado son 60 minutos.
- Haga clic en Start.
En la columna Autoprofiles de la tabla de objetos (clústeres, espacios de nombres o pods), la solución mostrará el tiempo que resta para la finalización de la creación automática de perfiles para el objeto o la cantidad de perfiles creados automáticamente para dicho objeto.
Para crear un perfil automático para la ejecución de contenedores a partir de un gráfico:
- Vaya a Resources → Clusters.
- Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
- Si desea crear un perfil automático a nivel del clúster, haga clic en el icono de clúster (
), en el gráfico con espacios de nombres.
- Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
- Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
- En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (
).
- Si desea crear un perfil automático a nivel del clúster, haga clic en el icono de clúster (
- En el menú que se abre, elija Build autoprofile.
Si el proceso de creación automática de perfiles ya se está ejecutando en el clúster, no podrá elegir Build autoprofile. Si tiene los derechos adecuados, puede detener la creación del perfil automático en el clúster determinado si elige Stop autoprofiling en el menú. También puede esperar a que finalice la tarea iniciada anteriormente. La solución solo permite la ejecución de una tarea de creación automática de perfiles en un clúster a la vez.
- Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.
El tiempo predeterminado son 60 minutos.
- Haga clic en Start.
En la sección Policies → Runtime policies → Autoprofiles, verá los perfiles creados automáticamente para la ejecución.
Inicio de página
Visualizar lista de perfiles automáticos para la ejecución
En la tabla en Policies → Runtime → Autoprofiles, Kaspersky Container Security muestra una lista que contiene todos los perfiles automáticos para la ejecución creados. Para cada perfil automático, se muestra la siguiente información:
- Nombre del perfil automático para la ejecución (concatenación de los siguientes datos):
- Nombre del pod.
- Nombre del espacio de nombres.
- Nombre del clúster
- Los primeros 12 caracteres de la suma de verificación de la imagen (después del prefijo de SHA256).
Los componentes del nombre del perfil automático se separan con guiones bajos (por ejemplo, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).
- Estado del perfil automático según la verificación que hizo el usuario: Verified o Not verified. De forma predeterminada, el estado del perfil automático al momento de la creación es Not verified.
De ser necesario, puede usar los botones Verified/Not verified para modificar el estado del perfil automático en la tabla. También puede asignar el estado Verified a uno o más perfiles automáticos si hace clic en el botón Verify que se encuentra por encima de la tabla.
Solo se pueden aplicar los perfiles automáticos que tengan el estado Verified.
- Fecha y hora de la última modificación.
- Clúster y espacio de nombres en los que se basa el perfil automático.
- Imagen en cuya suma de verificación se basa el perfil automático.
Kaspersky Container Security también muestra una lista que contiene los perfiles automáticos para cada imagen cuyo código hash se usa para crear los perfiles.
Para ver la lista de perfiles automáticos para una imagen:
- Vaya a Resources → Registries.
- En el registro que desee, haga clic en el icono
y expanda la lista de imágenes del registro. Las imágenes usadas para crear perfiles automáticos se marcan con el icono de creación automática de perfiles (
).
- Haga clic en el nombre de una imagen y diríjase a la página que contiene información detallada sobre los resultados del análisis de dicha imagen.
La lista que contiene todos los perfiles automáticos se muestra en forma de tabla, en la sección Associated autoprofiles. Para cada perfil automático, se muestra la siguiente información:
- Nombre del perfil creado automáticamente. Haga clic en el nombre del perfil para abrir la ventana que contiene la descripción detallada del perfil. La información en esta ventana es de solo lectura.
- Fecha y hora de la última modificación.
- Clúster y espacio de nombres en los que se basa el perfil automático.
Visualizar la configuración de un perfil automático para la ejecución
Para visualizar los parámetros de los perfiles automáticos:
- En la sección Policies → Runtime policies → Autoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
- En la barra lateral que se muestra, en las pestañas General y Building parameters, encontrará información sobre los parámetros de los perfiles automáticos elegidos. En la pestaña General, verá la siguiente información:
- Estado del perfil automático.
- Nombre del perfil automático para la ejecución.
- Descripción del perfil automático para la ejecución (si se especificó de forma manual). De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
- En Parameters, puede ver los parámetros de los siguientes módulos:
- File threat protection
- Restrict container executable files.
- Restrict inbound network connections.
- Restrict outbound network connections.
- File operations
De ser necesario, puede modificar los parámetros de los perfiles automáticos.
En la pestaña Building parameters, verá los siguientes datos:
- Nombre del perfil automático para la ejecución.
- Fecha y hora de la última modificación del perfil automático.
- Nombre del usuario que inició la creación del perfil automático.
- Suma de verificación, espacio de nombres y clúster de la imagen que se usaron para el perfil automático.
- Nombre de la imagen en cuya suma de verificación se basa el perfil automático. Si hace clic en el nombre de la imagen, puede ver los resultados del análisis de dicha imagen.
Editar la configuración de un perfil automático para la ejecución
Para editar los parámetros de los perfiles automáticos:
- En la sección Policies → Runtime policies → Autoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
- De ser necesario, en la barra lateral que se muestra, en la pestaña General information, edite los valores todos los siguientes parámetros que desee:
- Estado del perfil automático. Use los botones Verified/Not verified para modificar el estado del perfil automático a Verified o Not verified.
- Nombre del perfil automático para la ejecución. Puede personalizar el nombre del perfil automático para reemplazar el que genera la solución.
- Descripción del perfil automático para la ejecución. De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
- En Parameters, edite los parámetros de supervisión de estados de la red de la siguiente manera:
- File threat protection. De ser necesario, use los botones Disabled/Enabled para activar o desactivar el componente Protección frente a amenazas en archivos. De forma predeterminada, la opción File Threat Protection está desactivada.
- Restrict container executable files. Puede especificar nombres y rutas de archivos que se bloquearán, además de excepciones.
Si se están ejecutando procesos en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:
- Cuando se detecten eventos en los modos Audit y Enforce, la solución activa el parámetro Block specified executable files y todas las rutas únicas se indican en el campo Executables or path.
- Si no hay ningún proceso en los modos Audit y Enforce, la solución aplica el parámetro Block all executable files.
- Si se detectan otros eventos, la solución activa el parámetro Allow exclusions y especifica todos los valores de las rutas únicas en el campo Executables or path.
- Restrict inbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones entrantes del contenedor.
Si hay tráfico entrante en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:
- Cuando los eventos relativos a las conexiones entrantes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict inbound network connections.
- Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los recipientes únicos de las conexiones entrantes.
- Restrict outbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones salientes del contenedor.
Si hay tráfico saliente en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:
- Cuando los eventos relativos a las conexiones salientes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict outbound network connections.
- Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los orígenes únicos de las conexiones salientes.
- File operations. Puede editar la configuración de la supervisión de las operaciones en archivos del contenedor.
Si hay alguna acción en los contenedores de la compilación pertinente, al detectar un evento de gestión de archivos en los modos Audit y Enforce, la solución activa el parámetro File operations. En este caso, en el campo Path se indican todas las rutas únicas y las casillas de verificación de todos los tipos de operaciones detectadas se eligen en el campo Operation type.
También puede hacer clic en Add rule para añadir las reglas que se aplicarán al supervisar operaciones en archivos.
Si se activa un parámetro en la sección Settings, la solución determina la compilación específica de la imagen y analiza todos los contenedores desplegados de dicha compilación.
- Realice una de las siguientes acciones para guardar los cambios del perfil automático:
- Para guardar los cambios sin modificar el estado del perfil automático a Verified, haga clic en Save.
- Para guardar los cambios y modificar el estado del perfil automático a Verified, haga clic en Save and verify.
Detener la creación de perfiles automáticos
Si hay una tarea de creación de perfiles automáticos en ejecución en el clúster elegido, Kaspersky Container Security muestra el tiempo que resta hasta que finalice el proceso:
- En la columna Autoprofiles de la tabla que contiene la lista de clústeres
- En la columna Autoprofiles de la tabla que contiene la lista de espacios de nombres del clúster
- En la columna Autoprofiles de la tabla que contiene la lista de pods en el espacio de nombres elegido del clúster
Puede detener un proceso de creación de perfiles automáticos en ejecución en los tres niveles:
- Nivel del clúster
- Nivel del espacio de nombres
- Nivel del pod
A nivel de clúster y de espacio de nombres, puede detener la creación de un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede detener la creación de un perfil automático mediante la tabla.
La creación automática de perfiles se puede detener para un objeto completo del perfil (clúster, espacio de nombres o pod) o para entidades específicas del objeto del perfil (por ejemplo, espacios de nombres o pods elegidos).
Podrá detener el proceso de creación de perfiles automáticos si tiene los derechos necesarios.
Detener una tarea de creación de perfiles automáticos
Para detener una tarea de creación de perfiles automático con la tabla que contiene la lista de objetos:
- Vaya a Resources → Clusters.
- Siga estos pasos, según el nivel en el cual está deteniendo la creación de perfiles automáticos:
- Si desea detener la creación automática a nivel del clúster, haga clic en la casilla de verificación para elegir uno o más clústeres para los que se ha iniciado la tarea.
- Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
- Haga clic en el nombre del clúster en la tabla de clústeres.
- En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres para los que se ha iniciado la tarea.
- Si desea detener la creación de un perfil automático a nivel del pod, siga estos pasos:
- Haga clic en el nombre del clúster en la tabla de clústeres.
- Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
- En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods para los cuales se ha iniciado la tarea.
- Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla.
Si la lista de objetos elegidos incluye un clúster, un espacio de nombres o un subclúster donde no se ha iniciado el proceso de creación automática de tareas, el botón Stop autoprofiling no estará activo.
- Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.
Para detener una tarea de creación de perfiles automáticos desde un gráfico:
- Vaya a Resources → Clusters.
- Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
- Si desea detener una tarea de creación de perfiles automáticos a nivel del clúster, haga clic en el icono de clúster (
), en el gráfico con espacios de nombres.
- Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga estos pasos:
- Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
- En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (
).
- Si desea detener una tarea de creación de perfiles automáticos a nivel del clúster, haga clic en el icono de clúster (
- En el menú que se abre, elija Stop autoprofiling.
- Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.
Detener la creación de perfiles automáticos para objetos específicos
Para detener la creación de perfiles automáticos para objetos específicos en una tarea:
- Inicie una tarea de creación de perfiles automáticos.
- Realice una de las siguientes acciones:
- Si hay una tarea de creación de perfiles automáticos de un clúster en ejecución, realice lo siguiente:
- En la tabla que contiene la lista de clústeres, haga clic en el nombre del clúster para el que se crea un perfil automático.
- En la ventana que se abre, realice una de las siguientes acciones:
- Elija uno o más espacios de nombres para los que desee detener la creación de perfiles automáticos.
- Haga clic en el espacio de nombres y, en la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
- Si hay una tarea de creación de perfiles automáticos de un espacio de nombres en ejecución, realice lo siguiente:
- En la tabla que contiene la lista de espacios de nombres, haga clic en el espacio de nombres para el que se crea un perfil automático.
- En la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
- Si hay una tarea de creación de perfiles automáticos de un clúster en ejecución, realice lo siguiente:
- Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla que contiene la lista de objetos.
- Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.
Kaspersky Container Security detendrá el proceso de creación de perfiles automáticos para los objetos elegidos. La solución continuará la ejecución de la tarea de creación de perfiles automáticos para los demás objetos en el clúster o el espacio de nombres.
Al detener la creación de perfiles automáticos para objetos específicos, no olvide que detener la tarea a nivel de un objeto más general, detendrá la tarea en su totalidad. Por ejemplo, una tarea de creación de perfiles automáticos se detiene por completo en los siguientes casos:
- Si la tarea de creación de perfiles automáticos en espacios de nombres o pods está iniciada y la detiene a nivel del clúster que incluye los espacios de nombres o pods elegidos.
- Si la tarea de creación de perfiles automáticos en pods está iniciada y la detiene a nivel del espacio de nombres que contiene los pods elegidos.
Eliminar un perfil automático para la ejecución
Para eliminar un perfil automático para la ejecución de contenedores:
- Abra la tabla de los perfiles automáticos para la ejecución en una de las siguientes secciones:
- En la sección Policies → Runtime → Autoprofiles
- En la sección Associated autoprofiles, en la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección Resources → Registries
- Realice una de las siguientes acciones:
- En la sección Policies → Runtime → Autoprofiles, haga clic en la casilla de verificación para elegir el perfil automático que desee eliminar y haga clic en el botón Delete que se encuentra encima de la tabla.
- En la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección Resources → Registries, en la fila del perfil automático que desee eliminar, haga clic en el ícono de eliminación (
).
- En la ventana que se abre, confirme la acción.
Restricciones relacionadas con perfiles automáticos
Al trabajar con perfiles automáticos para la ejecución, tenga en cuenta las siguientes restricciones relativas a alcances y roles de usuarios:
- Si no se añade una imagen a los alcances asignados al usuario como parte de un espacio de nombres del clúster, el usuario no puede acceder a los perfiles automáticos generados con el código hash de la imagen.
Un usuario con alcance predeterminado podrá ver todos los perfiles automáticos que se han creado.
- Si un usuario tiene los derechos para gestionar la creación de perfiles automáticos, podrá iniciar una tarea para crear un perfil automático, modificar la configuración y volver a generarlo.
- Un usuario que no ha iniciado una tarea de creación de perfiles automáticos puede modificar la configuración, volver a crear un perfil automático y eliminarlo si se cumplen todas las siguientes condiciones:
- El usuario tiene los derechos para gestionar la creación de perfiles automáticos.
- Uno de los roles del usuario coincide con el rol de creación de perfiles automáticos cuando se creó el perfil automático.
- Los alcances asignados al usuario incluyen la imagen (como parte del espacio de nombres del clúster) en la que se basa el perfil automático.
Eliminar directivas
Puede eliminar directivas de seguridad si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva. También necesitará otros derechos para gestionar los tipos de directivas correspondientes a fin de eliminarlas.
Para eliminar una directiva:
- Abra la lista de directivas de análisis, directivas de certeza, directivas de respuesta o directivas referentes a la ejecución que están configuradas.
- En la línea que contiene el nombre de la directiva que desee eliminar, haga clic en el icono Eliminar (
).
- En la ventana que se abre, confirme la acción.
Si existen errores de configuración de la directiva de seguridad que bloquean el funcionamiento de Kaspersky Container Security y no puede gestionar la solución desde la Consola de administración, deberá eliminar las directivas de seguridad de forma manual.
Para eliminar una directiva de forma manual y restablecer el funcionamiento de la solución:
- Ejecute el siguiente comando para eliminar los agentes (kube-agent y node-agent) según corresponda:
kubectl delete deployment kube-agent
kubectl delete daemonset node-agent
- Ejecute este otro comando para eliminar todos los recursos del cliente en el clúster destino:
kubectl get crd -o name | grep 'kcssecurityprofiles.securityprobe.kcs.com' | xargs kubectl delete
- Reinicie todos los pods de Kaspersky Container Security y acceda a la Consola de administración.
- Realice los cambios necesarios a las directivas de seguridad.
- Instale los gentes con la instrucción en formato .YAML.
Verificación del cumplimiento
Kaspersky Container Security le permite verificar el cumplimiento de los recursos y los nodos de clústeres con los siguientes puntos de referencia:
- Puntos de referencias de Kubernetes. La solución verifica que los nodos de clústeres cumplan con las recomendaciones de creación de un sistema de seguridad sólido para software basado en Kubernetes.
Verá los resultados de la verificación en la sección Compliance → Kubernetes benchmarks.
- Puntos de referencia de clústeres. La solución verifica la protección de los recursos de clústeres. Los clústeres se verifican mediante las reglas descritas en los puntos de referencia de , / y Kubernetes, que se utilizan para evaluar amenazas y desarrollar estrategias de protección de recursos.
Verá los resultados de la verificación en la sección Compliance → Cluster benchmarks.
No todas las plataformas de orquestación compatibles con Kaspersky Container Security se pueden analizar para corroborar su cumplimiento con los estándares. La verificación se lleva a cabo para Kubernetes, OpenShift y DropApp.
En Kaspersky Container Security, puede generar informes a partir de los resultados de las verificaciones sobre el cumplimiento de los puntos de referencia. En Administration → Reports, verá la lista de informes generados.
Verificación del cumplimiento con puntos de referencia de Kubernetes
Los agentes de Kaspersky Container Security pueden verificar el cumplimiento de los nodos de clústeres de Kubernetes con los puntos de referencia de la seguridad de la información de Kubernetes.
Kaspersky Container Security verifica el cumplimiento con los puntos de referencia de Kubernetes en las versiones 1.15-1.29.
El agente verifica el estado del nodo donde está instalado y envía los resultados al servidor. Podrá consultar los resultados de la verificación en la sección Compliance.
También podrá ver los resultados de las verificaciones del cumplimiento de los nodos de clústeres con los puntos de referencia de Kubernetes en la sección Compliance → Kubernetes benchmarks. Los resultados de los análisis de nodos se muestran en una tabla. De forma predeterminada, Kaspersky Container Security muestra una lista que contiene los resultados del último análisis de todos los nodos en todos los clústeres. En la lista, los nodos no están agrupados; puede usar los filtros para personalizar la lista de objetos mostrados según el nombre del clúster.
Encima de la tabla que contiene los resultados del análisis, en la sección Control status, verá el número de controles que recibió cada estado durante el análisis. Kaspersky Container Security muestra esta información para los siguientes estados de los análisis:
- Passed: la verificación se completó de forma correcta.
- Warning: podría haber errores durante la ejecución de las operaciones o de las tareas.
- Failed: no se cumplen los puntos de referencia.
Puede elegir los nodos que tienen los estados que desee mostrar después del análisis. Para ello, en la sección Control status, elija el botón que exhibe el estado que desee ocultar. Luego, la tabla que contiene los resultados del análisis solo mostrará los nodos que recibieron este estado, entre otros, durante el análisis.
En Kaspersky Container Security, puede generar un informe sobre la base del resultado de la verificación del cumplimiento con los puntos de referencia de Kubernetes. Según las especificaciones que necesite, puede generar un informe detallado o un resumen de los puntos de referencia de Kubernetes. En Administration → Reports, verá la lista de informes generados.
Haga clic en el enlace en el nombre del nodo para abrir la página que contiene información detallada sobre los resultados de la verificación del nodo.
La solución mostrará un resumen de la información en la parte superior de la ventana. En la tabla, cada punto de referencia se relaciona con el estado de cumplimiento del nodo.
Si hace clic en el botón Rescan, podrá verificar la situación de un nodo en comparación con los puntos de referencia estándar.
Verificación del cumplimiento con puntos de referencia de seguridad en clústeres
En la tabla en la sección Compliance → Cluster benchmarks, se enumeran los clústeres sobre los que puede verificar el cumplimiento con los puntos de referencia de clústeres.
Para consultar información sobre clústeres específicos:
En el campo Cluster, en la sección Compliance → Cluster benchmarks, realice una de las siguientes acciones:
- En la lista desplegable, elija uno o más clústeres.
- Introduzca el nombre de uno o más clústeres.
De forma predeterminada, en la tabla verá todos los clústeres disponibles sobre los que puede verificar el cumplimiento.
La tabla incluye los siguientes datos de los clústeres:
- Nombre del clúster.
- Fecha y hora del último análisis.
- Orquestador y versión. Si la versión del orquestador ya no es compatible, la solución mostrará el icono
.
- Puntuación del cumplimiento.
- Controles de incumplimiento y gravedad de cada tipo de riesgo identificado.
Puede elegir la casilla de verificación que se encuentra en la fila del nombre del clúster para elegir uno o más clústeres. Si hace clic en los botones encima de la tabla, puede realizar las siguientes acciones en los clústeres elegidos:
- Enviar para su reanálisis.
- Generar un informe del cumplimiento de los recursos de uno o más clústeres con los puntos de referencia de seguridad de clústeres.
Kaspersky Container Security consulta nombres de categorías y subcategorías, nombres de controles y recomendaciones de corrección de las bases de datos conectadas de los puntos de referencia aplicables en el idioma de estas bases de datos. La información se mostrará en el idioma en que se reciba. Por este motivo, la información de los puntos de referencia de MITRE, NSA/CISA y Kubernetes aparecerá en inglés.
Visualizar los resultados del análisis de clústeres
Para visualizar resultados detallados de la verificación de clústeres:
En la sección Compliance → Cluster benchmarks, en la tabla, haga clic en el nombre del clúster.
Se abrirá una ventana que contiene los resultados de la verificación de los clústeres que, a su vez, muestra información sobre el cumplimiento de los recursos de clústeres con los controles de los puntos de referencia e información sobre la gestión de los recursos de clústeres. En las pestañas Benchmarks scan results y Information, verá los resultados.
La solución muestra los resultados de los análisis de todos los recursos en el clúster, aunque haya elegido recursos específicos del clúster en el alcance.
En la pestaña Benchmarks scan results, la tabla muestra la siguiente información:
- ID del control
- Descripción del control
- Puntuación del cumplimiento (en formato de porcentaje)
- Número de recursos en incumplimiento para cada control detectado
- Recomendaciones de corrección
- Categoría del control
- Gravedad del control
En la pestaña Information, la solución muestra la siguiente información sobre el clúster verificado:
- Orquestador y versión
- Versión de Git
- Arquitectura de la CPU
- Fecha y hora de la compilación del clúster
- Fecha de caducidad de la compatibilidad con la versión específica del orquestador. Si la versión del orquestador ya no es compatible, la solución mostrará el icono
.
De ser necesario, puede enviar el clúster para un reanálisis si hace clic en el botón Rescan, en la pestaña Benchmarks scan results.
Además, si hace clic en el botón Create report, en la pestaña Benchmarks scan results, podrá generar un informe del cumplimiento de los recursos de uno o más clústeres con los puntos de referencia de la seguridad de clústeres. En Administration → Reports, verá la lista de informes generados.
Configurar la visualización de los resultados del análisis de clústeres
Para configurar la visualización de los resultados del análisis de clústeres:
- En la sección Compliance → Cluster benchmarks, haga clic en el nombre del clúster.
La solución abrirá una ventana que contiene una descripción detallada de los resultados del análisis del clúster elegido.
- Elija la fecha y hora del análisis. De forma predeterminada, se muestran los resultados del último análisis.
- De ser necesario, puede hacer lo siguiente para filtrar los resultados del análisis por gravedad y por los puntos de referencia de la seguridad de clústeres pertinentes:
- Haga clic en el icono de filtros (
), que se encuentra encima de la tabla.
- En la barra lateral que aparece, especifique los siguientes parámetros de los controles:
- Para el parámetro Severity, elija uno o más botones referidos a la gravedad (Critical, High, Medium o Low).
- Para el parámetro Framework, elija uno o más botones referidos a los puntos de referencia pertinentes (All, MITRE o NSA/CISA).
- Haga clic en Apply.
La solución cierra la barra lateral y la tabla con los resultados del análisis solo mostrará los controles que coincidan con los parámetros de control elegidos.
De forma predeterminada, los resultados del análisis se muestran para todos los niveles de gravedad y todos los puntos de referencia de seguridad de clústeres.
- Haga clic en el icono de filtros (
- De ser necesario, puede elegir la categoría o subcategoría de controles que desee mostrar en la tabla. Para hacerlo:
- Si desea mostrar una categoría de controles, haga clic en el nombre de la categoría que se encuentra encima de la tabla de resultados.
- Si desea mostrar una subcategoría de controles:
- En las categorías de controles, haga clic en el enlace Expand subcategories para expandir las listas de subcategorías.
- Haga clic en el nombre de la categoría, que se encuentra encima de la tabla de resultados.
Detalles del control
Para ver información acerca de un control:
En la ventana que contiene los resultados detallados del análisis del clúster elegido, en la pestaña Benchmarks scan results, haga clic en el ID del control, en la tabla.
La barra lateral contiene la siguiente información:
- En la pestaña General:
- ID y nombre del control
- Categoría y subcategoría del control
- Método de verificación
- Reglas de la verificación
- Descripción del control
- Recomendaciones de corrección
- Técnica de verificación utilizada
- Puntos de referencia
- En la pestaña Resources:
- Número total de recursos verificados
- Puntuación del cumplimiento (en formato de porcentaje)
- Número de recursos para los cuales no se realizó una verificación (el valor se indica junto al encabezado de la pestaña)
- Tabla con los siguientes parámetros de los recursos del clúster:
- Espacio de nombres
- Nombre del recurso
- Tipo de recurso
- Estado de la verificación (Passed o Failed)
Si hace clic en los botones All, Passed o Failed, que se encuentran encima de la tabla, puede configurar la visualización de la información de los recursos en la tabla.
Configurar y generar informes
Kaspersky Container Security permite generar informes sobre la base de los resultados del análisis de registros, clústeres e imágenes. En Administration → Reports, verá la lista de informes generados.
En los informes que genera la solución, se observa la siguiente información:
- Eventos relacionados con la lógica operativa de Kaspersky Container Security (por ejemplo, los resultados del análisis de imágenes o nodos)
- Datos estadísticos (por ejemplo, una lista de las imágenes y los problemas de seguridad detectados)
Kaspersky Container Security facilita las siguientes plantillas de informes:
- Informe resumido de imágenes
- Informe detallado de imágenes
- Informe de la aceptación de riesgos
- Informe resumido de los puntos de referencia de Kubernetes
- Informe detallado de los puntos de referencia de Kubernetes
- Informe de los puntos de referencia de clústeres
Según la plantilla de informe elegida, los informes se generan en secciones diferentes de la solución.
El proceso de generación de informes podría demorar varios minutos.
En Administration → Reports, verá la lista de informes generados. Podrá descargar los informes en los formatos .HTML, .PDF, .CSV, .JSON o .XML.
En Kaspersky Container Security, los informes están en inglés.
Informes de imágenes
En Kaspersky Container Security, puede generar informes según los resultados del análisis de imágenes. De acuerdo con las especificaciones que necesite ver, puede obtener informes de imágenes resumidos o detallados.
Informe resumido de imágenes
En este tipo de informe, se facilita información consolidada sobre las imágenes elegidas. En este informe, encontrará los nombres de las imágenes y los nombres de los clústeres que contienen dichas imágenes. El informe resumido contiene datos sobre el cumplimiento de las imágenes con los requisitos de las directivas de seguridad, los nombres de las directivas llamadas durante el análisis de las imágenes y los resultados del análisis. Para cada imagen, el informe contiene datos del número de riesgos identificados relacionados con vulnerabilidades, malware, información confidencial y configuraciones incorrectas.
Informe detallado de imágenes
En este tipo de informe, se proporciona información más detallada sobre las imágenes elegidas, los análisis completados y los problemas de seguridad identificados. Cada informe incluye la fecha y hora del último análisis, el clúster que contiene la imagen elegida, la evaluación de riesgos y la evaluación del cumplimiento con los requisitos de las directivas de seguridad. Kaspersky Container Security muestra el número de objetos con diferentes niveles de gravedad sobre la base de las vulnerabilidades, el software malicioso, los datos confidenciales y las configuraciones incorrectas que se han identificado.
En el bloque que contiene la descripción de las directivas de seguridad aplicadas a las imágenes, la solución facilita una lista de estas directivas e indica si el análisis se completó sin problema o si se produjo algún error. En este informe, también se especifica la acción que realizó Kaspersky Container Security según la directiva concreta. En este caso, en el informe se podría mostrar el bloqueo de la etapa de CI/CD, el marcado de imágenes como en incumplimiento de los requisitos de seguridad o ambas.
En la sección Vulnerabilities, encontrará una lista de las vulnerabilidades identificadas, los niveles de gravedad, el recurso donde se detectaron y la versión de la imagen donde se corrigieron las vulnerabilidades.
En las secciones Malware y Sensitive data, encontrará listas de objetos maliciosos y objetos con datos confidenciales que se han detectado. Para cada objeto, se indica el nivel de gravedad y su ruta.
En el bloque Misconfigurations, encontrará una lista que indica los nombres de los archivos donde se identificaron configuraciones incorrectas, los niveles de gravedad de estas configuraciones incorrectas y los tipos de archivos (por ejemplo, un archivo Docker). También se especifican los problemas detectados y se brindan recomendaciones para resolverlos.
Kaspersky Container Security recibe una descripción de los problemas relacionados con configuraciones incorrectas desde la base de datos interna para el análisis de archivos de configuración. Esto incluye los módulos de análisis de archivos de configuración de Kubernetes, Dockerfile, Containerfile, Terraform, CloudFormation, Azure ARM Template y Helm Chart. La descripción de las configuraciones incorrectas y las recomendaciones de corrección aparecen en el mismo idioma de los módulos de análisis específicos. Por ejemplo, la descripción de las configuraciones incorrectas de Kubernetes está en inglés.
Esta base de datos se actualiza cuando se lanza una nueva versión de la aplicación.
Informe de la aceptación de riesgos
El informe de aceptación de riesgos contiene datos sobre los riesgos aceptados, incluso la fecha y hora en que se aceptaron. Puede generar un informe de todos los riesgos aceptados o de determinados riesgos aceptados sobre la base del filtro que elija.
Para cada riesgo aceptado que elija, verá el nombre con el siguiente formato:
- Tipo de riesgo (vulnerabilidad, malware, dato confidencial o configuración incorrecta)
- ID o nombre del riesgo
- Gravedad del riesgo
Kaspersky Container Security proporciona el nombre de la imagen, el nombre del recurso y del repositorio donde se detectó el riesgo y la versión de la imagen donde se corrigió. En la tabla del informe también encontrará la siguiente información sobre la aceptación de riesgos:
- Alcance de la aceptación de riesgos
- Período después del cual el riesgo debe volver a considerarse al determinar el estado de la seguridad de la imagen
- Usuario que aceptó el riesgo
Informes de los puntos de referencias de Kubernetes
En Kaspersky Container Security, puede generar informes sobre la base de los resultados de la verificación del cumplimiento de los objetos con los puntos de referencia de Kubernetes.
De forma predeterminada, los informes se generan para los nodos que tienen todos los estados (Passed, Warning y Failed). Si necesita generar un informe de los nodos que tienen un estado de análisis específico, en la sección Control status encima de la tabla, haga clic en el botón adecuado. Kaspersky Container Security actualiza la visualización de los resultados de la verificación del cumplimiento y genera un informe de los nodos que tienen dicho estado.
De acuerdo con el nivel de detalle, puede obtener informes resumidos o detallados.
Informe resumido de los puntos de referencia de Kubernetes
En este tipo de informe, se facilita información consolidada sobre los clústeres elegidos. Se enumeran los nombres de los nodos que tienen el estado de verificación del cumplimiento específico y las fechas y horas de la última verificación de cada nodo. En el informe de todos los nodos, encontrará información sobre el número de puntos de referencia de Kubernetes con los estados elegidos que se detectaron durante el análisis de los objetos.
Informe detallado de los puntos de referencia de Kubernetes
En este tipo de informe, se proporciona información más detallada sobre los nodos del clúster elegido o sobre un nodo particular del clúster. Esto dependerá de la subsección de la solución desde donde genere el informe:
- En la tabla que contiene la lista de clústeres, se generará un informe detallado de los nodos del clúster elegido.
- En la página que contiene una descripción detallada del nodo, se generará un informe del nodo.
Para cada nodo del clúster elegido para generar el informe, también figurará la fecha y hora del último análisis, el número de puntos de referencia de Kubernetes con los estados del análisis y los puntos de referencia que recibieron los estados elegidos antes de la generación del informe.
Los puntos de referencia de Kubernetes proporcionan un estándar de configuración y recomendaciones para lograr una configuración segura de las soluciones y las aplicaciones a fin de mejorar la protección ante ciberamenazas. El endurecimiento es un proceso que ofrece protección frente a accesos no autorizados, denegación del servicio y otros eventos de seguridad al eliminar posibles riesgos.
Ejemplo de puntos de referencia de Kubernetes
Inicio de página
Informe de los puntos de referencia de clústeres
En este informe, encontrará información sobre el cumplimiento de los recursos de clústeres con los puntos de referencia. Puede generar un informe para uno o más clústeres.
El informe incluye la siguiente información:
- Fecha y hora en que se generó el informe.
- Nombre del clúster verificado. Si se generó un informe de diversos clústeres, la información se presentará agrupada por clúster.
- Fecha y hora del análisis.
- Categorías y subcategorías de los controles elegidos al generar el informe. De forma predeterminada, se genera un informe de todas las categorías y subcategorías de los controles del clúster. Si necesita generar un informe de los recursos de una categoría y subcategoría de control específica, determine las categorías o subcategorías relevantes.
- Puntuación del cumplimiento (en formato de porcentaje).
- Número de controles que no se pudieron verificar.
- Número de recursos del clúster que no cumplen con los puntos de referencia.
El informe también incluye una tabla que contiene los siguientes datos sobre el cumplimiento de los recursos de clústeres con los controles de los puntos de referencia:
- ID y nombre del control
- Gravedad del control
- Recomendaciones de corrección
- Categoría del control
- Puntuación del cumplimiento (en formato de porcentaje)
- Número de recursos en incumplimiento para cada control detectado
Los controles de los puntos de referencia de clústeres representan los parámetros más importantes de la configuración de un clúster que se podrían aprovechar en un ciberataque. Los controles se basan en una descripción sistemática de las técnicas y tácticas de endurecimiento de la ciberseguridad de los puntos de referencia de MITRE y NSA/CISA. Si se analiza el cumplimiento de los recursos de clústeres con los controles de los puntos de referencia, se puede garantizar un nivel de protección adecuado y la identificación oportuna de los riesgos en la infraestructura.
De forma predeterminada, los informes se generan para los recursos que tienen todos los niveles de gravedad (Critical, High, Medium y Low) y cuyo cumplimiento se ha verificado en relación con ambos puntos de referencia (MITRE y NSA/CISA). Si necesita generar un informe de los recursos que tienen un nivel de gravedad específico y debe verificar el cumplimiento con un punto de referencia particular, debe usar un filtro para elegir los valores que desee. Kaspersky Container Security actualiza la visualización de los resultados de la verificación del cumplimiento y genera un informe de los recursos que tienen dichos parámetros.
Generar informes
En Kaspersky Container Security, los informes se generan en diversas secciones de la aplicación según la plantilla de informe específica que esté usando.
El proceso de generación de informes podría demorar varios minutos.
Podrá ver la lista de informes generados en Administration → Reports. En esta sección, podrá descargar los informes en los formatos .HTML, .PDF, .CSV, .JSON o .XML.
Inicio de página
Generar informes de imágenes
Para generar un informe resumido de imágenes:
- Diríjase a una de las siguientes secciones:
- Resources → Registries para generar un informe de las imágenes de registros integrados a la solución.
- Resources → CI/CD para generar un informe de las imágenes analizadas en CI/CD.
En Resources → CI/CD, los informes se generan solo para los objetos que tienen el tipo de artefacto image (
container_image
oimage
). En esta sección, no puede generar un informe para otros tipos de artefactos.
- Según la sección que haya elegido, realice una de las siguientes acciones:
- En la sección Resources → Registries, elija un repositorio o una o más imágenes sobre los cuales desee generar el informe.
Si hace clic en la casilla de verificación en el encabezado de la tabla, puede elegir todos los repositorios y las imágenes.
- En la sección Resources → CI/CD, elija una o más imágenes sobre las cuales desee generar el informe.
Si hace clic en la casilla de verificación en el encabezado de la tabla, puede elegir todas las imágenes.
- En la sección Resources → Registries, elija un repositorio o una o más imágenes sobre los cuales desee generar el informe.
- Haga clic en el botón Create report que se encuentra encima de la imagen y elija la opción Images summary report en la lista desplegable.
- En la ventana que se abre, confirme la generación del informe.
Para generar un informe detallado de imágenes:
- Diríjase a una de las siguientes secciones:
- Resources → Registries para generar un informe de las imágenes de registros integrados a la solución.
- Resources → CI/CD para generar un informe de las imágenes analizadas en CI/CD.
En Resources → CI/CD, los informes se generan solo para los objetos que tienen el tipo de artefacto image (
container_image
oimage
). En esta sección, no puede generar un informe para otros tipos de artefactos. - Components → Scanners → Scanner tasks para generar un informe sobre la base de una imagen analizada durante una tarea de análisis.
- Según la sección que haya elegido, realice una de las siguientes acciones:
- En Resources → Registries, realice las siguientes acciones:
- Elija un repositorio o una o más imágenes sobre los cuales desee generar el informe.
- Haga clic en el botón Create report que se encuentra encima de la imagen y elija la opción Images detailed report en la lista desplegable.
- En Resources → CI/CD, realice las siguientes acciones:
- Elija un repositorio o una o más imágenes sobre los cuales desee generar el informe.
- Haga clic en el botón Create report que se encuentra encima de la imagen y elija la opción Images detailed report en la lista desplegable.
- En Components → Scanners → Scanner jobs, realice las siguientes acciones:
- En la lista de tareas de análisis, elija el objeto analizado sobre el cual desee generar el informe. Solo puede elegir una imagen en la página que contiene la descripción detallada de los resultados del análisis de dicha imagen.
- En la ventana que contiene los resultados del análisis del objeto, haga clic en el botón Create report que se encuentra a la derecha de la descripción del cumplimiento del objeto con los requisitos de las directivas de seguridad.
Se abrirá una ventana que contiene los resultados del análisis y el botón Create report solo para las tareas de análisis que tienen el estado Finished.
- En Resources → Registries, realice las siguientes acciones:
- En la ventana que se abre, confirme la generación del informe.
Generar informes de la aceptación de riesgos
Para generar un informe de la aceptación de riesgos:
- Diríjase a la sección Policies → Risk acceptance.
De forma predeterminada, se generará un informe de todos los riesgos aceptados, que se muestran en la tabla. De ser necesario, puede generar un informe sobre objetos específicos. Para determinar los objetos sobre los cuales desee generar un informe, realice una o más de las siguientes acciones:
- En el campo Search, introduzca el nombre del riesgo, el nombre del repositorio o el nombre de la imagen.
- Use la lista desplegable Risk type que se encuentra encima de la tabla para elegir los objetos según el tipo de riesgo.
- Use la lista desplegable Vendor fix que se encuentra encima de la tabla para elegir los objetos según el tipo de riesgo.
- Haga clic en el botón Create report que se encuentra encima de la tabla.
Kaspersky Container Security comenzará a generar el informe y le pedirá que haga clic en el enlace a la página que contiene la lista de los informes generados.
Generar informes de puntos de referencia de Kubernetes
Para generar un informe resumido de los puntos de referencia de Kubernetes:
- Diríjase a Compliance → Kubernetes benchmarks.
- En el campo Cluster, elija uno o más clústeres sobre los que desee generar un informe.
Si hace clic en All en la lista desplegable Cluster, se generará un informe de todos los clústeres.
- Encima de la tabla, en Control status, puede elegir los estados sobre los cuales desee generar un informe: Passed, Warning o Failed.
De forma predeterminada, todos los estados están seleccionados.
- Haga clic en el botón Create report que se encuentra encima de la imagen y elija la opción Summary report en la lista desplegable.
- En la ventana que se abre, confirme la generación del informe. En la sección Administration → Reports, puede descargar el informe en formatos .HTML, .PDF, .CSV, .JSON y .XML.
Para generar un informe resumido de los puntos de referencia de Kubernetes:
- Diríjase a Compliance → Kubernetes benchmarks.
- Encima de la tabla, en Control status, puede elegir los estados sobre los cuales desee generar un informe: Passed, Warning o Failed.
De forma predeterminada, todos los estados están seleccionados.
- Realice una de las siguientes acciones:
- En el campo Cluster, elija el clúster sobre el que desee generar un informe y realice las siguientes acciones:
- Haga clic en el botón Create report que se encuentra encima de la tabla.
- En la lista desplegable, elija Detailed report.
- En la tabla que contiene los resultados de la verificación, haga clic en el nombre del clúster y realice las siguientes acciones:
- Haga clic en el nombre de un nodo en el clúster elegido.
Kaspersky Container Security mostrará todos los datos disponibles de los puntos de referencia de Kubernetes obtenidos para dicho nodo durante el análisis.
- Haga clic en el botón Create report que se encuentra encima de la tabla.
- Haga clic en el nombre de un nodo en el clúster elegido.
- En el campo Cluster, elija el clúster sobre el que desee generar un informe y realice las siguientes acciones:
- En la ventana que se abre, confirme la generación del informe. En la sección Administration → Reports, puede descargar el informe en formatos .HTML, .PDF, .CSV, .JSON y .XML.
Se generará un informe detallado de los puntos de referencia de Kubernetes para un único clúster. De todos modos, este informe contendrá información sobre todos los nodos del clúster.
Para obtener informes detallados de diversos clústeres, debe generar un informe de cada uno de los clústeres.
Generar informes de puntos de referencia de clústeres
Para generar un informe de puntos de referencia de clústeres para un único clúster:
- Diríjase a la sección Compliance → Cluster benchmarks.
- Realice una de las siguientes acciones:
- En la tabla, elija la casilla de verificación del clúster sobre el que desee generar un informe.
- Haga clic en el nombre del clúster en la tabla y diríjase a la ventana que contiene los resultados de la verificación de los recursos del clúster.
- Haga clic en el botón Create report; lo encontrará en los siguientes sitios:
- Encima de la tabla (si eligió el clúster desde la casilla de verificación)
- Encima del campo de fecha y hora de verificación (si visitó la ventana que contiene los resultados de la verificación de los recursos del clúster)
- En la ventana que se abre, confirme la generación del informe. En la sección Administration → Reports, puede descargar el informe en formatos .HTML, .PDF, .CSV, .JSON y .XML.
Para generar un informe de puntos de referencia de clústeres para diversos clústeres:
- Diríjase a la sección Compliance → Cluster benchmarks.
- En la tabla, elija las casillas de verificación de los clústeres sobre los que desee generar un informe.
- Haga clic en el botón Create report, que se encuentra encima de la tabla.
- En la ventana que se abre, confirme la generación del informe. En la sección Administration → Reports, puede descargar el informe en formatos .HTML, .PDF, .CSV y .JSON.
Descargar y eliminar informes
En la sección Administration → Reports, Kaspersky Container Security muestra una lista de los informes generados en la tabla.
Para cada informe, en la tabla, encontrará los siguientes datos: nombre de la aplicación asignada al informe, plantilla del informe, fecha y hora de la creación del informe y resultados de la creación del informe. Además, desde la tabla podrá descargar el informe creado correctamente en el formato deseado o podrá eliminar un informe.
Para descargar un informe:
En la fila del informe, haga clic en el formato que desee: .PDF, .HTML, .CSV, .JSON o .XML.
Para eliminar un informe:
- En la fila del nombre del informe que desee eliminar, haga clic en el icono Eliminar (
).
- En la ventana que se abre, confirme la acción.
Protección frente a amenazas en archivos
Kaspersky Container Security utiliza el componente Protección frente a amenazas en archivos para buscar y analizar posibles amenazas a archivos a fin de proteger los archivos de contenedores (incluso en archivos comprimidos y correos electrónicos) frente al malware. Si se detecta malware, Kaspersky Container Security puede bloquear o eliminar el objeto infectado y finalizar el proceso malicioso que se inició a partir de ese objeto. Todos los resultados del análisis de software malicioso aparecen en los resultados generales de análisis.
Puede activar, desactivar y configurar el componente Protección frente a amenazas en archivos:
- Elija el modo de funcionamiento del interceptor de archivos (auditoría o bloqueo de objetos).
- Elija el modo de análisis de archivo (al abrirse o al abrirse y modificarse).
- Active o desactive el análisis de archivos comprimidos, bases de datos de correos electrónicos, mensajes de correo electrónico en formato de texto, etc.
- Excluya temporalmente el reanálisis de archivos de texto.
- Limite el tamaño del objeto que se analizará y la duración del análisis.
- Elija las acciones que realizará la solución sobre los objetos infectados.
- Configure los alcances del análisis. Kaspersky Container Security analizará los objetos que se encuentran en el área especificada del sistema de archivos.
- Configure el uso del analizador heurístico y la tecnología iChecker durante un análisis.
- Active o desactive la recopilación de datos sobre objetos no infectados analizados, objetos en archivos comprimidos analizados y objetos no procesados en el registro de eventos de seguridad.
En Policies → Runtime policies → Container runtime profiles, puede activar Protección frente a amenazas en archivos, modificar sus parámetros en la ventana de configuración del componente y aplicarlos a todas las directivas referentes a la ejecución en existencia.
Si no desea activar Protección frente a amenazas en archivos al iniciar una determinada directiva de entorno de seguridad, desactívelo en la configuración de la directiva con los botones Disabled/Enabled. Además, debe asegurarse de que Protección frente a amenazas en archivos no se ejecute según otra directiva referente a la ejecución en uso.
Configuración de Protección frente a amenazas en archivos
Configurar Protección frente a amenazas en archivos, exige contar con los permisos de administrador IS.
Para configurar el componente:
- En la sección Policies → Runtime policies → Container runtime profiles, haga clic en el botón Settings.
Se abrirá la ventana de configuración de Protección frente a amenazas en archivos.
- En File interceptor mode, elija uno de los siguientes modos de análisis de objetos:
- En el modo Audit, la solución analiza y registra el contenido de los objetos.
- En el modo Enforce, la solución bloquea todos los objetos que no cumplen con las reglas ni los criterios establecidos.
- En Scan mode, elija el modo de Protección frente a amenazas en archivos:
- Smart mode (predeterminado): se analiza un archivo cuando se intenta abrirlo y luego se vuelve a analizar cuando se intenta cerrarlo si el archivo se ha modificado. Si un proceso accede a un objeto muchas veces durante su funcionamiento y lo modifica, la solución vuelve a analizar el objeto solo cuando el proceso lo cierra por última vez.
- Open and modify: se analiza un archivo cuando se intenta abrirlo y luego se vuelve a analizar cuando se intenta cerrarlo si el archivo se ha modificado.
- Open: se analiza un archivo cuando se intenta abrirlo para tareas de lectura, ejecución o modificación.
- En Actions on detected objects, elija las siguientes acciones a partir de las listas desplegables:
- First action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado:
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
Por ejemplo, los troyanos se eliminan de inmediato dado que no infectan otros archivos y no es posible desinfectarlos.
- Disinfect objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- Block acceso al objeto.
- Remove un objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
- Second action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado si la primera acción falla:
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
- Disinfect objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- Block acceso al objeto.
- Remove un objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
Recomendamos determinar ambas acciones para la detección de objetos.
Considere lo siguiente al elegir las acciones que se realizarán sobre los objetos detectados:
- Si se eligen las opciones Block o Remove como primera acción, no es necesario determinar la segunda acción.
- Si no se elige una segunda acción, la acción predeterminada será Block.
- Si el modo pertinente de la directiva referente a la ejecución es Audit, no se realizará ninguna acción sobre los objetos detectados.
- First action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado:
- En Scan settings, use las casillas de verificación para definir los objetos que contienen archivos y los directorios que se analizarán. Si se elige una casilla de verificación, se analizarán dichos objetos. En la siguiente lista, puede elegir uno o varios parámetros del análisis:
- Scan archives para activar o desactivar el análisis de archivos comprimidos. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos comprimidos.
La solución puede analizar archivos comprimidos en los siguientes formatos .ZIP, .7Z *, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ y archivos comprimidos autoextraíbles como .SFX. Los formatos de los archivos comprimidos compatibles dependen de las bases de datos usadas.
Si el análisis de archivos comprimidos está activado y Perform recommended action es la primera acción que se realizará sobre un objeto detectado, la solución elimina el objeto detectado o todo el archivo comprimido que contiene la amenaza, según el tipo de archivo comprimido.
Al elegir Self-extracting archives o All archives, puede definir el alcance del análisis de archivos comprimidos. Si opta por analizar archivos comprimidos autoextraíbles, la solución solo analizará los archivos que contengan un desempaquetador ejecutable.
Para iniciar el análisis, la solución primero desempaqueta el archivo comprimido, lo que podría demorar el análisis. Si activa y configura los parámetros Skip object if scan takes longer than (sec) y Skip objects larger than (MB), puede reducir la duración del análisis de archivos comprimidos.
- Scan mail databases para activar o desactivar el análisis de bases de datos de Microsoft Outlook, Outlook Express, The Bat! y otras aplicaciones de correo electrónico. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos de bases de datos de correos electrónicos.
- Scan plain mail para activar o desactivar el análisis de archivos de mensajes de correo electrónico en texto plano. De forma predeterminada, la casilla no está seleccionada y la solución no analiza mensajes en texto plano.
- Skip text files para activar o desactivar al análisis de archivos en texto plano si el mismo proceso los reutiliza en los 10 minutos posteriores al último análisis. De esta forma, podrá optimizar el análisis de los registros de aplicaciones. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos en texto plano.
- Skip object larger than (MB) para activar o desactivar el análisis de los objetos que tengan el tamaño máximo especificado (en megabytes). Si el tamaño de un objeto para analizar supera el valor especificado, la solución omite el análisis de dicho objeto.
Valores posibles: 0-999999. Si el valor es 0, la solución analizará archivos de cualquier tamaño.
Valor predeterminado: 0.
- Skip object if scan takes longer than (sec) para activar o desactivar el límite de tiempo (en segundos) para analizar un objeto. Cuando este tiempo finalice, la solución detiene el análisis del archivo.
Valores posibles: 0-9999. Si el valor es 0, el tiempo de análisis es ilimitado.
Valor predeterminado: 60.
- Scan archives para activar o desactivar el análisis de archivos comprimidos. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos comprimidos.
- En la sección Technologies, elija las casillas de verificación para definir la tecnología que usará la solución a fin de analizar los objetos. Puede elegir una de las siguientes opciones:
- Use iChecker para activar o desactivar el análisis de solo archivos nuevos o archivos que se han modificado desde el último análisis. iChecker es un método de análisis que reduce el tiempo general de análisis al omitir los archivos analizados anteriormente que no se han modificado desde el último análisis.
Si se elige esta casilla de verificación, la solución analiza solo los nuevos archivos y aquellos que se han modificado desde el último análisis. Si no se elige la casilla de verificación, la solución analiza los archivos sin importar su fecha de modificación o creación.
La casilla de verificación está seleccionada de forma predeterminada.
- Use heuristic analysis para activar o desactivar el uso del análisis heurístico al analizar objetos. Con el análisis heurístico, la solución puede identificar amenazas de seguridad desconocidas para los analistas de malware.
La casilla de verificación está seleccionada de forma predeterminada.
Si elige la casilla de verificación Use heuristic analysis, puede determinar el nivel del análisis heurístico. El nivel de un análisis heurístico compensa el rigor del análisis de las amenazas de seguridad, la carga del sistema operativo y la duración del análisis. Cuanto más alto sea el nivel, más recursos exigirá el análisis y mayor será su duración. Puede elegir una de las siguientes opciones:
- Recommended (predeterminado): nivel óptimo que recomienda el equipo de especialistas de Kaspersky. Esto representa la mejor combinación de calidad de protección e impacto en el rendimiento de los servidores protegidos.
- Light: mínimo nivel de detalle del análisis, mínima carga para el sistema.
- Medium: intermedio nivel de detalle del análisis, equilibrada carga para el sistema.
- Deep: máximo nivel de detalle del análisis, máxima carga para el sistema.
- Use iChecker para activar o desactivar el análisis de solo archivos nuevos o archivos que se han modificado desde el último análisis. iChecker es un método de análisis que reduce el tiempo general de análisis al omitir los archivos analizados anteriormente que no se han modificado desde el último análisis.
- En Event logging, puede elegir las casillas de verificación para determinar si el evento se anotará en el registro de eventos de seguridad. Puede elegir una o varias opciones para el registro de eventos:
- Log clean objects para activar o desactivar el registro de información sobre los objetos analizados que la solución reconoció como sin infección.
- Log unprocessed objects para activar o desactivar el registro de información sobre los objetos analizados que no se han procesado por algún motivo.
- Log packed objects para activar o desactivar el registro de información sobre los objetos analizados que forman parte de objetos compuestos, como archivos comprimidos.
Si la casilla de verificación está seleccionada, la solución registra los eventos de todos los objetos. Si la casilla no está seleccionada, no se registran los eventos. La casilla de verificación está desactivada de forma predeterminada.
- Haga clic en Save.
Funcionamiento con el interceptor de archivos
Al ejecutar tareas de análisis de archivos, Protección frente a amenazas en archivos utiliza el interceptor de operaciones en archivos. El componente tendrá uno de los siguientes modos de intercepción de archivos (InterceptorProtectionMode
):
- Enforce (predeterminado): se bloquean archivos mientras dure la tarea de análisis que use el interceptor de archivos. No se accede a ningún archivo hasta que finalice el análisis. Al detectar objetos infectados, la solución realiza las acciones que se hayan especificado en la configuración, en Actions on detected objects.
- Audit: no se bloquean los archivos durante la tarea de análisis que emplea un interceptor de archivos. Se permite el acceso a cualquier archivo y el análisis se realiza de manera asincrónica. Al detectar objetos infectados, la solución solo anota el evento en el Registro de eventos. No se realizan las acciones que se han especificado en la configuración, en Actions on detected objects.
Si se elige Audit, la solución activa el modo de notificación de Protección frente a amenazas en archivos.
Se aplica la configuración del componente cuando se activa Protección frente a amenazas en archivos para las directivas referentes a la ejecución. Esta configuración es la misma para todas las directivas referentes a la ejecución que se han creado. Si la directiva referente a la ejecución aplicable se configura con el modo de auditoría y InterceptorProtectionMode
en el componente es Enforce, la solución bloquea los archivos.
Actualizaciones de bases de datos
Las bases de datos de Protección frente a amenazas en archivos se actualizan para garantizar el máximo nivel de protección de objetos en contenedores frente a amenazas en archivos. Las actualizaciones se realizan automáticamente según una programación o cuando lo determine el usuario.
Al desplegar un agente nuevo, la solución actualiza las bases de datos del componente y luego las aplica.
Cuando la solución se despliega en una red corporativa pública, la actualización se realiza directamente desde el servidor de actualizaciones. Al instalar la solución en una red corporativa privada, las bases de datos actualizadas del componente se añaden al contenedor de kcs-updates
para las posteriores ejecuciones y actualizaciones.
Aplicar bases de datos actualizadas a un agente en ejecución no infringe la protección activa de los nodos en entornos de ejecución. Las actualizaciones de las bases de datos aparecen en el registro de eventos.
Si se produce un error al actualizar las bases de datos, la solución cancela las actualizaciones de Protección frente a amenazas en archivos y continúa usando las bases de datos instaladas anteriormente. Los errores que suceden durante una actualización se registran en el archivo events.db en el pod node-agent.
El archivo events.db estará disponible si se activa File Threat Protection para el grupo de agentes.
Inicio de página
Desactivación forzada de Protección frente a amenazas en archivos
En Kaspersky Container Security 2.0, puede desactivar por completo el componente Protección frente a amenazas en archivos. Podría llegar a necesitar desactivarlo si experimenta problemas con el componente.
Puede desactivar el componente de forma forzada de dos maneras: modificando el archivo para desplegar agentes en el clúster o modificando los agentes en ejecución.
Para desactivar Protección frente a amenazas en archivos de forma forzada con un archivo de despliegue de agentes:
- Abra el archivo .YAML que contiene las instrucciones para desplegar agentes en el clúster que ha descargado al desplegar los agentes.
- En la sección
DaemonSet
de node-agent, configure la variable de entornoFILE_THREAT_PROTECTION_ENABLED
con el valorfalse
.name: FILE_THREAT_PROTECTION_ENABLED
value: false
- Guarde los cambios en el archivo con instrucciones.
- En la consola, ejecute el comando
kubectl apply -f agents.yaml
para aplicar el archivo con instrucciones.Protección frente a amenazas en archivos está desactivado y el orquestador vuelve a desplegar los pods de node-agent.
Para desactivar Protección frente a amenazas en archivos de forma forzada cuando los agentes están en ejecución:
- En la consola, ejecute el comando
kubectl edit
para abrir los agentes en ejecución. - En la sección
DaemonSet
de node-agent, configure la variable de entornoFILE_THREAT_PROTECTION_ENABLED
con el valorfalse
.name: FILE_THREAT_PROTECTION_ENABLED
value: false
- Guarde sus cambios.
El orquestador aplica los cambios guardados y se desactiva Protección frente a amenazas en archivos.
Usuarios, roles y alcances
En esta sección, se describe cómo trabajar con usuarios y roles de usuarios y se proporcionan instrucciones para crearlos, editarlos y eliminarlos. Además, también se describe el uso de alcances para otorgar diferentes niveles de acceso a diversos roles de usuario.
Administración de usuarios
Diversos usuarios pueden tener acceso a Kaspersky Container Security. Para cada usuario se crea una cuenta de usuario y se le asigna uno o más roles.
En la sección Administration → Access management → Users, en la tabla, puede encontrar la lista de usuarios de Kaspersky Container Security.
Puede hacer lo siguiente:
- Añadir usuarios.
- Ver y editar la configuración de las cuentas de usuarios.
- Restablecer la contraseña de determinadas cuentas.
- Eliminar usuarios.
- Ordenar los valores de la lista de usuarios con el icono
en la columna correspondiente: nombre de usuario mostrado, nombre de usuario o rol asignado. (la lista se puede organizar en orden alfabético ascendente o descendente).
- Buscar por nombre de usuario con el campo Search by user name que se encuentra encima de la tabla.
Acerca de los roles de usuario
En Kaspersky Container Security, un rol de usuario comprende una serie de permisos para poder realizar algunas acciones en la interfaz web de la solución. Según el rol que tengan, los usuarios pueden acceder a diferentes secciones y funcionalidades.
Kaspersky Container Security proporciona roles de usuarios y roles de sistema, que contienen conjuntos predefinidos de permisos de acceso para realizar tareas comunes de protección de entornos en contenedores.
Durante la instalación de la solución, se facilitan los siguientes roles de sistema:
- El rol administrador de Kaspersky Container Security está pensado para los usuarios que deben desplegar y ofrecer soporte para la infraestructura y el software del sistema necesario para que la solución funcione (por ejemplo, sistemas operativos, servidores de aplicaciones y bases de datos). Estos usuarios pueden gestionar cuentas, roles y permisos de acceso de usuarios en Kaspersky Container Security.
En la interfaz web, este rol tiene la abreviatura KCSADM.
- El rol de administrador de la seguridad de la información (administrador IS) está pensado para los usuarios que deben crear y gestionar cuentas, roles y permisos de acceso de usuarios, modificar configuraciones y conectar registros de imágenes públicos, agentes y servicios de notificación y configurar directivas de seguridad.
En la interfaz web, este rol tiene la abreviatura ISADM.
- El rol de auditor IS está pensado para los usuarios que visualizan los recursos y las listas de usuarios de una solución y que supervisan los resultados de los análisis y las verificaciones de cumplimiento.
En la interfaz web, este rol tiene la abreviatura ISAUD.
- El rol de directivo de IS está pensado para los usuarios que visualizan y gestionan directivas de seguridad, conectan registros de imágenes públicos y visualizan los resultados de los análisis de contenedores en entornos de ejecución de los proyectos donde estos usuarios están directamente involucrados.
En la interfaz web, este rol tiene la abreviatura ISOFF.
- El rol de desarrollador está pensado para los usuarios que realizan verificaciones del cumplimiento y ven los resultados del análisis de imágenes de registros y CI/CD, recursos de clústeres y riesgos aceptados.
En la interfaz web, este rol tiene la abreviatura DEV.
Puede asignar roles de sistema a cuentas de usuario al crear o visualizar estas cuentas de usuarios.
Un usuario puede tener diversos roles.
Si un rol de sistema en particular no es necesario, puede eliminarlo.
Sin embargo, no puede eliminar el último rol de sistema activo que tiene permisos para gestionar otros roles.
Si los roles de sistema disponibles no ofrecen los permisos de acceso que necesite, puede crear permisos únicos como roles personalizados.
Al crear roles personalizados, debe tener en cuenta los permisos necesarios para acceder a las funcionalidades relacionadas. Por ejemplo:
- Para visualizar y configurar las directivas de respuesta, debe tener los permisos para visualizar integraciones a servicios de notificación. Si no se otorga este permiso, Kaspersky Container Security mostrará un error al intentar configurar una directiva de respuesta.
- Deben otorgarse permisos para gestionar directivas de respuesta con permisos para gestionar notificaciones; de lo contrario, no podrá elegir los servicios en la configuración de las directivas.
- Para crear un usuario, deberá tener los permisos para visualizar y gestionar roles. Si no se otorga dicho permiso, el usuario solo verá el panel.
- Debe otorgarse el permiso para gestionar usuarios junto con el permiso para gestionar roles; de lo contrario, no podrá asignar un rol al crear un usuario.
Puede asignar roles de usuario a cuentas de usuario, al igual que ocurre con los roles de sistema. Además, puede modificar la configuración de los roles de usuario y eliminarlos.
Al asignar alcances a los roles, debe considerar que puede implementarse una directiva de seguridad dentro de un alcance específico solo si dicho alcance se asigna a uno de los roles.
Si integra la solución a un servidor LDAP, Kaspersky Container Security también recibe y muestra los roles y los grupos de usuarios del servicio Active Directory.
Inicio de página
Trabajar con roles del sistema
En la tabla siguiente, encontrará las acciones principales que pueden realizar los usuarios con roles de sistema en la interfaz web de Kaspersky Container Security después de la instalación.
Roles de usuarios y acciones disponibles
Acción |
Administrador de Kaspersky Container Security |
Administrador IS |
Auditor IS |
Ejecutivo IS |
Desarrollador |
---|---|---|---|---|---|
Ver resultados del análisis de imágenes |
|||||
Iniciar el análisis de imágenes manualmente |
|||||
Gestionar riesgos (aceptar y editar un riesgo, y cancelar la aceptación de un riesgo) |
|||||
Ver riesgos aceptados |
|||||
Ver clústeres |
|||||
Gestionar clústeres |
|||||
Ver registros |
|||||
Añadir una imagen a un registro |
|||||
Eliminar un repositorio o una imagen de un registro |
|||||
Ver los resultados del análisis de CI/CD |
|||||
Gestionar el análisis de CI/CD |
|||||
Ver y gestionar agentes |
|||||
Ver resultados de la verificación del cumplimiento con puntos de referencia |
|||||
Iniciar la verificación del cumplimiento con puntos de referencia |
|||||
Ver directivas de análisis |
|||||
Gestionar directivas de análisis |
|||||
Ver directivas de certeza |
|||||
Gestionar directivas de certeza |
|||||
Ver directivas de respuesta |
|||||
Gestionar directivas de respuesta |
|||||
Ver directivas referentes a la ejecución |
|||||
Gestionar directivas referentes a la ejecución |
|||||
Gestionar la configuración de perfiles automáticos |
|||||
Ver la configuración de Protección frente a amenazas en archivos |
|||||
Gestionar la configuración de Protección frente a amenazas en archivos |
|||||
Ver la lista de usuarios |
|||||
Gestionar usuarios |
|||||
Ver roles y permisos |
|||||
Gestionar roles y permisos |
|||||
Ver alcances |
|||||
Gestionar alcances |
|||||
Ver el alcance predeterminado |
|||||
Gestionar el alcance predeterminado |
|||||
Ver el registro de eventos |
|||||
Ver la información de la licencia |
|||||
Gestionar la configuración de la licencia |
|||||
Ver integraciones a registros de imágenes |
|||||
Ver integraciones a registros de imágenes |
|||||
Ver integraciones a validadores de firmas en imágenes |
|||||
Gestionar integraciones a validadores de firmas en imágenes |
|||||
Ver integraciones a sistemas de notificación |
|||||
Gestionar integraciones a sistemas de notificación |
|||||
Ver informes |
|||||
Gestionar informes |
|||||
Ver y gestionar la integración a un servidor LDAP |
|||||
Ver y gestionar la configuración de autenticación |
|||||
Ver información sobre el estado de los componentes principales |
Mostrar lista de roles
En la sección Administration → Access management → Roles, Kaspersky Container Security muestra la lista de roles activos.
En la tabla, podrá encontrar todos los roles de sistema y roles de usuario activos, además del ID, el nombre y el número de usuarios con dicho rol. Si ha configurado la integración a LDAP, en la tabla también encontrará los grupos de usuarios de Active Directory que se corresponden con los roles de usuarios en Kaspersky Container Security.
Inicio de página
Acerca de los alcances
En Kaspersky Container Security, un "alcance" es una lista de motivos por los cuales se usa la solución en un recurso (por ejemplo, clúster o espacio de nombres específico o diversos registros externos).
Los alcances se usan para las siguientes finalidades:
- Diferenciar el acceso a los recursos (por ejemplo, a fin de supervisar el funcionamiento de clústeres, registros o espacios de nombres)
Estos accesos se controlan asignando un alcance durante la creación o la configuración de un alcance.
- Distinguir los objetos donde se aplican directivas y análisis
Estos objetos se distinguen asignando un alcance durante la creación o la configuración de directivas de seguridad.
En Kaspersky Container Security, puede añadir alcances propios o asignar el alcance global predeterminado a los usuarios.
El alcance predeterminado incluye acceso a todos los recursos de la solución. Durante la instalación de Kaspersky Container Security, este alcance se añade de forma predeterminada.
No puede modificar la configuración del alcance predeterminado ni eliminarla.
Solo un usuario que tiene los derechos adecuados puede acceder al alcance predeterminado. Para asignar el alcance predeterminado a otros usuarios y roles, debe tener los permisos para gestionarlo.
Si asigna el alcance predeterminado a una directiva, esta se aplicará a todos los recursos y en todos los entornos.
Inicio de página
Alcances y aplicación de directivas de seguridad
En Kaspersky Container Security, los alcances se determinan para todas las directivas de seguridad. Para garantizar el análisis de todos los recursos necesarios, las directivas se asignan a uno o más alcances. Además, un mismo alcance puede asignarse a diversas directivas.
Sin importar el número de directivas implementadas en un alcance (por ejemplo, al analizar una imagen o analizar un clúster en un entorno de ejecución), se aplican todas las directivas de seguridad.
Si se aplican diversos alcances y directivas de seguridad de forma simultánea, las siguientes reglas serán pertinentes:
- En el caso de las directivas de análisis: el análisis se realiza con una lista acumulativa de parámetros de configuración obtenida al combinar todas las directivas de análisis vigentes dentro del alcance.
- En el caso de las directivas de certeza: al analizar imágenes de análisis, se aplican todas las directivas pertinentes a los recursos analizados, según los alcances específicos.
- En el caso de las directivas de respuesta: cuando sucede algún evento, el usuario recibe una notificación mediante las herramientas de notificación que se detallaron en todas las directivas de respuesta pertinentes a los recursos especificados en los alcances asignados.
- En el caso de las directivas referentes a la ejecución: se supervisan contenedores y, de ser necesario, se bloquea su ejecución según las directivas pertinentes asignadas al alcance.
Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.
Cambiar entre alcances
En Kaspersky Container Security, un rol puede tener varios alcances. Puede consultar la lista de alcances disponibles o cambiar entre alcances para acceder a los recursos disponibles para un alcance diferente.
Al cambiar entre alcances, considere lo siguiente:
- Si elige el alcance sobre recursos del registro, en la sección Resources → Clusters, Kaspersky Container Security no mostrará una lista de clústeres, espacios de nombres ni pods. Verá una representación visual completa de los enlaces entre recursos, pero no podrá ver información sobre un objeto externo al alcance disponible.
- En la sección Resources → Registries, elija el alcance con recursos del clúster. Kaspersky Container Security mostrará una lista que contiene las imágenes usadas para iniciar los contenedores de los clústeres.
- En la sección Scanners, podrá ver las listas de todas las tareas de análisis. Sin embargo, no podrá ver información sobre un objeto analizado si no está dentro del alcance que tenga a su disposición.
- En la sección Compliance → Kubernetes benchmarks, Kaspersky Container Security muestra una lista de todos los nodos dentro de los clústeres en el alcance, sin importar el nivel de detalle del clúster en el alcance. Sin embargo, no podrá ver información sobre el nodo de un clúster si no está dentro del alcance que tenga a su disposición.
- En la sección Policies, Kaspersky Container Security muestra lo siguiente:
- Todas las directivas donde el autor tiene al menos uno de los roles que coincide con su rol.
- Todas las directivas donde al menos un alcance coincide con el alcance elegido.
- Todas las directivas que están vinculadas con los alcances asignados los roles que posee. De todos modos, no puede eliminar estas directivas ni modificar su configuración.
Para cambiar el alcance:
- Diríjase a una de las siguientes secciones:
- Resources → Clusters
- Resources → Registries
- Compliance → Kubernetes benchmarks
- Subsecciones de la sección Policies: Scanner policies, Assurance policies, Response policies o Runtime policies
- En la lista desplegable de alcances disponibles, en la esquina superior derecha de la ventana, elija el alcance.
También puede activar todos los alcances si elige All en la lista.
Añadir usuarios, roles y alcances
Para añadir una cuenta de usuario:
- En la sección Administration → Access management → Users, haga clic en el botón Add user que se encuentra encima de la lista de usuarios.
- En la ventana que se abre, defina los siguientes parámetros:
- User name es el valor único que debe asignarse a un usuario para su identificación en Kaspersky Container Security.
El nombre de usuario solo puede incluir letras del alfabeto inglés y números. La longitud mínima del nombre de usuario es de 4 caracteres y la longitud máxima es de 254 caracteres.
- Display name (opcional) es el valor que se muestra en la interfaz web de la solución. Si no se configura, se mostrará el nombre de usuario en la interfaz web.
- Email es opcional.
- User name es el valor único que debe asignarse a un usuario para su identificación en Kaspersky Container Security.
- En el campo Password, introduzca una contraseña.
Las contraseñas deben cumplir con los siguientes requisitos:
- La contraseña debe contener números, caracteres especiales, mayúsculas y minúsculas.
- La longitud mínima es de 6 caracteres y la longitud máxima es de 72 caracteres. La longitud predeterminada de la contraseña es de 8 caracteres.
- En el campo Confirm password, vuelva a introducir la contraseña.
- Elija la casilla de verificación si desea que el usuario modifique su contraseña la próxima vez que inicie la solución.
- Elija una opción de la lista de roles disponibles para asignarle un rol al usuario.
Aunque no es obligatorio asignar un rol durante la creación de un usuario, un usuario nuevo sin un rol no podrá usar Kaspersky Container Security.
- Haga clic en Add.
Para añadir un usuario, debe tener los permisos para ver y modificar la configuración. De lo contrario, cualquier usuario que añadirá solo podrá ver la página principal de la solución.
Para añadir un rol de usuario:
- En la sección Administration → Access management → Roles, haga clic en el botón Add role que se encuentra encima de la lista de roles.
- En la ventana que se abre, defina los siguientes valores:
- Role ID es el valor único que debe asignarse a un rol para su identificación en Kaspersky Container Security.
El ID del rol puede incluir letras mayúsculas del alfabeto latino y números, pero no puede incluir caracteres especiales ni espacios.
- Role name es el valor que se muestra en la interfaz web de la solución.
- Description es opcional.
- Scope es el valor que se usa para diferenciar el acceso a los recursos.
- Role ID es el valor único que debe asignarse a un rol para su identificación en Kaspersky Container Security.
- En el campo Active Directory mapping, debe especificar los grupos de Active Directory a los que pertenece el usuario.
- Elija las casillas de verificación que se encuentran junto a los permisos que estarán disponibles para el rol añadido.
- Haga clic en Add.
Para añadir un alcance:
- En la sección Administration → Access management → Scopes, haga clic en el botón Add scope que se encuentra encima de la tabla que contiene la lista de alcances.
- En la ventana que se abre, escriba el nombre del alcance y, de ser necesario, una descripción.
- En la sección Resources, elija los recursos del alcance:
- Haga clic en el botón Add resources by registry y, en la lista desplegable, elija los registros del alcance. Puede definir un alcance más específico si elige, en la lista desplegable, repositorios específicos e imágenes de dichos repositorios.
- Haga clic en el botón Add resources by cluster y elija, en la lista desplegable, los orquestadores del alcance. Puede definir un alcance más específico si elige clústeres, espacios de nombres e imágenes específicos de los orquestadores utilizados para desplegar los contenedores de los clústeres.
Debe especificar al menos un recurso al que se otorga acceso de supervisión.
- Haga clic en Set objects to scope.
- Haga clic en el botón Save para guardar el alcance.
Restablecer contraseñas en cuentas de usuarios
Para restablecer la contraseña de una cuenta de usuario:
- Diríjase a la sección Administration → Access management → Users.
- Realice una de las siguientes acciones:
- En la lista de usuarios, elija la fila de la cuenta de usuario que desee y luego haga clic en el enlace Reset password que se encuentra encima de la tabla.
- En la fila de la cuenta de usuario que desee, abra el menú (
) y elija la opción Reset password.
Cambiar la configuración de usuarios, roles y alcances
Para editar una cuenta de usuario:
- En la sección Administration → Access management → Users, haga clic en el nombre de usuario, en la lista de usuarios.
- En la ventana que se abre, realice los cambios necesarios.
Si modifica una cuenta de usuario que tiene privilegios de administrador, no elimine todos los roles; de lo contrario, perderá el acceso de administrador a la solución.
- Haga clic en Save.
Para editar un rol de usuario:
- En la sección Administration → Access management → Roles, haga clic en el identificador del rol en la columna Role ID, en la lista de roles.
- En la ventana que se abre, realice los cambios necesarios.
- Haga clic en Save.
Después de modificar un rol, todos los usuarios que tengan dicho rol deberán recibir una nueva autorización.
No puede editar un rol si este es el último rol activo del sistema con derechos para gestionar cuentas de usuario, roles de usuario o el alcance predeterminado.
Para modificar un alcance:
- En la sección Administration → Access management → Scopes, haga clic en el nombre del alcance en la columna Scope name de la tabla que contiene la lista de alcances.
- En la ventana que se abre, realice los cambios necesarios.
- Haga clic en Save.
Quitar usuarios, roles y alcances
Para eliminar una cuenta de usuario:
- En la sección Administration → Access management → Users, realice una de las siguientes acciones:
- En la fila de la cuenta de usuario que desee, elija el usuario y luego haga clic en el enlace Delete, que se encuentra encima de la tabla que contiene la lista de usuarios.
Puede elegir una o más cuentas de usuario.
- En la fila de la cuenta de usuario, abra el menú (
) y elija Delete user.
- En la fila de la cuenta de usuario que desee, elija el usuario y luego haga clic en el enlace Delete, que se encuentra encima de la tabla que contiene la lista de usuarios.
- En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
La cuenta de usuario que se utiliza en la autorización en Kaspersky Container Security no puede eliminarse.
Para eliminar un rol de usuario:
- En la sección Administration → Access management → Roles, en la fila del rol en la lista de roles, haga clic en el icono de eliminación (
).
- En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
No puede eliminar el último rol activo del sistema que tiene derechos para gestionar otras cuentas de usuario, roles de usuario o el alcance predeterminado.
Tampoco puede eliminar un rol si se ha asignado a algún usuario.
Para eliminar un alcance:
- En la sección Administration → Access management → Scopes, en la fila del rol en la lista de alcances, haga clic en el icono de eliminación (
).
- En la ventana que se abre, haga clic en Delete para confirmar la eliminación.
No puede eliminar el alcance predeterminado.
Tampoco puede eliminar un alcance si se ha asignado a otro rol de usuario activo.
Usar OpenAPI de Kaspersky Container Security
Kaspersky Container Security utiliza la interfaz de programación de aplicaciones abierta (OpenAPI) que proporciona el acceso a las funcionalidades de la solución. Por ejemplo, puede usar OpenAPI de Kaspersky Container Security para obtener información sobre los componentes de la solución, crear, modificar y eliminar objetos, generar informes y realizar otras acciones.
Si desea obtener una lista de todas las acciones que puede realizar con OpenAPI de Kaspersky Container Security, consulte la documentación donde se describen las solicitudes de OpenAPI.
En Technical documentation, en la sección Settings → About, encontrará la documentación sobre las solicitudes de OpenAPI. La documentación en la guía de desarrollo está en inglés. En la guía de desarrollo también encontrará ejemplos de código y descripciones detalladas sobre elementos invocables y que están disponibles en las solicitudes al servidor de la API.
Se utiliza el formato JSON para representar datos en solicitudes y respuestas.
Registro de eventos de seguridad
En la sección Administration → Events, Kaspersky Container Security muestra los eventos que sucedieron y que pueden usarse a fines informativos para supervisar procesos en ejecución, analizar amenazas de seguridad y determinar las causas de los errores de la solución.
Kaspersky Container Security muestra los siguientes tipos de eventos:
- Eventos de auditoría. Estos eventos incluyen datos de auditoría de la actividad de los usuarios (como información sobre la configuración de la solución, autenticaciones de usuarios, cambios en grupos y cambios o eliminación de información en la solución).
- Resultados operativos de la solución. Estos eventos incluyen alertas sobre una directiva de respuesta activada.
- Registros de las operaciones internas de las aplicaciones de la solución.
Kaspersky Container Security muestra las siguientes categorías de eventos de seguridad:
- Administración: se registran todos los eventos relativos a la administración de la solución.
- Directivas (directivas de análisis, de certeza, de respuesta y las referentes a la ejecución): eventos relacionados con el cumplimiento o el incumplimiento de una imagen con las directivas pertinentes.
- Software malicioso: eventos que suceden cuando se detecta software malicioso durante el análisis de imágenes y nodos.
- Datos confidenciales: eventos relativos a la detección de datos confidenciales expuestos durante un análisis (por ejemplo, imágenes, funciones y nodos analizados).
- Incumplimiento: se registran estos eventos:
- Detección de imágenes en incumplimiento
- Funciones que no cumplen con los requisitos y la implementación de dichas funciones en entornos de ejecución
- Nodos que no cumplen con los requisitos ni con las acciones de ejecución de dichos nodos
Se mostrará una lista de eventos de seguridad durante un período determinado. Puede elegir una de las opciones disponibles o establecer el período de tiempo que desee. Para cualquier período que elija, el tiempo comenzará desde el día actual. De forma predeterminada, se muestras los eventos ocurridos la semana anterior.
Kaspersky Container Security muestra los eventos ocurridos durante los análisis. Estos eventos se muestran en forma de tabla en los siguientes componentes:
- Administration
- Alerts
- CI/CD
- Policies
- Resources
- Runtime.
- Scanners
- API
Para cada evento, en la tabla, se indica la fecha y hora del evento, la dirección IP del usuario, una descripción y el estado. El nombre de usuario aparecerá en algunos eventos, como los que implican las categorías de administración, malware y datos confidenciales. En Alerts, también se indica el nivel de la amenaza de seguridad. Para los eventos relacionados con el componente Scanners, también se registran los identificadores que genera la solución y el estado de las tareas de análisis. Para Runtime, se indican el modo (Audit o Block), el clúster y el pod desplegado.
El registro de eventos de seguridad de Kaspersky Container Security se mantiene y guarda en PostgreSQL y no cuenta con mecanismos de protección de datos.
Información sobre el estado de los componentes de la solución
Kaspersky Container Security le permite visualizar información sobre el estado de los componentes y de las integraciones para diagnosticar y mejorar el funcionamiento de los componentes de la solución y de los servicios externos integrados. La supervisión del estado, junto con datos de rendimiento, se realiza para los siguientes componentes:
- Componentes principales. Encontrará información en la sección Components → Core.
- Agentes. Encontrará los datos en la sección Components → Agents.
- Integraciones activas. Encontrará información en la sección Administration → Integrations.
En el registro de eventos de seguridad también se anotan los datos actualizados del estado de los componentes de Kaspersky Container Security.
Puede visualizar información sobre el estado de los componentes de la solución sin importar cual sea el estado de la licencia (válida o caducada).
Estado de componentes principales
En una tabla, en la sección Components → Core, verá información sobre el estado de los componentes principales de Kaspersky Container Security.
Para cada componente principal se proporcionan los siguientes datos:
- Component name. La solución muestra los componentes que se incluyen en el kit de distribución.
- Pod name (por ejemplo, kcs-postgres-0, kcs-scanner-xxx o kcs-ih-xxx).
- Status. La solución asigna uno de los siguientes estados:
- Good: el componente funciona con normalidad.
- Warning: el componente detectó errores que no impiden la implementación general del componente.
- Error: el componente no puede implementarse debido a un funcionamiento incorrecto del componente.
Si la solución asigna el estado Warning o Error a un componente del kernel, Kaspersky Container Security muestra una breve descripción del error del componente.
El estado se asigna según los datos del último mensaje del latido del componente y de acuerdo con la entrada en el registro de eventos de seguridad.
- El registro de los eventos del componente (por ejemplo, errores). Si hace clic en el botón Download log, en la columna Pod log, podrá descargar este registro en formato de documento de texto.
Para visualizar los datos del estado de los componentes del kernel, debe tener derechos para visualizar el componente Core. De forma predeterminada, estos permisos se otorgan al rol administrador IS.
Estado de agentes
La información sobre el estado de los agentes de Kaspersky Container Security aparece en formato de tabla en la sección Components → Agents. También encontrará esta información expandida en la barra lateral del agente elegido.
En la tabla, encontrará la siguiente información para cada agente del grupo de agentes.
- Agent name.
- Status. La solución asigna uno de los siguientes estados de conexión:
- Connected significa que el agente está conectado y funciona con normalidad.
- Disconnected significa que el agente está desconectado.
- Pending significa que la solución está conectando al agente.
El estado se asigna según los datos del último mensaje del latido del agente y de acuerdo con la entrada en el registro de eventos de seguridad.
- Version. La solución muestra la versión actual del agente. Si hay una versión nueva del agente disponible para la versión instalada de Kaspersky Container Security, se mostrará la versión del agente más reciente disponible.
- Pod. La solución muestra el nombre del pod donde se despliega el agente.
- La información recibida durante la supervisión del estado de los nodos. La solución proporciona información sobre las acciones de análisis y supervisión de la actividad de red, los procesos en contenedores y Protección frente a amenazas en archivos. Para cada acción (Container processes, Network connections y File Threat Protection), se muestra su estado: Enabled o Disabled. Si el agente está desconectado, todas las acciones de supervisión del estado de los nodos tendrán el estado Disabled.
Si el agente está conectado, también se muestra el último estado del agente para cada acción (Success, Not available o Error). Si aparece el estado Error, la solución muestra una descripción breve del error y los detalles relacionados.
Los estados de los componentes de los agentes responsables de la supervisión de conexiones de red, los procesos en contenedores, las operaciones en archivos y Protección frente a amenazas en archivos solo estarán disponibles para los agentes node-agents conectados. En el caso de los agentes kube-agent, el estado de estos componentes siempre será Not available.
La solución muestra esta información sobre la base de las entradas del registro de eventos de seguridad.
- Estado de SIEM. La solución muestra el nombre del sistema SIEM y uno de los siguientes estados de la conexión:
- Success si el agente está conectado a un sistema SIEM específico y si los mensajes de eventos se envían correctamente a dicho SIEM.
- Warning si el agente está conectado a un sistema SIEM específico y si los mensajes de eventos se envían correctamente a dicho SIEM. Sin embargo, el sistema SIEM vinculado al agente es diferente del sistema SIEM que se especificó en la configuración del grupo de agentes.
- Error si se produjo un error al conectar el agente con el sistema SIEM o enviar mensajes. También será un error si los eventos en entornos de ejecución exportados no se definen para la integración vinculada con el agente.
Si el agente no se vincula a un sistema SIEM, la solución indicará que no hay ninguna conexión.
En el caso de kube_agent, nunca se indica el estado de la conexión porque el sistema SIEM solo se comunica con los agentes node-agent.
- Fecha y hora de la última conexión.
Puede ver la información sobre el estado de un agente determinado en la barra lateral. Para abrir la barra lateral, haga clic en el nombre del agente, en la tabla. Kaspersky Container Security muestra la siguiente información sobre el agente elegido:
- Nombre del agente.
- Dirección IP del nodo donde se despliega el agente.
- Nombre del nodo donde se despliega el agente.
- Nombre del pod.
- Tipo de agente.
- Versión del agente.
- Estado de la conexión del agente: Connected, Disconnected o Pending.
- Fecha y hora de la última conexión del agente
- En Node monitoring statuses, la solución muestra información sobre el último estado que se ha registrado del agente (Success, Not available o Error) para cada acción de supervisión de nodos (Container processes, Network connections y File Threat Protection). Si se desactiva una acción para evitar sobrecargar innecesariamente los nodos, se mostrará el estado Disabled.
- En Agent group, la solución muestra la siguiente información sobre el grupo de agentes al que pertenece el agente elegido:
- Group name
- Namespace
- Orchestrator
Para ver información sobre el estado de los agentes, necesitará permisos para visualizar y gestionar el componente Agents. De forma predeterminada, estos permisos se otorgan al rol administrador IS.
Inicio de página
Estado de integraciones
En la sección Administration → Integrations, encontrará información sobre el estado de las integraciones activas de Kaspersky Container Security. La solución muestra datos del estado de los siguientes tipos de integraciones:
Para consultar la información sobre el estado de una integración, deberá tener los siguientes permisos:
- Permisos para visualizar integraciones a registros de imágenes. De forma predeterminada, estos permisos se otorgan a los roles administrador IS, auditor IS y ejecutivo IS.
- Permisos para visualizar integraciones a servicios de notificación. De forma predeterminada, estos permisos se otorgan a los roles administrador IS y auditor IS.
- Permisos para visualizar y gestionar la integración al servidor LDAP. De forma predeterminada, estos permisos se otorgan al rol administrador IS.
Garantizar componentes seguros y fiables
Para garantizar que los componentes sean seguros y fiables, en Kaspersky Container Security, se implementan los siguientes mecanismos de Auto Care:
- Eliminación automática del historial de análisis de imágenes y eventos del sistema. Si los datos se conservan por más de 90 días, estos se consideran obsoletos y se eliminan.
Las entradas obsoletas se verifican cada hora.
- Reconexión automática en caso de error de conexión. Kaspersky Container Security realiza intentos de reconexión cada 30 segundos hasta restablecer la conexión.
La reconexión automática no se realiza en las integraciones a registros externos ni al servidor LDAP. Estos servicios se conectan cuando la solución envía una solicitud.
- Reanálisis de imágenes después de un intento fallido de análisis. Scanner vuelve a analizar las imágenes hasta finalizar el análisis o hasta superar el número de intentos de análisis.
Administrar la dinámica de la acumulación de datos
El funcionamiento de los componentes Kaspersky Container Security provoca la acumulación de grandes cantidades de datos, que exigen un considerable espacio en disco para su almacenamiento. Puede gestionar la dinámica de la acumulación de estos datos limitando el período de almacenamiento y limpiando la base de datos.
Los siguientes componentes de la solución representan la mayor carga para el espacio en disco:
- DBMS PostgreSQL
- Almacenamiento de archivos compatible con S3
- DBMS ClickHouse
DBMS PostgreSQL
Le recomendamos que se ponga en contacto con quien realiza la ingeniería de despliegue de la solución o Soporte Técnico para conectarse con el DBMS PostgreSQL mediante la opción de reenvío de puertos y el comando vacuum
.
Si configura el período de almacenamiento de los datos que exigen el mayor consumo de recursos (resultados de análisis y registros de eventos) puede minimizar el riesgo de llenar por completo la base de datos. Para ello, durante el despliegue del middleware (kcs-middleware), debe especificar los valores de las siguientes variables:
EVENT_LIFETIME_HOURS
define el tiempo de almacenamiento de las entradas en el registro de eventos.SCAN_LIFETIME_HOURS
determina el período de almacenamiento de los resultados de los análisis.
Los valores de las variables se indican en horas; el mínimo valor permitido es de 1
hora. El valor predeterminado es 2160 horas (90 días).
Antes de desplegar el middleware con los valores configurados de las variables anteriores, debe detener el funcionamiento del middleware (kcs-middleware) y el broker de agentes (kcs-ab). De lo contrario, estos componentes seguirán procesando los datos mientras se realiza la limpieza y podría bloquearse el proceso.
En infraestructuras de prueba (piloto), donde la integridad y coherencia de los datos no es necesaria o incluso puede haber pérdida de datos, puede utilizar un método de limpieza más rápido. Para ello, debe eliminar el volumen persistente (PV) de PostgreSQL y volver a crear un PV de PostgreSQL sin datos. El volumen persistente creado puede ser del mismo tamaño o más grande.
Almacenamiento de archivos compatible con S3
La solución solo usa el almacenamiento de archivos compatible con S3 para almacenar los archivos de informes.
Para liberar el almacenamiento cuando está lleno, el administrador del clúster debe realizar las siguientes acciones:
- Conectarse con el componente de almacenamiento de archivos MinIO (kcs-s3) mediante la opción de reenvío de puertos.
- Descargar todos los informes y, de ser necesario, guardarlos en otro sitio para un posterior almacenamiento.
- Eliminar los datos.
De ser necesario, puede aumentar el volumen persistente con herramientas estándar para clústeres.
DBMS ClickHouse
La configuración de las tablas en las bases de datos de ClickHouse en la solución exige una limpieza constante. Si la carga para la infraestructura es demasiado alta, podría no haber tiempo para liberar los recursos. En este caso, puede aumentar el volumen persistente con herramientas estándar para clústeres.
Debe organizar la supervisión del espacio libre en disco y la dinámica de su uso, independientemente de las herramientas externas aprobadas para el marco de la infraestructura de la solución.
Inicio de página
Crear copias de seguridad de datos y restablecerlas
Puede usar los mecanismos de PostgreSQL para crear copias de seguridad de las bases de datos de PostgreSQL y recuperar los datos. Puede usarlos para la base de datos de PostgreSQL en Kaspersky Container Security o para las bases de datos de PostgreSQL que tenga.
Las copias de seguridad de las bases de datos se crean mediante la utilidad pg_dump. La copia de seguridad incluye todos los parámetros de configuración principales y los objetos de la base de datos de PostgreSQL, incluso si la base de datos se usa en paralelo. Si tiene una copia de seguridad, podrá restablecer la base de datos con rapidez.
Sin una copia de seguridad, un error podría provocar la pérdida permanente de la información almacenada en la base de datos de PostgreSQL.
Con la utilidad pg_dump, puede exportar una base de datos de PostgreSQL como script o en un formato de archivo comprimido, como .TAR.
Ejemplo del uso de la utilidad pg_dump
Para recuperar una base de datos de PostgreSQL desde una copia de seguridad, puede usar la utilidad pg_restore. De esta forma, puede recuperar una base de datos de PostgreSQL desde un archivo comprimido creado con la utilidad pg_dump. La utilidad pg_restore ejecuta comandos que restablecen la base de datos al estado existente al momento de guardar la base de datos.
Ejemplo del uso de la utilidad pg_restore
Inicio de página
Comunicarse con el Soporte Técnico
Si no puede encontrar cómo solucionar un problema en la documentación de la aplicación o en otros recursos de la aplicación, póngase en contacto con Soporte Técnico. El grupo de especialistas de Soporte Técnico responderá todas sus preguntas sobre la instalación y el uso de la aplicación.
Kaspersky proporciona soporte técnico para esta aplicación durante todo su ciclo de vida (consulte la página del ciclo de vida del soporte de productos). Antes de ponerse en contacto con el Servicio de soporte técnico, lea las reglas del soporte técnico.
Puede ponerse en contacto con especialistas de Soporte Técnico de una de las siguientes maneras:
- Visite el sitio web del Soporte técnico.
- Envíe una solicitud a Soporte Técnico de Kaspersky a través del portal de Kaspersky CompanyAccount.
Fuentes de información sobre la aplicación
Página de Kaspersky Container Security en el sitio web de Kaspersky
En la página de Kaspersky Container Security, puede consultar la información general de la aplicación, sus características y sus funciones.
Foro sobre aplicaciones de Kaspersky
Si su pregunta no requiere una respuesta inmediata, puede analizarla con los expertos de Kaspersky y con otros usuarios en nuestro Foro.
En el Foro, puede ver hilos de conversaciones existentes, dejar sus comentarios y crear nuevos hilos de conversaciones.
Inicio de página
Limitaciones y advertencias
Kaspersky Container Security 2.0 tiene una serie de limitaciones que no son críticas para el funcionamiento de la solución:
- Si trabaja con PostgreSQL 11.* o una versión posterior, debe usar las extensiones uuid-ossp y pgcrypto con la base de datos de Kaspersky Container Security.
- La duración de la actualización de Kaspersky Container Security depende del volumen de las bases de datos disponibles. Si la base de datos contiene muchos registros de tablas y resultados de análisis de imágenes, descripciones de vulnerabilidades y riesgos aceptados, es posible que la actualización demore varias horas.
Recomendamos actualizar Kaspersky Container Security fuera de las horas activas.
- Si necesita ejecutar muchos análisis de vulnerabilidades en imágenes, le recomendamos que desactive la opción de análisis de configuraciones incorrectas en la directiva de análisis, ya que esta operación podría consumir muchos más recursos, en especial al trabajar con imágenes de gran tamaño.
- Si el control de configuraciones incorrectas está activado en la directiva de análisis para el funcionamiento de Scanner, la duración del análisis aumenta significativamente. Las imágenes que contienen hasta 1000 archivos de configuración en formatos YAML, YML y JSON se analizan correctamente, pero podría no garantizarse el funcionamiento correcto de Scanner en las imágenes que contienen más de 1000 archivos de configuración.
- No recomendamos analizar imágenes en busca de datos confidenciales si la imagen tiene un tamaño mayor de 10 GB.
- Cuando se intenta ejecutar la solución a la par de otras aplicaciones de seguridad para contenedores, se ha notado que Kaspersky Container Security funciona de forma incorrecta. Si hay otra aplicación en uso que afecta al funcionamiento de los contenedores, es posible que el componente Protección frente a amenazas en archivos no funcione de forma correcta. Puede desactivar este componente de forma temporal en las directivas de análisis.
Recomendamos que no use Kaspersky Container Security en simultáneo con otras aplicaciones de seguridad para contenedores.
- Para usar directivas de red con Kaspersky Container Security, asegúrese de lo siguiente:
- En el paquete de Helm Chart utilizado para desplegar e instalar la solución, el parámetro
networkPolicies.create
debe tener el valortrue
(valor predeterminado). - El complemento de red en el clúster (donde se despliega la solución) debe admitir las directivas de red de Kubernetes. Si las directivas de red no son compatibles, Kaspersky Container Security creará objetos
NetworkPolicies
, pero estos no se aplicarán ni filtrarán el tráfico.Si faltan los objetos
NetworkPolicies
o estos no se aplican, el nivel de seguridad de la solución será más bajo.
- En el paquete de Helm Chart utilizado para desplegar e instalar la solución, el parámetro
- Kaspersky Container Security admite el análisis correcto solo de las imágenes en la arquitectura linux/amd64. Al analizar imágenes de múltiples plataformas, Scanner intentará aplicar la opción de arquitectura linux/amd64 automáticamente.
- Para garantizar la máxima compatibilidad de los programas BPF que usa Kaspersky Container Security con diversas distribuciones y versiones de kernel de Linux, la solución emplea la tecnología eBPF CO-RE. Kaspersky Container Security trabaja directamente con el kernel del servidor host de Linux (nodo), por lo tanto, deben considerarse los siguientes requisitos y restricciones:
- Para usar eBPF CO-RE, el kernel de Linux debe compilarse con el valor de configuración
CONFIG_DEBUG_INFO_BTF = y
. La mayoría de las distribuciones de Linux tienen este valor de configuración activado al compilar el kernel que se envía con la distribución. - Si las versiones del kernel se actualizan de forma manual, debe verificar la disponibilidad del valor de configuración antes mencionado.
En el caso de las versiones anteriores de distribuciones y kernels de Linux que no admitan eBPF CO-RE, Kaspersky Container Security garantiza la compatibilidad con versiones anteriores.
- Para usar eBPF CO-RE, el kernel de Linux debe compilarse con el valor de configuración
- Si se utiliza un kernel de Linux compilado manualmente en un servidor host (nodo), deben activarse los siguientes parámetros durante la configuración del kernel para garantizar la supervisión en entornos de ejecución con perfiles para la ejecución de contenedores:
CONFIG_BPF=y
CONFIG_BPF_SYSCALL=y
CONFIG_BPF_EVENTS=y
CONFIG_NET_CLS_BPF=m
CONFIG_NET_ACT_BPF=m
Para garantizar un mejor rendimiento del código BPF, recomendamos activar los siguientes parámetros de configuración:
CONFIG_BPF_JIT = y
CONFIG_HAVE_BPF_JIT = y
- Si la supervisión de entornos de ejecución con perfiles para la ejecución de contenedores de Kaspersky Container Security debe ejecutarse en simultáneo con CNI Cilium (los pods de node-agent pods se despliegan en los mismos servidores host con cilium-agent), deben realizarse las siguientes acciones:
- En el clúster que tiene el agente node-agent desplegado, debe especificar un valor mayor de 1 para el parámetro
data.bpf-filter-priority
deConfigMap cilium-config
.Recomendamos el valor 5 para el parámetro
data.bpf-filter-priority
. - Debe reiniciar los pods de cilium-agent para aplicar la configuración.
- En el clúster que tiene el agente node-agent desplegado, debe especificar un valor mayor de 1 para el parámetro
- Para acceder a Kubernetes, Kaspersky Container Security utiliza la funcionalidad del controlador de admisión dinámica de Kubernetes. Puede endurecer la seguridad del clúster si configura la autorización entre la API de Kubernetes y kube-agent, lo que garantiza el funcionamiento del controlador de admisión dinámica de la solución. Esta autorización debe estar en consonancia con las instrucciones de Kubernetes.
Vulnerabilidades en servicios de terceros
Kaspersky Container Security funciona con servicios de terceros que se incluyen en el kit de distribución de la solución. En la tabla siguiente, se observa información sobre las vulnerabilidades críticas identificadas en los componentes de Kaspersky Container Security y las versiones de la solución donde se planifica corregir estas vulnerabilidades.
Vulnerabilidades críticas identificadas en servicios de terceros y versiones de la solución donde se planifica corregirlas
Vulnerabilidad |
Versión de la solución |
---|---|
Kaspersky Container Security 2.0.1 |
Glosario
Canalización
El proceso de integración continua y entrega continua (CI/CD) de software se realiza en secuencia, una después de otra.
CEF
El formato de eventos comunes (CEF) es un formato estandarizado de datos estructurados para anotar eventos en el registro de eventos de seguridad. Este formato se basa en el formato Syslog, que es un estándar de registro de mensajes compatible con la mayoría de los sistemas operativos y dispositivos de red.
CI/CD
Integración continua / Entrega continua (CI/CD) hace referencia a la combinación de la integración y la entrega continuas de software en un proceso de desarrollo.
CISA
La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) es un organismo nacional de Estados Unidos que tiene el propósito de mejorar la ciberseguridad nacional en todos los niveles gubernamentales, desarrollar y coordinar la implementación de programas de ciberseguridad en EE. UU. y mejorar la protección de la infraestructura de la información ante ataques de piratería.
CNI
Container Network Interface (CNI) es un proyecto dedicado a la gestión estandarizada de interfaces de red en contenedores Linux y la extensión flexible de sus capacidades de red. Con los complementos de CNI, se garantiza la inclusión de la interfaz de red en el espacio de nombres de los contenedores y se configuran todos los parámetros necesarios en el nodo host.
Contenedor Init
Contenedor especial que se inicia cuando el pod se ejecutó antes de los contenedores principales. Los contenedores init preparan el entorno para su funcionamiento (por ejemplo, acceden a secretos o redireccionan el tráfico de red) y podrían contener utilidades que no se necesitan o no se desean en el contenedor principal.
Controlador de admisión dinámica
El controlador de admisión de Kubernetes configurable que permite aplicar directivas y admite su gestión y control.
CRI
El orquestador usa Container Runtime Interface (CRI) para trabajar con diversos entornos de ejecución de contenedores, sin tener que volver a compilar los componentes del clúster. CRI determina el protocolo principal utilizado para la comunicación entre los componentes del clúster y el entorno de ejecución del contenedor.
CSI
Container Storage Interface es un estándar que define los parámetros de API para añadir y configurar almacenamiento en los clústeres.
CVE
La base de datos de Vulnerabilidades y exposiciones comunes (CVE) contiene las vulnerabilidades en seguridad de la información más conocidas. Cada vulnerabilidad recibe un identificador con el formato "CVE-año-número", una descripción y diversos enlaces a las descripciones.
CVSS
El Sistema de puntuación común para vulnerabilidades (CVSS) es un estándar abierto para puntuar vulnerabilidades. El CVSS especifica el conjunto de métricas y fórmulas para puntuar la gravedad de una vulnerabilidad de 0 (mínima) a 10 (máxima). Gracias al CVSS, se pueden orientar los esfuerzos de respuesta ante vulnerabilidades sobre la base de la gravedad de una vulnerabilidad.
CycloneDX
CycloneDX es un estándar para SBOM que se desarrolló para contextos de seguridad de aplicaciones y para el análisis de los componentes de las aplicaciones mediante la evaluación de la disponibilidad y el estado de todos los componentes de un software.
Espacio de nombres
Clúster virtual dentro de un clúster de Kubernetes que permite aislar los recursos del clúster. Cada espacio de nombres tiene recursos propios: servicios, pods y despliegues. Los nombres de los recursos deben ser únicos para poder funcionar en un mismo espacio de nombres, pero puede utilizar los mismos nombres en otros espacios de nombres.
Exploit
Código del programa que aprovecha vulnerabilidades del sistema o del software de la aplicación. Los exploits suelen utilizarse para instalar malware en un ordenador sin que el usuario lo sepa.
FSTEC
Servicio Federal Ruso para el Control Técnico y de Exportaciones.
IaC
La Infraestructura como Código (IaC) es una práctica para administrar y describir una infraestructura mediante archivos de configuración en lugar de editar manualmente configuraciones de un servidor.
Kaspersky OpenTIP
Sistema de información disponible públicamente de Kaspersky Threat Intelligence Portal. Este sistema contiene información sobre ciberamenazas, objetos seguros y sus relaciones.
Kaspersky TIP
El sistema de información de Kaspersky Threat Intelligence Portal está disponible si tiene acceso Premium. Este portal proporciona más herramientas para analizar ciberamenazas, que incluyen la búsqueda de amenazas y Kaspersky Cloud Sandbox, además de informes analíticos sobre APT, software para cometer delitos financieros, amenazas a la ciberseguridad industrial y las actividades digitales de una organización en particular.
LDAP
El protocolo ligero de acceso a directorios (LDAP) es un protocolo ligero del lado del cliente que permite acceder a servicios de directorios.
MITRE
En la matriz de MITRE ATT&CK, desarrollada por The MITRE Corporation, se describen las técnicas y tácticas que se usan en los ataques a los sistemas de la información. Esta matriz permite garantizar el nivel de protección adecuado, identificar ataques a la infraestructura y determinar su finalidad y el método de detección.
Nodo
La máquina física o virtual donde se despliegan y ejecutan los contenedores con aplicaciones. Un clúster de Kubernetes está compuesto de diversos nodos. El clúster incluye un nodo principal que administra el clúster y nodos de trabajo donde funcionan los contenedores.
NSA
La Agencia de Seguridad Nacional (NSA) es una división del Departamento de la Defensa de EE. UU. que, entre otros propósitos, es responsable de la ciberinteligencia y la protección de los sistemas de información gubernamentales del país ante ciberataques.
NVD
La Base de datos nacional de vulnerabilidades (NVD) es el repositorio del gobierno de Estados Unidos con datos de gestión de vulnerabilidades basado en estándares que emplean el protocolo Security Content Automation Protocol (SCAP).
PCI SSC
El Consejo sobre Normas de Seguridad de la PCI (PCI SSC) es un foro global dedicado al desarrollo, la mejora, el almacenamiento, la divulgación y la implementación continuas de estándares de seguridad para la protección de los datos de tarjetas de pago.
Pod
Objeto abstracto de Kubernetes y grupo compuesto de uno o más contenedores de aplicaciones que incluyen almacenamiento compartido (volúmenes), configuración de red e información sobre el inicio de aplicaciones. Un pod es la unidad de gestión de Kubernetes.
RED OS
El sistema operativo de propósito general de Rusia (RED OS) que admite el análisis de vulnerabilidades que pueden representar una amenaza para el funcionamiento de servicios y estaciones de trabajo.
SBOM
La lista de materiales de software (SBOM) contiene todos los componentes de un objeto. También incluye las descripciones de las dependencias de los componentes y los métodos para validar y configurar la autenticidad de las fuentes.
SIEM
El sistema de gestión de eventos e información de seguridad (SIEM) es una clase de solución de software que obtiene y analiza datos sobre eventos de seguridad.
Sigstore
Este proyecto tiene el objetivo de desarrollar y facilitar herramientas y servicios de verificación de software mediante el uso de firmas digitales. Sigstore también conserva un registro público para configurar la autenticidad de los cambios en una imagen.
SPDX
El Software Package Data Exchange (SPDX) es un estándar internacional abierto respecto de la seguridad, el cumplimiento de licencias y otros artefactos en la cadena de suministro de software, que se utiliza para proporcionar información sobre el origen, las licencias y la seguridad de los paquetes de software y sus dependencias.
Syslog
Estándar para enviar y registrar eventos del sistema usado en plataformas UNIX y GNU/Linux.
VDB (DSTD)
La Base de datos de amenazas para la seguridad de los datos (DSTD o VDB) es una base de datos nacional de vulnerabilidades que mantiene el Servicio Federal Ruso para el Control Técnico y de Exportaciones (FSTEC).
Inicio de página
Información sobre código de terceros
En Settings → About platform, encontrará información sobre el código de terceros. Puede encontrarla en los siguientes archivos:
- legal_notices.txt, que puede descargar desde la Consola de administración si hace clic en Third party code information in Kaspersky Container Security.
- ftp_legal_notices.txt, que puede descargar desde la Consola de administración si hace clic en Third party code information in the File Threat Protection component.
- kuu_legal_notices.txt, que puede descargar desde la Consola de administración si hace clic en Third party code information in Kaspersky Update Utility.
Avisos de marcas registradas
Las marcas registradas y las marcas de servicio son propiedad de sus respectivos dueños.
Adobe es una marca comercial registrada o una marca comercial de Adobe en los Estados Unidos o en otros países.
Amazon, Amazon Web Services y AWS son marcas comerciales de Amazon.com, Inc. o sus afiliadas.
Apache es una marca comercial registrada o una marca comercial de Apache Software Foundation.
Apple, Safari y SWIFT son marcas comerciales de Apple Inc.
Ubuntu es una marca registrada de Canonical Ltd.
CHAINGUARD y Wolfi son marcas comerciales de Chainguard, Inc.
ClamAV es una marca comercial registrada o marca comercial de Cisco Systems, Inc. o sus afiliadas en los Estados Unidos y otros países.
Grafana Word Mark y el logotipo de Grafana son marcas comerciales o de servicio registradas o marcas comerciales o de servicio de Coding Instinct AB en los Estados Unidos y otros países y se utilizan con el permiso de Coding Instinct. No recibimos la afiliación, el respaldo ni el patrocinio de Coding Instinct o la comunidad de Grafana.
Docker y el logotipo de Docker son marcas comerciales registradas o marcas comerciales de Docker, Inc en los Estados Unidos y en otros países. Docker, Inc. y otras partes podrían tener derechos de marca comercial sobre otros términos utilizados en esta documentación.
Dropbox es una marca registrada de Dropbox, Inc.
Elasticsearch es una marca comercial de Elasticsearch BV, registrada en EE. UU. Y en otros países.
Google, Google Chrome, Chromium, Dart y Nexus son marcas comerciales de Google LLC.
Terraform es una marca comercial de HashiCorp.
S3 es una marca comercial de International Business Machines Corporation registrada en diversas jurisdicciones en todo el mundo.
Node.js es una marca registrada de Joyent, Inc.
LinkedIn es una marca comercial registrada o marca comercial de LinkedIn Corporation y sus afiliadas en los Estados Unidos y otros países.
Linux es una marca comercial registrada de Linus Torvalds en los Estados Unidos y en otros países.
Microsoft, Active Directory, Azure, Excel, Microsoft Edge, Windows y Windows Server son marcas comerciales del grupo de empresas de Microsoft.
Mozilla y Firefox son marcas comerciales de Mozilla Foundation en los Estados Unidos y otros países.
OpenStack es una marca comercial registrada de OpenStack Foundation en los Estados Unidos y otros países.
Oracle y Java son marcas comerciales registradas de Oracle o sus afiliados.
Python es una marca comercial o una marca comercial registrada de Python Software Foundation.
Red Hat, Red Hat Enterprise Linux y CentOS son marcas comerciales o marcas comerciales registradas de Red Hat, Inc. o sus subsidiarias en los Estados Unidos y otros países.
OpenShift es una marca comercial registrada de Red Hat Inc. en los Estados Unidos y otros países.
Sonatype Nexus es una marca comercial de Sonatype, Inc.
SUSE es una marca registrada de SUSE LLC en los Estados Unidos y en otros países.
OpenAPI es una marca comercial de The Linux Foundation.
Helm, Kubernetes y GRPC son marcas comerciales registradas de The Linux Foundation en los Estados Unidos y otros países.
Rocky Linux es una marca registrada de The Rocky Enterprise Software Foundation.
TWITCH es una marca comercial de Twitch Interactive o sus afiliadas.
UNIX es una marca registrada en los Estados Unidos y en otros países, licenciada exclusivamente a través de X/Open Company Limited.
ClickHouse es una marca comercial de YANDEX LLC.
Inicio de página
Condiciones de uso de MITRE ATT&CK
A continuación, se enumeran las Condiciones de uso de MITRE ATT&CK (tácticas y técnicas de adversarios y conocimiento en común).
Condiciones de uso de The MITRE Corporation
LICENCIA
Por medio de la presente documentación, The MITRE Corporation le otorga una licencia no exclusiva y exenta de regalías para usar ATT&CK con fines de investigación, desarrollo y comercio. Toda copia que realice con estos fines está autorizada siempre que reproduzca el aviso de derechos de autor de MITRE y la presente licencia en cualquier copia.
"© 2024 The MITRE Corporation. Esta documentación se realiza y distribuye con el permiso de The MITRE Corporation."
DESCARGOS DE RESPONSABILIDAD
MITRE no declara que en ATT&CK se enumeran todos los posibles tipos de acciones y comportamientos que se documentan en su modelo de adversarios y marco de técnicas. El uso de la información en ATT&CK para abordar o cubrir todas las categorías de técnicas no garantiza una cobertura defensiva completa dado que podrían existir técnicas o variaciones no divulgadas sobre técnicas no documentadas en ATT&CK.
TODOS LOS DOCUMENTOS Y LA INFORMACIÓN QUE ALLÍ APARECEN SE PROPORCIONA COMO ESTÁ Y QUIENES CONTRIBUYEN, LA ORGANIZACIÓN QUE REPRESENTAN O PATROCINAN, THE MITRE CORPORATION, EL CONSEJO DE ADMINISTRACIÓN, EJECUTIVOS, REPRESENTANTES Y EL PERSONAL SE DESLIGAN DE TODA GARANTÍA, EXPLÍCITA O IMPLÍCITA, QUE INCLUYE, ENTRE OTRAS, TODA GARANTÍA DE QUE EL USO DE LA INFORMACIÓN EN DICHA DOCUMENTACIÓN NO INFRINGE NINGÚN DERECHO O GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O ADECUACIÓN PARA UNA FINALIDAD PARTICULAR.
Inicio de página