Kaspersky Container Security

Directivas referentes a la ejecución

La directiva referente a la ejecución determina las acciones que realiza la solución al supervisar y controlar las operaciones de contenedores en entornos de ejecución según las directivas de seguridad. Kaspersky Container Security mantiene el control sobre la base de las amenazas de seguridad que se detectan en una imagen, su nivel de gravedad y la disponibilidad de

.

Los contenedores en entornos de ejecución podrían ejecutarse a partir de imágenes verificadas o desde imágenes que la solución aún no conoce.

En la pestaña Policies, en PoliciesRuntime policies, encontrará una tabla que contiene las directivas referentes a la ejecución configuradas.

Puede utilizar la lista para hacer lo siguiente:

  • Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
  • Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
  • Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.

    Al desactivar una directiva, Kaspersky Container Security no realizará las allí acciones detalladas.

  • Buscar directivas. Para buscar una directiva, use el campo de búsqueda, que se encuentra encima de la lista de directivas de respuesta, y escriba parte del nombre o el nombre completo de la directiva.
  • Eliminar directivas.

Para funcionar de forma óptima, una directiva referente a la ejecución debe complementarse con perfiles para la ejecución de contenedores que definen las reglas y las restricciones para los contenedores ejecutados en entornos de ejecución.

En esta sección

Crear una directiva referente a la ejecución

Editar la configuración de una directiva referente a la ejecución

Administrar perfiles para la ejecución de contenedores

Administrar perfiles automáticos para la ejecución

Inicio de página
[Topic 264620]

Crear una directiva referente a la ejecución

Para añadir una directiva referente a la ejecución en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas referentes a la ejecución.

Para añadir una directiva referente a la ejecución:

  1. En PoliciesRuntime policies, elija la pestaña Policies.
  2. Haga clic en el botón Add policy.

    Se abre la ventana de configuración de la directiva.

  3. De ser necesario, use los botones Disabled/Enabled para modificar el estado de la directiva. De forma predeterminada, la directiva que añada tendrá el estado Enabled.
  4. Introduzca el nombre de la directiva y, si se requiere, una descripción.
  5. En el campo Scope, elija el alcance de la directiva referente a la ejecución a partir de las opciones disponibles. Dado que las directivas referentes a la ejecución solo se utilizan en contenedores ejecutados o desplegados, puede elegir los alcances que contienen los recursos de todos los contenedores.

    No podrá elegir los alcances que solo contienen recursos de registros. De ser necesario, en la sección Container runtime profiles, puede determinar las imágenes y los pods particulares de la directiva referente a la ejecución que está creando, como se especificó en el paso 11.

    Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.

  6. En la sección Mode, elija uno de los siguientes modos de aplicación de directivas:
    • Audit. En este modo, el análisis considera los componentes de los contenedores.
    • Enforce. En este modo, la solución bloquea todos los objetos que no cumplen con las reglas ni con los criterios definidos en la directiva.

    Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.

  7. En la pestaña Admission controller, configure los siguientes parámetros:
    • En la sección Best practice check, use los botones Disabled/Enabled para activar el análisis del cumplimiento de las mejores prácticas de seguridad. En la lista de configuración, elija los parámetros del análisis que garanticen que se ejecute la imagen correcta y que el uso de CPU y RAM esté configurado de forma adecuada.
    • En la sección Block non-compliant images, use los botones Disabled/Enabled para evitar la ejecución de contenedores a partir de imágenes que no cumplen con los requisitos. Solo se verificarán las imágenes analizadas que están registradas en la solución y tienen el estado En cumplimiento (Compliant).
    • En la sección Block unregistered images, use los botones Disabled/Enabled para bloquear el despliegue de imágenes desconocidas para Kaspersky Container Security. Para desplegar la imagen , debe registrarla en la solución y aguardar a que aparezca en el registro.
    • En el bloque Dynamic Admission Controller bypass criteria, use los botones Disabled/Enabled para definir las exclusiones de la directiva referente a la ejecución. Para ello, debe elegir los objetos pertinentes en la lista desplegable, especificar sus nombres y luego hacer clic en Add.

      Al desplegar un contenedor, se verifican las exclusiones existentes de la directiva.

    • En la sección Capabilities block, use los botones Disabled/Enabled para bloquear el uso de determinadas funciones de Unix. Para ello, debe elegir funciones del sistema específicas en la lista desplegable. También puede elegir ALL en la lista desplegable para bloquear el uso de todas las funciones del sistema de Unix.
    • En la sección Image content protection, use los botones Disabled/Enabled para activar la verificación de las firmas digitales que confirman la integridad y el origen de las imágenes del contenedor. Para ello, realice las siguientes acciones:
      1. En el campo Image registry URL template, introduzca la plantilla de la dirección web del registro de imágenes donde desee verificar las firmas.
      2. En la lista desplegable, elija Check para activar la verificación o Don't check para desactivarla.
      3. En la lista desplegable, elija uno de los validadores de firmas en imágenes configurados.
      4. De ser necesario, puede hacer clic en el botón Add signature verification rule para añadir reglas de verificación de firmas. La solución aplicará diversas reglas de verificación de firmas en una única directiva referente a la ejecución.
    • En la sección Limit container privileges, use los botones Disabled/Enabled para bloquear el inicio de contenedores que tienen un determinado conjunto de derechos y permisos específicos. En la lista configuración, elija los derechos y los permisos para bloquear ciertos parámetros de los pods.
    • En la sección Registries allowed, use los botones Disabled/Enabled para permitir el despliegue de contenedores en un clúster solo a partir de registros específicos. Para ello, debe elegir los registros que desee en la lista desplegable Registries.
    • En la sección Volumes blocked, use los botones Disabled/Enabled para prevenir que se monten los volúmenes elegidos en los contenedores. Para ello, debe especificar los puntos para montar volúmenes en el sistema host, en el campo Volumes.

      El campo Volumes debe comenzar con una barra diagonal ("/") porque esto representa la ruta del sistema operativo.

  8. En la pestaña Container runtime, configure los siguientes parámetros:
    • En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
      1. En la lista desplegable, elija un atributo para determinar los pods donde se aplicarán los perfiles para la ejecución de contenedores.
      2. Según el atributo elegido, realice lo siguiente:
        • Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.

          También puede hacer clic en el botón Add label pair para añadir otras etiquetas a los pods elegidos.

        • Si eligió Image URL template, introduzca la plantilla de la dirección web del registro de imágenes.

          Si el clúster contiene imágenes del registro público de Docker Hub, la solución considerará tanto la ruta completa como la ruta abreviada a las imágenes. Por ejemplo, si especifica que la dirección URL de la imagen de contenedor en el clúster es docker.io/library/ubuntu:focal, la solución la aceptará de igual manera que ubuntu:focal.

          También puede hacer clic en el botón Add Image URL para añadir direcciones web a los pods elegidos.

        • Si eligió Image digest, introduzca el código hash de la imagen que se creó con el algoritmo hash SHA256. El prefijo sha256 no es obligatorio para especificar el código hash de la imagen (por ejemplo, sha256:ef957...eb43 o ef957...eb43).

          También puede hacer clic en el botón Add image digest para añadir otros códigos hash de imágenes a los pods elegidos.

      3. En el campo Container runtime profile, debe especificar uno o más perfiles para la ejecución que se aplicarán a los pods que coinciden con los atributos definidos.
      4. De ser necesario, puede usar el botón Add pod mapping para añadir otros pods que se asignarán. Los pods que tengan diferentes atributos o perfiles para la ejecución se asignarán en la misma directiva referente a la ejecución.
    • En la sección Container autoprofiles, use los botones Disabled/Enabled para activar el análisis de contenedores en el alcance especificado con los perfiles automáticos asociados a las imágenes de los contenedores.

      Si hace clic en el enlace Show autoprofiles attributed to the scope, podrá consultar todos los perfiles automáticos que se incluyen en el alcance. En la barra lateral que se abre, la solución mostrará la tabla que contiene la lista de perfiles automáticos. Para cada perfil automático, se muestran el nombre, la fecha y hora de la última modificación y la imagen asociada al perfil automático.

  9. Haga clic en el botón Add.
Inicio de página
[Topic 290415]

Editar la configuración de una directiva referente a la ejecución

Puede editar la configuración de una directiva referente a la ejecución en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.

Para editar la configuración de una directiva referente a la ejecución:

  1. En la sección PoliciesRuntime policiesPolicies, haga clic en el nombre de la directiva, en la lista de directivas referentes a la ejecución existentes.

    Se abre la ventana de configuración de la directiva.

  2. Cambie el estado y el nombre de la directiva.
  3. Añada o edite la descripción de una directiva.
  4. Añada o quite alcances.
  5. Elija el modo de la directiva: Audit o Enforce.
  6. En la pestaña Admission controller, modifique las secciones pertinentes de la directiva:
    • Best practice check.
    • Block non-compliant images.
    • Block unregistered images.
    • Dynamic Admission Controller bypass criteria.
    • Capabilities block.
    • Image content protection.
    • Limit container privileges.
    • Registries allowed.
    • Blocking volumes.
  7. En la pestaña Container runtime, modifique las secciones pertinentes de la directiva:
    • Container runtime profiles.
    • Container autoprofiles.
  8. Haga clic en Save.
Inicio de página
[Topic 290416]

Administrar perfiles para la ejecución de contenedores

Al implementar directivas referentes a la ejecución, Kaspersky Container Security puede aplicar las reglas definidas por el usuario para supervisar procesos y la red. Para ello, debe añadir perfiles para la ejecución a las directivas referentes a la ejecución adecuadas. En esencia, las directivas referentes a la ejecución son listas de restricciones para contenedores. Los perfiles de imágenes definen la configuración del despliegue de una imagen segura y las actividades seguras de una aplicación desplegada en una imagen. Las acciones de los perfiles pueden reducir significativamente las posibilidades de que se infiltren ciberdelincuentes en una red y, por otro lado, pueden mejorar la seguridad durante el funcionamiento de los contenedores en entornos de ejecución.

Los siguientes parámetros determinan las restricciones en el perfil de una imagen:

  • Archivos ejecutables que deben bloquearse
  • Restricciones de red para conexiones entrantes y salientes

Los perfiles para la ejecución de contenedores en directivas referentes a la ejecución se aplican a las imágenes que se ejecutan en entornos de orquestación con objetos dentro del clúster. Si un contenedor se inicia fuera del entorno de orquestación (por ejemplo, con los comandos docker run o ctr run), la solución no detectará malware en dicho contenedor.

La solución no analiza automáticamente en busca de malware cuando los objetos se guardan en un contenedor. Recomendamos proteger los archivos de contenedores que están fuera del entorno de orquestación.

En la pestaña Container runtime profiles, en PoliciesRuntime policies, encontrará la lista de directivas configuradas en formato de tabla. En esta sección, también puede hacer lo siguiente:

En esta sección

Crear un perfil para la ejecución

Ejemplos de perfiles para la ejecución configurados

Cambiar la configuración de un perfil para la ejecución

Eliminar un perfil para la ejecución

Inicio de página
[Topic 283062]

Crear un perfil para la ejecución

Para añadir un perfil para la ejecución de contenedores:

  1. En PoliciesRuntime policiesContainer runtime profiles, haga clic en el botón Add profile.

    Se abrirá la ventana para configurar el perfil.

  2. Introduzca el nombre del perfil para la ejecución y, de ser necesario, también una descripción.
  3. En la lista desplegable Scopes, elija uno o más alcances.

    En los perfiles para la ejecución, un alcance permite usar los perfiles de forma correcta en las directivas referentes a la ejecución.

  4. En File Threat Protection, use los botones Disabled/Enabled para activar el componente Protección frente a amenazas en archivos. Este componente se utilizará para buscar y analizar posibles amenazas en archivos; además, proporciona seguridad a los objetos en contenedores, como archivos comprimidos y archivos de correos electrónicos.

    Al aplicar un perfil para la ejecución, si ha activado el componente Protección frente a amenazas en archivos, Kaspersky Container Security activa la protección frente a amenazas en archivos en tiempo real en todos los nodos que están bajo el alcance definido por dicha directiva. La configuración de los agentes desplegados depende de cómo haya configurado Protección frente a amenazas en archivos. Si hace clic en el botón File Threat Protection settings, en la pestaña Container runtime profiles de la sección PoliciesRuntime, puede configurar el componente.

  5. En la sección Restrict container executable files, use los botones Disabled/Enabled para restringir archivos ejecutables según las reglas. En la lista, elija la opción de bloqueo que garantice que los contenedores tengan un rendimiento óptimo:
    • Block process from all executable files: la aplicación bloquea el inicio de todos los archivos ejecutables mientras el contenedor está iniciado.
    • Block specified executable files: la aplicación bloquea los archivos ejecutables que ha elegido en el campo Block the specified executable files. Puede bloquear todos los archivos ejecutables o algunos específicos. Debe detallar la ruta completa original al archivo ejecutable (por ejemplo, /bin/php). También puede usar la máscara * (por ejemplo, /bin/*) para aplicar una regla a todo un directorio y los subdirectorios.

      Puede detallar la lista de los archivos ejecutables permitidos y bloqueados si especifica exclusiones en las reglas de bloqueo. Por ejemplo, puede excluir la ruta /bin/cat para una regla aplicada a /bin/*. En este caso, se bloqueará el inicio de todos los archivos ejecutables del directorio /bin/, salvo la aplicación /bin/cat.

      Ejemplo con una ruta a archivos ejecutables

      Ruta directa a los archivos binarios ejecutables:

      /bin/bash

      Ruta a un directorio con la máscara *:

      /bin/*

      En este ejemplo, se permite la ejecución de todos los archivos ejecutables de los subdirectorios del directorio /bin/.

      Si trabaja con el archivo binario busybox que se entrega con muchas imágenes base de contenedor (como alpine), debe tener en cuenta que busybox contiene un conjunto de comandos para acceder a las aplicaciones sin necesidad de explicitarlas. Por ejemplo, el comando ls se usa para acceder al archivo ejecutable /bin/ls, que actúa como enlace simbólico a /bin/busybox. En este caso, debe especificar la ruta al archivo ejecutable de la siguiente manera: /bin/busybox/ls (es decir, debe concatenar la ruta original del archivo ejecutable /bin/busybox y el comando ls con el símbolo /).

      Si elige la casilla de verificación Allow exclusions, la aplicación bloqueará todos los archivos ejecutables, salvo los especificados en el campo Allow exclusions cuando se inicie y ejecute un contenedor.

      Todas las reglas y excepciones especificadas para estos parámetros son expresiones regulares (regex). En la solución, se emplean patrones e indicadores específicos para buscar todos los archivos que coinciden con una expresión regular en particular.

  6. En la sección Restrict ingress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones entrantes a un contenedor. Si activa esta restricción, Kaspersky Container Security bloqueará todos los orígenes de conexiones entrantes, salvo aquellos especificados en las exclusiones.

    Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más orígenes permitidos de las conexiones de red entrantes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:

    • Sources. En el campo Sources, introduzca una dirección IP o un rango de direcciones IP para el origen de conexiones de entrada mediante los enrutamientos CIDR4 o CIDR6.
    • En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.

      Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).

      Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.

  7. En la sección Restrict egress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones salientes de un contenedor determinado.

    Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más destinos permitidos de las conexiones de red salientes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:

    • Destinations. En el campo Destinations, introduzca una dirección IP o un rango de direcciones IP para el destino de una conexión de salida mediante los enrutamientos CIDR4 o CIDR6, o la dirección web (URL) de un destino.
    • En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.

      Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).

      Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.

  8. En la sección File operations, use los botones Disabled/Enabled para activar la supervisión de operaciones en archivos que ocurran en el contenedor. Para ello, debe especificar los valores de los siguientes parámetros:
    • Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.

      Al especificar rutas a archivos, debe introducir rutas completas que comiencen con una barra diagonal.

    • De ser necesario, en el campo Exclusions, puede especificar las rutas a los archivos cuyas operaciones no se supervisarán.
    • Operation type. Puede especificar las operaciones en archivos que supervisará la solución cuando la directiva referente a la ejecución esté aplicada. Para ello, utilice la casilla de verificación para elegir uno o más de los siguientes tipos de operaciones:
      • Create: la solución registra todas las operaciones de creación en archivos en los directorios especificados.
      • Open: la solución registra todas las operaciones de apertura de archivos.
      • Read: la solución registra todas las operaciones de lectura en archivos.
      • Write: la solución registra información sobre los cambios guardados en archivos.
      • Rename or move: la solución registra las operaciones que modifican el nombre de los archivos o mueven los archivos a otras carpetas.
      • Delete: la solución registra la información sobre la eliminación de archivos o carpetas de los directorios especificados.
      • Change access permissions: la solución registra la información sobre los cambios en los derechos de acceso a archivos y directorios.
      • Change ownership: la solución supervisa las operaciones que modifican al propietario de un archivo o una carpeta en el directorio especificado.

    De ser necesario, puede usar el botón Add rule para añadir reglas para la supervisión de operaciones en archivos. La solución aplicará diversas reglas de supervisión de operaciones en archivos dentro de una única directiva referente a la ejecución.

    En el caso de las operaciones en archivos, el modo Audit es el único compatible. Si se especifica el modo Enforce en la directiva referente a la ejecución pertinente, las operaciones en archivos se realizan en el modo Audit.

  9. Haga clic en el botón Add.

En la sección PoliciesRuntime policiesContainer runtime profiles, encontrará el perfil para la ejecución añadido.

Inicio de página
[Topic 296091]

Ejemplos de perfiles para la ejecución configurados

En la siguiente tabla, verá las imágenes utilizadas por la aplicación con mayor frecuencia y la configuración de las restricciones para las directivas referentes a la ejecución.

Imágenes y su configuración

Nombre de la imagen

Restricción de módulos ejecutables en contenedores

Restricción de conexiones de red

Nginx

Archivo ejecutable permitido:

/usr/sbin/nginx

Bloqueo de conexiones salientes

Mysql

Archivos ejecutables permitidos:

/usr/bin/awk

/bin/sleep

/usr/bin/mawk

/bin/mkdir

/usr/bin/mysql

/bin/chown

/usr/bin/mysql_tzinfo_to_sql

/bin/bash

/bin/sed

/usr/sbin/mysqld

Bloqueo de conexiones salientes

Wordpress

Archivos ejecutables permitidos:

/bin/dash

/usr/bin/mawk

/usr/bin/cut

/bin/bash

/usr/local/bin/php

/usr/bin/head

/usr/bin/sha1sum

/bin/tar

/bin/sed

/bin/rm

/usr/bin/awk

/bin/sh

/usr/sbin/apache2

/bin/chown

/usr/local/bin/apache2-foreground

/bin/ls

/bin/cat

Icono "No"

Nodo

Archivo ejecutable permitido:

/usr/local/bin/node

Bloqueo de conexiones salientes

MongoDB

Archivos ejecutables permitidos:

/bin/chown

/usr/local/bin/gosu

/usr/bin/mongod

/usr/bin/mongos

/usr/bin/mongo

/usr/bin/id

/bin/bash

/usr/bin/numactl

/bin/dash

/bin/sh

Icono "No"

HAProxy

Archivos ejecutables permitidos:

/bin/dash

/usr/bin/which

/usr/local/sbin/haproxy

/bin/busyboxal/sbin/haproxy-systemd-wrapper

/usr/loc

Icono "No"

Hipache

Archivos ejecutables permitidos:

/usr/bin/python2.7

/usr/bin/nodejs

/usr/bin/redis-server

/bin/dash

/usr/local/bin/hipache

Icono "No"

Drupal

Archivos ejecutables permitidos:

/bin/bash

/bin/rm

/usr/sbin/apache2

Icono "No"

Redis

Archivos ejecutables permitidos:

/bin/bash

/bin/chown

/usr/local/bin/gosu

/usr/bin/id

/usr/local/bin/redis-server

/bin/sh

/bin/dash

/sbin/redis-cli

/bin/redis-cli

/usr/sbin/redis-cli

/usr/bin/redis-cli

/usr/local/sbin/redis-cli

/usr/local/bin/redis-cli

/bin/busybox

Bloqueo de conexiones salientes

Tomcat

Archivos ejecutables permitidos:

/usr/bin/tty

/bin/uname

/usr/bin/dirname

/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java

/bin/dash

/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java

Bloqueo de conexiones salientes

Celery

Archivos ejecutables permitidos:

/bin/dash

/sbin/ldconfig

/bin/uname

/usr/local/bin/python3.4

/bin/sh

Icono "No"

Inicio de página

[Topic 265052]

Cambiar la configuración de un perfil para la ejecución

Para cambiar la configuración de un perfil para la ejecución de contenedores:

  1. En PoliciesRuntime policiesContainer runtime profiles, haga clic en el nombre del perfil en la lista de perfiles existentes para la ejecución de contenedores.
  2. En la ventana que se abre, modifique los valores de los siguientes parámetros que desee:
    • Nombre del perfil para la ejecución.
    • Descripción del perfil para la ejecución.
    • Scopes.
    • File threat protection
    • Restrict container executable files.
    • Restrict inbound network connections.
    • Restrict outbound network connections.
    • File operations
  3. Haga clic en Save.

Los cambios de la configuración de perfiles para la ejecución se aplican automáticamente al contenedor en ejecución y afectan a sus operaciones.

Inicio de página
[Topic 290421]

Eliminar un perfil para la ejecución

Para eliminar un perfil para la ejecución de contenedores:

  1. En la tabla que contiene los perfiles para la ejecución configurados, en PoliciesRuntime policiesImage profiles, haga clic en el icono de eliminación (Icono "Eliminar".), en la fila del nombre del perfil que desee eliminar.
  2. En la ventana que se abre, confirme la acción.
Inicio de página
[Topic 264973]

Administrar perfiles automáticos para la ejecución

Kaspersky Container Security puede supervisar procesos, tráfico de red y operaciones en archivos de contenedores y, luego, usar la información obtenida para crear de forma automática perfiles para la ejecución de contenedores. Este proceso de creación automática de perfiles se realiza dentro del período establecido por el usuario y del alcance elegido. Dicho alcance puede ser un clúster, un espacio de nombres o un pod.

El contenido del perfil generado automáticamente (perfil automático) depende de la configuración de la supervisión del nodo en el grupo de agentes. Para iniciar la creación automática de perfiles, debe activar la configuración de supervisión de conexiones de red, inicios de procesos y operaciones en archivos de contenedores para el grupo de agentes pertinente.

La creación de perfiles automáticos es única y emplea tres parámetros: nombre del clúster, nombre del espacio de nombres y nombre del código hash de la imagen. Por consiguiente, en un espacio de nombres, el perfil automático se crea para todos los contenedores de la compilación elegida de una imagen.

En esta sección

Crear un perfil automático para la ejecución

Visualizar lista de perfiles automáticos para la ejecución

Visualizar la configuración de un perfil automático para la ejecución

Editar la configuración de un perfil automático para la ejecución

Detener la creación de perfiles automáticos

Eliminar un perfil automático para la ejecución

Restricciones relacionadas con perfiles automáticos

Inicio de página
[Topic 283940]

Crear un perfil automático para la ejecución

Recomendamos reiniciar los pods después de que comience la creación automática del perfil de modo que la solución pueda registrar el inicio de los pods según las reglas. De esta forma, se evitará el bloqueo incorrecto de los pods cuando se reinicien.

Kaspersky Container Security permite crear perfiles automáticamente en tres niveles:

  • Nivel del clúster
  • Nivel del espacio de nombres
  • Nivel del pod

A nivel de clúster y de espacio de nombres, puede crear un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede crear un perfil automático mediante la tabla.

Para crear un perfil automático para la ejecución con la tabla que contiene la lista de objetos:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos, según el nivel en el cual está creando un perfil automático:
    • Si desea crear un perfil automático a nivel del clúster, en la tabla de clústeres, elija las casillas de verificación de uno o más clústeres.
    • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres.
    • Si desea crear un perfil automático a nivel del pod, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
      3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods.

    Asegúrese de que el proceso de creación automática de perfiles no esté ejecutándose en los objetos elegidos. De ser así, la solución no permitirá el inicio de otra tarea de creación automática de perfiles.

  3. Haga clic en el botón Build autoprofile que se encuentra encima de la tabla.

    En un determinado clúster, solo puede iniciar una sola tarea de creación de perfiles automáticos a la vez. La solución permitirá el inicio de una nueva tarea solo después de que la anterior haya finalizado o se haya detenido.

  4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

    El tiempo predeterminado son 60 minutos.

  5. Haga clic en Start.

    En la columna Autoprofiles de la tabla de objetos (clústeres, espacios de nombres o pods), la solución mostrará el tiempo que resta para la finalización de la creación automática de perfiles para el objeto o la cantidad de perfiles creados automáticamente para dicho objeto.

Para crear un perfil automático para la ejecución de contenedores a partir de un gráfico:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
    • Si desea crear un perfil automático a nivel del clúster, haga clic en el icono de clúster (Icono de clúster en Kubernetes), en el gráfico con espacios de nombres.
    • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
      2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (Icono de espacio de nombres en el gráfico).
  3. En el menú que se abre, elija Build autoprofile.

    Si el proceso de creación automática de perfiles ya se está ejecutando en el clúster, no podrá elegir Build autoprofile. Si tiene los derechos adecuados, puede detener la creación del perfil automático en el clúster determinado si elige Stop autoprofiling en el menú. También puede esperar a que finalice la tarea iniciada anteriormente. La solución solo permite la ejecución de una tarea de creación automática de perfiles en un clúster a la vez.

  4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

    El tiempo predeterminado son 60 minutos.

  5. Haga clic en Start.

En la sección PoliciesRuntime policiesAutoprofiles, verá los perfiles creados automáticamente para la ejecución.

Inicio de página
[Topic 287098]

Visualizar lista de perfiles automáticos para la ejecución

En la tabla en PoliciesRuntimeAutoprofiles, Kaspersky Container Security muestra una lista que contiene todos los perfiles automáticos para la ejecución creados. Para cada perfil automático, se muestra la siguiente información:

  • Nombre del perfil automático para la ejecución (concatenación de los siguientes datos):
    • Nombre del pod.
    • Nombre del espacio de nombres.
    • Nombre del clúster
    • Los primeros 12 caracteres de la suma de verificación de la imagen (después del prefijo de SHA256).

    Los componentes del nombre del perfil automático se separan con guiones bajos (por ejemplo, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).

  • Estado del perfil automático según la verificación que hizo el usuario: Verified o Not verified. De forma predeterminada, el estado del perfil automático al momento de la creación es Not verified.

    De ser necesario, puede usar los botones Verified/Not verified para modificar el estado del perfil automático en la tabla. También puede asignar el estado Verified a uno o más perfiles automáticos si hace clic en el botón Verify que se encuentra por encima de la tabla.

    Solo se pueden aplicar los perfiles automáticos que tengan el estado Verified.

  • Fecha y hora de la última modificación.
  • Clúster y espacio de nombres en los que se basa el perfil automático.
  • Imagen en cuya suma de verificación se basa el perfil automático.

Kaspersky Container Security también muestra una lista que contiene los perfiles automáticos para cada imagen cuyo código hash se usa para crear los perfiles.

Para ver la lista de perfiles automáticos para una imagen:

  1. Vaya a ResourcesRegistries.
  2. En el registro que desee, haga clic en el icono Icono de flecha hacia la derecha y expanda la lista de imágenes del registro. Las imágenes usadas para crear perfiles automáticos se marcan con el icono de creación automática de perfiles (Icono que indica la creación de un perfil automático para la ejecución).
  3. Haga clic en el nombre de una imagen y diríjase a la página que contiene información detallada sobre los resultados del análisis de dicha imagen.

    La lista que contiene todos los perfiles automáticos se muestra en forma de tabla, en la sección Associated autoprofiles. Para cada perfil automático, se muestra la siguiente información:

    • Nombre del perfil creado automáticamente. Haga clic en el nombre del perfil para abrir la ventana que contiene la descripción detallada del perfil. La información en esta ventana es de solo lectura.
    • Fecha y hora de la última modificación.
    • Clúster y espacio de nombres en los que se basa el perfil automático.
Inicio de página
[Topic 290621]

Visualizar la configuración de un perfil automático para la ejecución

Para visualizar los parámetros de los perfiles automáticos:

  1. En la sección PoliciesRuntime policiesAutoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
  2. En la barra lateral que se muestra, en las pestañas General y Building parameters, encontrará información sobre los parámetros de los perfiles automáticos elegidos. En la pestaña General, verá la siguiente información:
    • Estado del perfil automático.
    • Nombre del perfil automático para la ejecución.
    • Descripción del perfil automático para la ejecución (si se especificó de forma manual). De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
    • En Parameters, puede ver los parámetros de los siguientes módulos:
      • File threat protection
      • Restrict container executable files.
      • Restrict inbound network connections.
      • Restrict outbound network connections.
      • File operations

    De ser necesario, puede modificar los parámetros de los perfiles automáticos.

    En la pestaña Building parameters, verá los siguientes datos:

    • Nombre del perfil automático para la ejecución.
    • Fecha y hora de la última modificación del perfil automático.
    • Nombre del usuario que inició la creación del perfil automático.
    • Suma de verificación, espacio de nombres y clúster de la imagen que se usaron para el perfil automático.
    • Nombre de la imagen en cuya suma de verificación se basa el perfil automático. Si hace clic en el nombre de la imagen, puede ver los resultados del análisis de dicha imagen.
Inicio de página
[Topic 287239]

Editar la configuración de un perfil automático para la ejecución

Para editar los parámetros de los perfiles automáticos:

  1. En la sección PoliciesRuntime policiesAutoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
  2. De ser necesario, en la barra lateral que se muestra, en la pestaña General information, edite los valores todos los siguientes parámetros que desee:
    • Estado del perfil automático. Use los botones Verified/Not verified para modificar el estado del perfil automático a Verified o Not verified.
    • Nombre del perfil automático para la ejecución. Puede personalizar el nombre del perfil automático para reemplazar el que genera la solución.
    • Descripción del perfil automático para la ejecución. De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
    • En Parameters, edite los parámetros de supervisión de estados de la red de la siguiente manera:
      • File threat protection. De ser necesario, use los botones Disabled/Enabled para activar o desactivar el componente Protección frente a amenazas en archivos. De forma predeterminada, la opción File Threat Protection está desactivada.
      • Restrict container executable files. Puede especificar nombres y rutas de archivos que se bloquearán, además de excepciones.

        Si se están ejecutando procesos en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando se detecten eventos en los modos Audit y Enforce, la solución activa el parámetro Block specified executable files y todas las rutas únicas se indican en el campo Executables or path.
        • Si no hay ningún proceso en los modos Audit y Enforce, la solución aplica el parámetro Block all executable files.
        • Si se detectan otros eventos, la solución activa el parámetro Allow exclusions y especifica todos los valores de las rutas únicas en el campo Executables or path.
      • Restrict inbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones entrantes del contenedor.

        Si hay tráfico entrante en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando los eventos relativos a las conexiones entrantes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict inbound network connections.
        • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los recipientes únicos de las conexiones entrantes.
      • Restrict outbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones salientes del contenedor.

        Si hay tráfico saliente en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando los eventos relativos a las conexiones salientes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict outbound network connections.
        • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los orígenes únicos de las conexiones salientes.
      • File operations. Puede editar la configuración de la supervisión de las operaciones en archivos del contenedor.

        Si hay alguna acción en los contenedores de la compilación pertinente, al detectar un evento de gestión de archivos en los modos Audit y Enforce, la solución activa el parámetro File operations. En este caso, en el campo Path se indican todas las rutas únicas y las casillas de verificación de todos los tipos de operaciones detectadas se eligen en el campo Operation type.

        También puede hacer clic en Add rule para añadir las reglas que se aplicarán al supervisar operaciones en archivos.

      Si se activa un parámetro en la sección Settings, la solución determina la compilación específica de la imagen y analiza todos los contenedores desplegados de dicha compilación.

  3. Realice una de las siguientes acciones para guardar los cambios del perfil automático:
    • Para guardar los cambios sin modificar el estado del perfil automático a Verified, haga clic en Save.
    • Para guardar los cambios y modificar el estado del perfil automático a Verified, haga clic en Save and verify.
Inicio de página
[Topic 287235]

Detener la creación de perfiles automáticos

Si hay una tarea de creación de perfiles automáticos en ejecución en el clúster elegido, Kaspersky Container Security muestra el tiempo que resta hasta que finalice el proceso:

  • En la columna Autoprofiles de la tabla que contiene la lista de clústeres
  • En la columna Autoprofiles de la tabla que contiene la lista de espacios de nombres del clúster
  • En la columna Autoprofiles de la tabla que contiene la lista de pods en el espacio de nombres elegido del clúster

Puede detener un proceso de creación de perfiles automáticos en ejecución en los tres niveles:

  • Nivel del clúster
  • Nivel del espacio de nombres
  • Nivel del pod

A nivel de clúster y de espacio de nombres, puede detener la creación de un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede detener la creación de un perfil automático mediante la tabla.

La creación automática de perfiles se puede detener para un objeto completo del perfil (clúster, espacio de nombres o pod) o para entidades específicas del objeto del perfil (por ejemplo, espacios de nombres o pods elegidos).

Podrá detener el proceso de creación de perfiles automáticos si tiene los derechos necesarios.

Inicio de página

[Topic 290589]

Detener una tarea de creación de perfiles automáticos

Para detener una tarea de creación de perfiles automático con la tabla que contiene la lista de objetos:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos, según el nivel en el cual está deteniendo la creación de perfiles automáticos:
    • Si desea detener la creación automática a nivel del clúster, haga clic en la casilla de verificación para elegir uno o más clústeres para los que se ha iniciado la tarea.
    • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres para los que se ha iniciado la tarea.
    • Si desea detener la creación de un perfil automático a nivel del pod, siga estos pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
      3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods para los cuales se ha iniciado la tarea.
  3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla.

    Si la lista de objetos elegidos incluye un clúster, un espacio de nombres o un subclúster donde no se ha iniciado el proceso de creación automática de tareas, el botón Stop autoprofiling no estará activo.

  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Para detener una tarea de creación de perfiles automáticos desde un gráfico:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
    • Si desea detener una tarea de creación de perfiles automáticos a nivel del clúster, haga clic en el icono de clúster (Icono de clúster en Kubernetes), en el gráfico con espacios de nombres.
    • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga estos pasos:
      1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
      2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (Icono de espacio de nombres en el gráfico).
  3. En el menú que se abre, elija Stop autoprofiling.
  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Inicio de página

[Topic 292046]

Detener la creación de perfiles automáticos para objetos específicos

Para detener la creación de perfiles automáticos para objetos específicos en una tarea:

  1. Inicie una tarea de creación de perfiles automáticos.
  2. Realice una de las siguientes acciones:
    • Si hay una tarea de creación de perfiles automáticos de un clúster en ejecución, realice lo siguiente:
      1. En la tabla que contiene la lista de clústeres, haga clic en el nombre del clúster para el que se crea un perfil automático.
      2. En la ventana que se abre, realice una de las siguientes acciones:
        • Elija uno o más espacios de nombres para los que desee detener la creación de perfiles automáticos.
        • Haga clic en el espacio de nombres y, en la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
    • Si hay una tarea de creación de perfiles automáticos de un espacio de nombres en ejecución, realice lo siguiente:
      1. En la tabla que contiene la lista de espacios de nombres, haga clic en el espacio de nombres para el que se crea un perfil automático.
      2. En la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
  3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla que contiene la lista de objetos.
  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

    Kaspersky Container Security detendrá el proceso de creación de perfiles automáticos para los objetos elegidos. La solución continuará la ejecución de la tarea de creación de perfiles automáticos para los demás objetos en el clúster o el espacio de nombres.

Al detener la creación de perfiles automáticos para objetos específicos, no olvide que detener la tarea a nivel de un objeto más general, detendrá la tarea en su totalidad. Por ejemplo, una tarea de creación de perfiles automáticos se detiene por completo en los siguientes casos:

  • Si la tarea de creación de perfiles automáticos en espacios de nombres o pods está iniciada y la detiene a nivel del clúster que incluye los espacios de nombres o pods elegidos.
  • Si la tarea de creación de perfiles automáticos en pods está iniciada y la detiene a nivel del espacio de nombres que contiene los pods elegidos.

Inicio de página

[Topic 292052]

Eliminar un perfil automático para la ejecución

Para eliminar un perfil automático para la ejecución de contenedores:

  1. Abra la tabla de los perfiles automáticos para la ejecución en una de las siguientes secciones:
  2. Realice una de las siguientes acciones:
    • En la sección PoliciesRuntimeAutoprofiles, haga clic en la casilla de verificación para elegir el perfil automático que desee eliminar y haga clic en el botón Delete que se encuentra encima de la tabla.
    • En la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección ResourcesRegistries, en la fila del perfil automático que desee eliminar, haga clic en el ícono de eliminación (Icono "Eliminar".).
  3. En la ventana que se abre, confirme la acción.
Inicio de página
[Topic 287224]

Restricciones relacionadas con perfiles automáticos

Al trabajar con perfiles automáticos para la ejecución, tenga en cuenta las siguientes restricciones relativas a alcances y roles de usuarios:

  • Si no se añade una imagen a los alcances asignados al usuario como parte de un espacio de nombres del clúster, el usuario no puede acceder a los perfiles automáticos generados con el código hash de la imagen.

    Un usuario con alcance predeterminado podrá ver todos los perfiles automáticos que se han creado.

  • Si un usuario tiene los derechos para gestionar la creación de perfiles automáticos, podrá iniciar una tarea para crear un perfil automático, modificar la configuración y volver a generarlo.
  • Un usuario que no ha iniciado una tarea de creación de perfiles automáticos puede modificar la configuración, volver a crear un perfil automático y eliminarlo si se cumplen todas las siguientes condiciones:
    • El usuario tiene los derechos para gestionar la creación de perfiles automáticos.
    • Uno de los roles del usuario coincide con el rol de creación de perfiles automáticos cuando se creó el perfil automático.
    • Los alcances asignados al usuario incluyen la imagen (como parte del espacio de nombres del clúster) en la que se basa el perfil automático.
Inicio de página
[Topic 290938]