Kaspersky Container Security
2.0
Español ‪(España)

Contenido

Configuración de las directivas de seguridad

Los componentes de Kaspersky Container Security emplean las siguientes directivas de seguridad:

  • Las directivas de análisis determinan la configuración del análisis de diferentes tipos de recursos. Estas directivas aplican reglas para detectar datos confidenciales, vulnerabilidades, malware y configuraciones incorrectas.
  • Las directivas de certeza definen las acciones de Kaspersky Container Security para proporcionar seguridad si las vulnerabilidades, el software malicioso, los datos confidenciales y las configuraciones incorrectas que se detectan durante el análisis de imágenes cumplen con los criterios de la directiva.
  • Las directivas de respuesta definen las acciones de la solución en caso de que ocurran los eventos especificados en la directiva. Por ejemplo, Kaspersky Container Security puede enviarle una notificación a un usuario acerca de un evento.
  • Las directivas referentes a la ejecución le permiten controlar y, de ser necesario, restringir el despliegue y el funcionamiento de contenedores en el clúster en consonancia con los requisitos de seguridad de su empresa.

Mientras está en funcionamiento, Kaspersky Container Security solo aplica las directivas activadas. Las directivas desactivadas no se pueden utilizan en las verificaciones.

Contenido de esta sección:

Directivas de análisis

Directivas de certeza

Directivas de respuesta

Directivas referentes a la ejecución

Eliminar directivas
Inicio de página
[Topic 266783]

Directivas de análisis

Una directiva de análisis determina la configuración del análisis de diferentes tipos de recursos.

Al instalar Kaspersky Container Security, se crea una directiva de análisis predeterminada que se puede aplicar a todos los recursos y ejecutar en todos los entornos. Se denomina directiva de alcance global (default). De manera predeterminada, esta directiva recibe un alcance predeterminado.

Puede activar, desactivar o establecer las configuraciones de las directivas de análisis global si su rol tiene los derechos para gestionar directivas de seguridad y visualizar el alcance predeterminado.

No podrá realizar las siguientes acciones en una directiva de análisis global:

  • Cambiar el alcance predeterminado asignado
  • Eliminar la directiva de análisis global

En la sección Policies → Scanner policies, podrá ver una tabla que contiene la lista de directivas de análisis configuradas.

Puede utilizar la lista para hacer lo siguiente:

  • Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
  • Utilice el botón Disabled/Enabled que se encuentra en la columna Status en la tabla para activar o desactivar las directivas.
  • Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.

    En la ventana de edición también puede activar o desactivar directivas. Mientras está en funcionamiento, Kaspersky Container Security no utiliza directivas desactivadas.

  • Configurar reglas para detectar datos confidenciales. Para ello, diríjase a la pestaña de datos Sensitive.
  • Eliminar directivas.

En esta sección

Crear una directiva de análisis

Editar la configuración de una directiva de análisis

Configurar reglas de detección de datos confidenciales
Inicio de página
[Topic 266135]

Crear una directiva de análisis

Para añadir una directiva de análisis en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de análisis.

Para añadir una directiva de análisis:

  1. En la sección PoliciesScanner policies, haga clic en el botón Add policy.

    Se abre la ventana de configuración de la directiva.

  2. Si lo necesita, puede usar el botón Disabled/Enabled para desactivar la directiva añadida. En este caso, la directiva se añadirá, pero no se aplicará hasta que la active.

    De forma predeterminada, el estado de una directiva de análisis recién añadida es Enabled.

  3. Introduzca el nombre de la directiva y, si se requiere, una descripción.
  4. En el campo Scope, elija el alcance de la directiva de análisis a partir de las opciones disponibles.

    Si tiene la intención de implementar la directiva con el alcance predeterminado, uno de los roles de usuario debe contar con derechos para visualizar alcances predeterminados.

  5. En la sección Vulnerabilities , configure los siguientes parámetros:
    • Use el botón Disabled/Enabled para configurar el análisis con las bases de datos del Registro nacional de vulnerabilidades (NVD).
    • Use el botón Disabled/Enabled para configurar el análisis con las Bases de datos de amenazas a la seguridad de los datos.
  6. En la sección Malware, use el botón Disabled/Enabled para configurar el análisis de malware en imágenes, como parte del componente Protección frente a amenazas en archivos.
  7. En la sección Misconfigurations, use el botón Disabled/Enabled para configurar el análisis en busca de configuraciones incorrectas.
  8. Haga clic en Save.
Inicio de página
[Topic 266137]

Editar la configuración de una directiva de análisis

Puede editar la configuración de una directiva de análisis en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.

Para editar la configuración de una directiva de análisis:

  1. En la sección PoliciesScanner policies, haga clic en el enlace del nombre de la directiva.

    Se abre la ventana para editar la configuración de la directiva.

  2. De ser necesario, puede usar los botones Disable/Enable para modificar el estado de la directiva entre activada y desactivada.
  3. Realice los cambios que desee. Podrá modificar los siguientes parámetros:
    • Nombre, descripción y alcance de la directiva.
    • Configuración del control de vulnerabilidades. Elija las casillas de verificación de las bases de datos de vulnerabilidades que utilizará para analizar las imágenes.
    • Configuración del control de software malicioso. Elija la casilla de verificación si necesita analizar las imágenes en busca de malware y otras amenazas en archivos. Este control se realiza mediante el uso del componente Protección frente a amenazas en archivos.
    • Configuración del control de configuraciones incorrectas. Elija la casilla de verificación si necesita analizar las imágenes en busca de configuraciones incorrectas. Este control se realiza mediante la configuración predeterminada que estableció el fabricante de Kaspersky Container Security.
  4. Haga clic en Save.

Inicio de página

[Topic 266436]

Configurar reglas de detección de datos confidenciales

En la sección PoliciesScanner policiesSensitive data, encontrará la lista de las reglas configuradas para detectar datos confidenciales (en adelante "secretos") durante el análisis de imágenes.

Las reglas se agrupan en diversas categorías según la finalidad y el alcance de los secretos que se detectarán. El fabricante de Kaspersky Container Security define la lista de categorías. Las categorías contienen reglas predefinidas.

Puede utilizar la lista para hacer lo siguiente:

  • Visualizar y modificar la configuración de las reglas de detección de secretos. Haga clic en el enlace del ID de la regla para abrir la ventana de edición.
  • Añadir nuevas reglas a la categoría elegida. Haga clic en el botón Add rule que se encuentra encima de la tabla para abrir la ventana de configuración de integraciones. Para añadir reglas que no pertenecen a ninguna de las categorías preestablecidas, use la categoría Other.
  • Eliminar reglas. Haga clic en la casilla junto a las reglas de la lista que desee eliminar. Se mostrará el icono de eliminación.

Para modificar la configuración de las reglas de detección de datos confidenciales:

  1. En la tabla, en la sección PoliciesScanner policiesPolicies, elija la directiva de análisis.
  2. En la sección Sensitive data, elija las casillas de verificación de las reglas que desee modificar.
  3. Utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de reglas de directivas para activar o desactivar este elemento de la directiva.

    No haga clic en el botón Save.

    Kaspersky Container Security aplica de inmediato los cambios a la configuración de detección de datos confidenciales y muestra la notificación pertinente. También puede actualizar la página para verificar que la configuración se haya modificado.

Inicio de página
[Topic 250398]

Directivas de certeza

Las directivas de certeza definen las acciones de Kaspersky Container Security para proporcionar seguridad si las amenazas detectadas durante el análisis de imágenes cumplen con los criterios de la directiva.

En la sección PoliciesAssurance policies, se muestran las directivas de certeza configuradas en formato de tabla.

Puede utilizar la lista para hacer lo siguiente:

  • Añadir nuevas directivas. Haga clic en el botón Add policy (Añadir directiva) que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
  • Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
  • Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.
  • Eliminar directivas.

Si añade una directiva de certeza, modifica su configuración o elimina una directiva, se revisará el estado del cumplimiento (Compliant/Non-compliant) de las imágenes a las que se aplica la directiva.

En esta sección

Crear una directiva de certeza

Editar la configuración de una directiva de certeza
Inicio de página
[Topic 250399]

Crear una directiva de certeza

Para añadir una directiva de certeza en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de certeza.

Para añadir una directiva de certeza:

  1. En la sección PoliciesAssurance policy, haga clic en el botón Add policy.

    Se abre la ventana de configuración de la directiva.

  2. Introduzca el nombre de la directiva y, si se requiere, una descripción.
  3. En el campo Scope, elija el alcance de la directiva de seguridad para imágenes a partir de las opciones disponibles.

    Si tiene la intención de implementar la directiva con el alcance predeterminado, uno de los roles de usuario debe contar con derechos para visualizar alcances predeterminados.

  4. Especifique las acciones que debería realizar Kaspersky Container Security de acuerdo con la directiva:
    • Fail CI/CD step: si Kaspersky Container Security Scanner detecta amenazas durante el análisis de una imagen en la canalización de CI/CD que coincide con el nivel de gravedad especificado en la directiva, el análisis finaliza y muestra un error. El resultado se envía al sistema de CI.
    • Label images as non-compliant: Kaspersky Container Security etiqueta las imágenes que contienen las amenazas detectadas que coinciden con los criterios especificados en la directiva.
  5. En la sección Vulnerability level, configure los siguientes parámetros:
    • Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de la vulnerabilidad.
    • Configure el nivel de gravedad según las bases de datos de vulnerabilidades. Puede elegir una opción de la lista desplegable Severity level o especificar un valor de 0-10.
    • Use los botones Disabled/Enabled para configurar el bloqueo en caso de que aparezcan vulnerabilidades específicas; puede detallarlas en el campo Vulnerabilities.
  6. En la sección Malware, use el botón Disabled/Enabled para configurar el análisis de malware en la imagen.
  7. En la sección Misconfigurations, configure los siguientes parámetros:
    • Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de las configuraciones incorrectas.
    • Elija una opción en la lista desplegable Severity level para determinar el nivel de gravedad de las configuraciones incorrectas.

      El nivel de gravedad se asigna según las bases de datos de vulnerabilidades.

  8. En la sección Sensitive data, configure los siguientes parámetros:
    • Use los botones Disabled/Enabled para configurar el análisis sobre la base del nivel de gravedad de los datos confidenciales.
    • Elija una opción en la lista desplegable Severity level para determinar el nivel de gravedad de los datos confidenciales.

      El nivel de gravedad se asigna según las bases de datos de vulnerabilidades.

  9. Haga clic en Save.

De forma predeterminada, la directiva que añada tendrá el estado Enabled.

Inicio de página
[Topic 266504]

Editar la configuración de una directiva de certeza

Puede editar la configuración de una directiva de seguridad para imágenes en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.

Para editar la configuración de una directiva de certeza:

  1. En la sección PoliciesAssurance policies, haga clic en el nombre de la directiva, en la lista de directivas de certeza existentes.

    Se abre la ventana de configuración de la directiva.

  2. Realice los cambios que desee:
    • Nombre, descripción y alcance de la directiva.
    • Acciones que realizará la solución según la directiva.
    • Análisis obligatorios.
    • Nivel de gravedad de las vulnerabilidades detectadas durante los análisis.
    • Número de vulnerabilidades para provocar un bloqueo.
  3. Haga clic en Save.
Inicio de página
[Topic 266506]

Directivas de respuesta

La directiva de respuesta define las acciones de la solución en caso de que ocurran los eventos especificados en la directiva. Por ejemplo, Kaspersky Container Security puede enviarle una notificación a un usuario acerca de las amenazas detectadas.

Si desea configurar directivas de respuesta para notificar a usuarios, primero debe configurar la integración a servicios de notificación.

En la sección PoliciesResponse policies, se muestran las directivas de respuesta configuradas en formato de tabla.

Puede utilizar la lista para hacer lo siguiente:

  • Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
  • Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
  • Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.

    Al desactivar una directiva, Kaspersky Container Security no realizará las allí acciones detalladas.

  • Buscar directivas. Para buscar una directiva, use el campo de búsqueda, que se encuentra encima de la lista de directivas de respuesta, y escriba parte del nombre o el nombre completo de la directiva.
  • Eliminar directivas.

En esta versión de la solución, las directivas de respuesta solo definen las acciones que realiza Kaspersky Container Security para notificar al usuario cuando ocurre un evento que se detalla en la directiva. Por ejemplo, si se detecta un objeto que tiene una vulnerabilidad crítica, la solución puede enviar una notificación por correo electrónico al usuario.

En esta sección

Crear una directiva de respuesta

Editar la configuración de una directiva de respuesta
Inicio de página
[Topic 250400]

Crear una directiva de respuesta

Para añadir una directiva de respuesta en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas de respuesta.

Para añadir una directiva de respuesta:

  1. En la sección PoliciesResponse policies, haga clic en el botón Add policy.

    Se abre la ventana de configuración de la directiva.

  2. Introduzca el nombre de la directiva y, si se requiere, una descripción.
  3. En el campo Scope, elija el alcance de la directiva de respuesta a partir de las opciones disponibles.

    Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.

  4. En el campo Trigger, use la lista desplegable para elegir el evento que provocará que Kaspersky Container Security envíe una notificación al usuario si dicho evento ocurre durante un análisis. Puede elegir uno de los siguientes eventos como desencadenante de una acción:
    • Sensitive data. Se envía una notificación si la solución detecta indicios de la exposición de datos confidenciales en un objeto durante un análisis.
    • Non-compliant. Kaspersky Container Security envía una notificación si las imágenes de contenedor analizadas no cumplen con los requisitos de las directivas de seguridad.
    • Critical vulnerabilities. Se envía una notificación si el objeto analizado contiene vulnerabilidades del tipo Crítica (Critical).
    • Malware. Se envía una notificación si se descubre malware durante el análisis.
    • Risk acceptance expiration. Kaspersky Container Security envía una notificación si el objeto analizado contiene riesgos que había aceptado anteriormente, pero el período de la aceptación de riesgos ha caducado.
  5. Configure los métodos de notificación necesarios:
    1. Elija una opción en Output: correo electrónico o Telegram.
    2. En la lista desplegable en el campo Integration name, elija el nombre de la integración al servicio de notificación que se configuró anteriormente.
    3. Para añadir otro método de notificación, haga clic en Add button y complete los campos descritos en los párrafos a y b.
    4. Si lo necesita, puede quitar los métodos de notificación añadidos si hace clic en el icono que se encuentra a la derecha del campo Integration name.
  6. Haga clic en Save.

De forma predeterminada, la directiva que añada tendrá el estado Enabled.

Inicio de página
[Topic 266507]

Editar la configuración de una directiva de respuesta

Puede editar la configuración de una directiva de respuesta en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.

Para editar la configuración de una directiva de respuesta:

  1. En la sección PoliciesResponse policies, haga clic en el nombre de la directiva, en la lista de directivas de respuesta existentes.

    Se abre la ventana de configuración de la directiva.

  2. De ser necesario, realice los cambios que desee:
    • Cambie el nombre de la directiva.
    • Añada o edite la descripción de una directiva.
    • Añada o edite el alcance de una directiva.
    • Cambie el evento desencadenante en la lista desplegable.
    • Haga clic en el botón Add para añadir un servicio de notificación.
    • Haga clic en el icono de eliminación (Icono "Eliminar".) que se encuentra junto a la línea del servicio de notificación elegido para eliminarlo.
  3. Haga clic en Save.

Inicio de página

[Topic 266508]

Directivas referentes a la ejecución

La directiva referente a la ejecución determina las acciones que realiza la solución al supervisar y controlar las operaciones de contenedores en entornos de ejecución según las directivas de seguridad. Kaspersky Container Security mantiene el control sobre la base de las amenazas de seguridad que se detectan en una imagen, su nivel de gravedad y la disponibilidad de

firmas digitales
.

Los contenedores en entornos de ejecución podrían ejecutarse a partir de imágenes verificadas o desde imágenes que la solución aún no conoce.

En la pestaña Policies, en PoliciesRuntime policies, encontrará una tabla que contiene las directivas referentes a la ejecución configuradas.

Puede utilizar la lista para hacer lo siguiente:

  • Añadir nuevas directivas. Haga clic en el botón Add policy que se encuentra encima de la tabla para abrir la ventana de configuración de directivas.
  • Modificar la configuración de las directivas. Haga clic en el enlace del nombre de la directiva para abrir la ventana de edición.
  • Activar y desactivar directivas. Para activar o desactivar directivas utilice los botones Disable/Enable en la columna Status de la tabla que contiene la lista de directivas creadas.

    Al desactivar una directiva, Kaspersky Container Security no realizará las allí acciones detalladas.

  • Buscar directivas. Para buscar una directiva, use el campo de búsqueda, que se encuentra encima de la lista de directivas de respuesta, y escriba parte del nombre o el nombre completo de la directiva.
  • Eliminar directivas.

Para funcionar de forma óptima, una directiva referente a la ejecución debe complementarse con perfiles para la ejecución de contenedores que definen las reglas y las restricciones para los contenedores ejecutados en entornos de ejecución.

En esta sección

Crear una directiva referente a la ejecución

Editar la configuración de una directiva referente a la ejecución

Administrar perfiles para la ejecución de contenedores

Administrar perfiles automáticos para la ejecución
Inicio de página
[Topic 264620]

Crear una directiva referente a la ejecución

Para añadir una directiva referente a la ejecución en Kaspersky Container Security es necesario tener los derechos para gestionar la configuración de directivas referentes a la ejecución.

Para añadir una directiva referente a la ejecución:

  1. En PoliciesRuntime policies, elija la pestaña Policies.
  2. Haga clic en el botón Add policy.

    Se abre la ventana de configuración de la directiva.

  3. De ser necesario, use los botones Disabled/Enabled para modificar el estado de la directiva. De forma predeterminada, la directiva que añada tendrá el estado Enabled.
  4. Introduzca el nombre de la directiva y, si se requiere, una descripción.
  5. En el campo Scope, elija el alcance de la directiva referente a la ejecución a partir de las opciones disponibles. Dado que las directivas referentes a la ejecución solo se utilizan en contenedores ejecutados o desplegados, puede elegir los alcances que contienen los recursos de todos los contenedores.

    No podrá elegir los alcances que solo contienen recursos de registros. De ser necesario, en la sección Container runtime profiles, puede determinar las imágenes y los pods particulares de la directiva referente a la ejecución que está creando, como se especificó en el paso 11.

    Si tiene la intención de implementar una directiva con alcance global, uno de los usuarios debe contar con derechos para visualizar alcances globales.

  6. En la sección Mode, elija uno de los siguientes modos de aplicación de directivas:
    • Audit. En este modo, el análisis considera los componentes de los contenedores.
    • Enforce. En este modo, la solución bloquea todos los objetos que no cumplen con las reglas ni con los criterios definidos en la directiva.

    Si un alcance incluye un objeto que está sujeto a una directiva referente a la ejecución en el modo Audit y otra directiva en el modo Enforce, se aplican todas las acciones especificadas en las directivas referentes a la ejecución en el modo Enforce.

  7. En la pestaña Admission controller, configure los siguientes parámetros:
    • En la sección Best practice check, use los botones Disabled/Enabled para activar el análisis del cumplimiento de las mejores prácticas de seguridad. En la lista de configuración, elija los parámetros del análisis que garanticen que se ejecute la imagen correcta y que el uso de CPU y RAM esté configurado de forma adecuada.
    • En la sección Block non-compliant images, use los botones Disabled/Enabled para evitar la ejecución de contenedores a partir de imágenes que no cumplen con los requisitos. Solo se verificarán las imágenes analizadas que están registradas en la solución y tienen el estado En cumplimiento (Compliant).
    • En la sección Block unregistered images, use los botones Disabled/Enabled para bloquear el despliegue de imágenes desconocidas para Kaspersky Container Security. Para desplegar la imagen , debe registrarla en la solución y aguardar a que aparezca en el registro.
    • En el bloque Dynamic Admission Controller bypass criteria, use los botones Disabled/Enabled para definir las exclusiones de la directiva referente a la ejecución. Para ello, debe elegir los objetos pertinentes en la lista desplegable, especificar sus nombres y luego hacer clic en Add.

      Al desplegar un contenedor, se verifican las exclusiones existentes de la directiva.

    • En la sección Capabilities block, use los botones Disabled/Enabled para bloquear el uso de determinadas funciones de Unix. Para ello, debe elegir funciones del sistema específicas en la lista desplegable. También puede elegir ALL en la lista desplegable para bloquear el uso de todas las funciones del sistema de Unix.
    • En la sección Image content protection, use los botones Disabled/Enabled para activar la verificación de las firmas digitales que confirman la integridad y el origen de las imágenes del contenedor. Para ello, realice las siguientes acciones:
      1. En el campo Image registry URL template, introduzca la plantilla de la dirección web del registro de imágenes donde desee verificar las firmas.
      2. En la lista desplegable, elija Check para activar la verificación o Don't check para desactivarla.
      3. En la lista desplegable, elija uno de los validadores de firmas en imágenes configurados.
      4. De ser necesario, puede hacer clic en el botón Add signature verification rule para añadir reglas de verificación de firmas. La solución aplicará diversas reglas de verificación de firmas en una única directiva referente a la ejecución.
    • En la sección Limit container privileges, use los botones Disabled/Enabled para bloquear el inicio de contenedores que tienen un determinado conjunto de derechos y permisos específicos. En la lista configuración, elija los derechos y los permisos para bloquear ciertos parámetros de los pods.
    • En la sección Registries allowed, use los botones Disabled/Enabled para permitir el despliegue de contenedores en un clúster solo a partir de registros específicos. Para ello, debe elegir los registros que desee en la lista desplegable Registries.
    • En la sección Volumes blocked, use los botones Disabled/Enabled para prevenir que se monten los volúmenes elegidos en los contenedores. Para ello, debe especificar los puntos para montar volúmenes en el sistema host, en el campo Volumes.

      El campo Volumes debe comenzar con una barra diagonal ("/") porque esto representa la ruta del sistema operativo.

  8. En la pestaña Container runtime, configure los siguientes parámetros:
    • En la sección Container runtime profiles, use los botones Disabled/Enabled para bloquear los procesos en contenedores y las conexiones de red de los pods. Para ello, realice las siguientes acciones:
      1. En la lista desplegable, elija un atributo para determinar los pods donde se aplicarán los perfiles para la ejecución de contenedores.
      2. Según el atributo elegido, realice lo siguiente:
        • Si eligió By pod labels, introduzca la clave y el valor de las etiquetas de los pods.

          También puede hacer clic en el botón Add label pair para añadir otras etiquetas a los pods elegidos.

        • Si eligió Image URL template, introduzca la plantilla de la dirección web del registro de imágenes.

          Si el clúster contiene imágenes del registro público de Docker Hub, la solución considerará tanto la ruta completa como la ruta abreviada a las imágenes. Por ejemplo, si especifica que la dirección URL de la imagen de contenedor en el clúster es docker.io/library/ubuntu:focal, la solución la aceptará de igual manera que ubuntu:focal.

          También puede hacer clic en el botón Add Image URL para añadir direcciones web a los pods elegidos.

        • Si eligió Image digest, introduzca el código hash de la imagen que se creó con el algoritmo hash SHA256. El prefijo sha256 no es obligatorio para especificar el código hash de la imagen (por ejemplo, sha256:ef957...eb43 o ef957...eb43).

          También puede hacer clic en el botón Add image digest para añadir otros códigos hash de imágenes a los pods elegidos.

      3. En el campo Container runtime profile, debe especificar uno o más perfiles para la ejecución que se aplicarán a los pods que coinciden con los atributos definidos.
      4. De ser necesario, puede usar el botón Add pod mapping para añadir otros pods que se asignarán. Los pods que tengan diferentes atributos o perfiles para la ejecución se asignarán en la misma directiva referente a la ejecución.
    • En la sección Container autoprofiles, use los botones Disabled/Enabled para activar el análisis de contenedores en el alcance especificado con los perfiles automáticos asociados a las imágenes de los contenedores.

      Si hace clic en el enlace Show autoprofiles attributed to the scope, podrá consultar todos los perfiles automáticos que se incluyen en el alcance. En la barra lateral que se abre, la solución mostrará la tabla que contiene la lista de perfiles automáticos. Para cada perfil automático, se muestran el nombre, la fecha y hora de la última modificación y la imagen asociada al perfil automático.

  9. Haga clic en el botón Add.
Inicio de página
[Topic 290415]

Editar la configuración de una directiva referente a la ejecución

Puede editar la configuración de una directiva referente a la ejecución en Kaspersky Container Security si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva.

Para editar la configuración de una directiva referente a la ejecución:

  1. En la sección PoliciesRuntime policiesPolicies, haga clic en el nombre de la directiva, en la lista de directivas referentes a la ejecución existentes.

    Se abre la ventana de configuración de la directiva.

  2. Cambie el estado y el nombre de la directiva.
  3. Añada o edite la descripción de una directiva.
  4. Añada o quite alcances.
  5. Elija el modo de la directiva: Audit o Enforce.
  6. En la pestaña Admission controller, modifique las secciones pertinentes de la directiva:
    • Best practice check.
    • Block non-compliant images.
    • Block unregistered images.
    • Dynamic Admission Controller bypass criteria.
    • Capabilities block.
    • Image content protection.
    • Limit container privileges.
    • Registries allowed.
    • Blocking volumes.
  7. En la pestaña Container runtime, modifique las secciones pertinentes de la directiva:
    • Container runtime profiles.
    • Container autoprofiles.
  8. Haga clic en Save.
Inicio de página
[Topic 290416]

Administrar perfiles para la ejecución de contenedores

Al implementar directivas referentes a la ejecución, Kaspersky Container Security puede aplicar las reglas definidas por el usuario para supervisar procesos y la red. Para ello, debe añadir perfiles para la ejecución a las directivas referentes a la ejecución adecuadas. En esencia, las directivas referentes a la ejecución son listas de restricciones para contenedores. Los perfiles de imágenes definen la configuración del despliegue de una imagen segura y las actividades seguras de una aplicación desplegada en una imagen. Las acciones de los perfiles pueden reducir significativamente las posibilidades de que se infiltren ciberdelincuentes en una red y, por otro lado, pueden mejorar la seguridad durante el funcionamiento de los contenedores en entornos de ejecución.

Los siguientes parámetros determinan las restricciones en el perfil de una imagen:

  • Archivos ejecutables que deben bloquearse
  • Restricciones de red para conexiones entrantes y salientes

Los perfiles para la ejecución de contenedores en directivas referentes a la ejecución se aplican a las imágenes que se ejecutan en entornos de orquestación con objetos dentro del clúster. Si un contenedor se inicia fuera del entorno de orquestación (por ejemplo, con los comandos docker run o ctr run), la solución no detectará malware en dicho contenedor.

La solución no analiza automáticamente en busca de malware cuando los objetos se guardan en un contenedor. Recomendamos proteger los archivos de contenedores que están fuera del entorno de orquestación.

En la pestaña Container runtime profiles, en PoliciesRuntime policies, encontrará la lista de directivas configuradas en formato de tabla. En esta sección, también puede hacer lo siguiente:

En esta sección

Crear un perfil para la ejecución

Ejemplos de perfiles para la ejecución configurados

Cambiar la configuración de un perfil para la ejecución

Eliminar un perfil para la ejecución
Inicio de página
[Topic 283062]

Crear un perfil para la ejecución

Para añadir un perfil para la ejecución de contenedores:

  1. En PoliciesRuntime policiesContainer runtime profiles, haga clic en el botón Add profile.

    Se abrirá la ventana para configurar el perfil.

  2. Introduzca el nombre del perfil para la ejecución y, de ser necesario, también una descripción.
  3. En la lista desplegable Scopes, elija uno o más alcances.

    En los perfiles para la ejecución, un alcance permite usar los perfiles de forma correcta en las directivas referentes a la ejecución.

  4. En File Threat Protection, use los botones Disabled/Enabled para activar el componente Protección frente a amenazas en archivos. Este componente se utilizará para buscar y analizar posibles amenazas en archivos; además, proporciona seguridad a los objetos en contenedores, como archivos comprimidos y archivos de correos electrónicos.

    Al aplicar un perfil para la ejecución, si ha activado el componente Protección frente a amenazas en archivos, Kaspersky Container Security activa la protección frente a amenazas en archivos en tiempo real en todos los nodos que están bajo el alcance definido por dicha directiva. La configuración de los agentes desplegados depende de cómo haya configurado Protección frente a amenazas en archivos. Si hace clic en el botón File Threat Protection settings, en la pestaña Container runtime profiles de la sección PoliciesRuntime, puede configurar el componente.

  5. En la sección Restrict container executable files, use los botones Disabled/Enabled para restringir archivos ejecutables según las reglas. En la lista, elija la opción de bloqueo que garantice que los contenedores tengan un rendimiento óptimo:
    • Block process from all executable files: la aplicación bloquea el inicio de todos los archivos ejecutables mientras el contenedor está iniciado.
    • Block specified executable files: la aplicación bloquea los archivos ejecutables que ha elegido en el campo Block the specified executable files. Puede bloquear todos los archivos ejecutables o algunos específicos. Debe detallar la ruta completa original al archivo ejecutable (por ejemplo, /bin/php). También puede usar la máscara * (por ejemplo, /bin/*) para aplicar una regla a todo un directorio y los subdirectorios.

      Puede detallar la lista de los archivos ejecutables permitidos y bloqueados si especifica exclusiones en las reglas de bloqueo. Por ejemplo, puede excluir la ruta /bin/cat para una regla aplicada a /bin/*. En este caso, se bloqueará el inicio de todos los archivos ejecutables del directorio /bin/, salvo la aplicación /bin/cat.

      Ejemplo con una ruta a archivos ejecutables

      Ruta directa a los archivos binarios ejecutables:

      /bin/bash

      Ruta a un directorio con la máscara *:

      /bin/*

      En este ejemplo, se permite la ejecución de todos los archivos ejecutables de los subdirectorios del directorio /bin/.

      Si trabaja con el archivo binario busybox que se entrega con muchas imágenes base de contenedor (como alpine), debe tener en cuenta que busybox contiene un conjunto de comandos para acceder a las aplicaciones sin necesidad de explicitarlas. Por ejemplo, el comando ls se usa para acceder al archivo ejecutable /bin/ls, que actúa como enlace simbólico a /bin/busybox. En este caso, debe especificar la ruta al archivo ejecutable de la siguiente manera: /bin/busybox/ls (es decir, debe concatenar la ruta original del archivo ejecutable /bin/busybox y el comando ls con el símbolo /).

      Si elige la casilla de verificación Allow exclusions, la aplicación bloqueará todos los archivos ejecutables, salvo los especificados en el campo Allow exclusions cuando se inicie y ejecute un contenedor.

      Todas las reglas y excepciones especificadas para estos parámetros son expresiones regulares (regex). En la solución, se emplean patrones e indicadores específicos para buscar todos los archivos que coinciden con una expresión regular en particular.

  6. En la sección Restrict ingress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones entrantes a un contenedor. Si activa esta restricción, Kaspersky Container Security bloqueará todos los orígenes de conexiones entrantes, salvo aquellos especificados en las exclusiones.

    Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más orígenes permitidos de las conexiones de red entrantes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:

    • Sources. En el campo Sources, introduzca una dirección IP o un rango de direcciones IP para el origen de conexiones de entrada mediante los enrutamientos CIDR4 o CIDR6.
    • En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.

      Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).

      Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.

  7. En la sección Restrict egress container connections, use los botones Disabled/Enabled para activar la restricción de conexiones salientes de un contenedor determinado.

    Si elige la casilla de verificación Allow exclusions, puede especificar los parámetros de uno o más destinos permitidos de las conexiones de red salientes. Para definir las exclusiones, debe especificar al menos uno de los siguientes parámetros:

    • Destinations. En el campo Destinations, introduzca una dirección IP o un rango de direcciones IP para el destino de una conexión de salida mediante los enrutamientos CIDR4 o CIDR6, o la dirección web (URL) de un destino.
    • En los campos TCP ports y UDP ports, debe introducir un puerto específico o un rango de puertos para la conexión.

      Si necesita detallar múltiples puertos, utilice una coma (por ejemplo, 8080, 8082).

      Si no especifica un valor para los puertos, la aplicación permitirá las conexiones en todos los puertos.

  8. En la sección File operations, use los botones Disabled/Enabled para activar la supervisión de operaciones en archivos que ocurran en el contenedor. Para ello, debe especificar los valores de los siguientes parámetros:
    • Path. No es obligatorio utilizar la barra diagonal (/) al final de las rutas a los archivos o carpetas. Puede permitir el acceso a todos los subdirectorios si escribe un asterisco (*) después de la barra diagonal (/) al final de la ruta.

      Al especificar rutas a archivos, debe introducir rutas completas que comiencen con una barra diagonal.

    • De ser necesario, en el campo Exclusions, puede especificar las rutas a los archivos cuyas operaciones no se supervisarán.
    • Operation type. Puede especificar las operaciones en archivos que supervisará la solución cuando la directiva referente a la ejecución esté aplicada. Para ello, utilice la casilla de verificación para elegir uno o más de los siguientes tipos de operaciones:
      • Create: la solución registra todas las operaciones de creación en archivos en los directorios especificados.
      • Open: la solución registra todas las operaciones de apertura de archivos.
      • Read: la solución registra todas las operaciones de lectura en archivos.
      • Write: la solución registra información sobre los cambios guardados en archivos.
      • Rename or move: la solución registra las operaciones que modifican el nombre de los archivos o mueven los archivos a otras carpetas.
      • Delete: la solución registra la información sobre la eliminación de archivos o carpetas de los directorios especificados.
      • Change access permissions: la solución registra la información sobre los cambios en los derechos de acceso a archivos y directorios.
      • Change ownership: la solución supervisa las operaciones que modifican al propietario de un archivo o una carpeta en el directorio especificado.

    De ser necesario, puede usar el botón Add rule para añadir reglas para la supervisión de operaciones en archivos. La solución aplicará diversas reglas de supervisión de operaciones en archivos dentro de una única directiva referente a la ejecución.

    En el caso de las operaciones en archivos, el modo Audit es el único compatible. Si se especifica el modo Enforce en la directiva referente a la ejecución pertinente, las operaciones en archivos se realizan en el modo Audit.

  9. Haga clic en el botón Add.

En la sección PoliciesRuntime policiesContainer runtime profiles, encontrará el perfil para la ejecución añadido.

Inicio de página
[Topic 296091]

Ejemplos de perfiles para la ejecución configurados

En la siguiente tabla, verá las imágenes utilizadas por la aplicación con mayor frecuencia y la configuración de las restricciones para las directivas referentes a la ejecución.

Imágenes y su configuración

Nombre de la imagen

Restricción de módulos ejecutables en contenedores

Restricción de conexiones de red

Nginx

Archivo ejecutable permitido:

/usr/sbin/nginx

Bloqueo de conexiones salientes

Mysql

Archivos ejecutables permitidos:

/usr/bin/awk

/bin/sleep

/usr/bin/mawk

/bin/mkdir

/usr/bin/mysql

/bin/chown

/usr/bin/mysql_tzinfo_to_sql

/bin/bash

/bin/sed

/usr/sbin/mysqld

Bloqueo de conexiones salientes

Wordpress

Archivos ejecutables permitidos:

/bin/dash

/usr/bin/mawk

/usr/bin/cut

/bin/bash

/usr/local/bin/php

/usr/bin/head

/usr/bin/sha1sum

/bin/tar

/bin/sed

/bin/rm

/usr/bin/awk

/bin/sh

/usr/sbin/apache2

/bin/chown

/usr/local/bin/apache2-foreground

/bin/ls

/bin/cat

Icono "No"

Nodo

Archivo ejecutable permitido:

/usr/local/bin/node

Bloqueo de conexiones salientes

MongoDB

Archivos ejecutables permitidos:

/bin/chown

/usr/local/bin/gosu

/usr/bin/mongod

/usr/bin/mongos

/usr/bin/mongo

/usr/bin/id

/bin/bash

/usr/bin/numactl

/bin/dash

/bin/sh

Icono "No"

HAProxy

Archivos ejecutables permitidos:

/bin/dash

/usr/bin/which

/usr/local/sbin/haproxy

/bin/busyboxal/sbin/haproxy-systemd-wrapper

/usr/loc

Icono "No"

Hipache

Archivos ejecutables permitidos:

/usr/bin/python2.7

/usr/bin/nodejs

/usr/bin/redis-server

/bin/dash

/usr/local/bin/hipache

Icono "No"

Drupal

Archivos ejecutables permitidos:

/bin/bash

/bin/rm

/usr/sbin/apache2

Icono "No"

Redis

Archivos ejecutables permitidos:

/bin/bash

/bin/chown

/usr/local/bin/gosu

/usr/bin/id

/usr/local/bin/redis-server

/bin/sh

/bin/dash

/sbin/redis-cli

/bin/redis-cli

/usr/sbin/redis-cli

/usr/bin/redis-cli

/usr/local/sbin/redis-cli

/usr/local/bin/redis-cli

/bin/busybox

Bloqueo de conexiones salientes

Tomcat

Archivos ejecutables permitidos:

/usr/bin/tty

/bin/uname

/usr/bin/dirname

/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java

/bin/dash

/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java

Bloqueo de conexiones salientes

Celery

Archivos ejecutables permitidos:

/bin/dash

/sbin/ldconfig

/bin/uname

/usr/local/bin/python3.4

/bin/sh

Icono "No"

Inicio de página

[Topic 265052]

Cambiar la configuración de un perfil para la ejecución

Para cambiar la configuración de un perfil para la ejecución de contenedores:

  1. En PoliciesRuntime policiesContainer runtime profiles, haga clic en el nombre del perfil en la lista de perfiles existentes para la ejecución de contenedores.
  2. En la ventana que se abre, modifique los valores de los siguientes parámetros que desee:
    • Nombre del perfil para la ejecución.
    • Descripción del perfil para la ejecución.
    • Scopes.
    • File threat protection
    • Restrict container executable files.
    • Restrict inbound network connections.
    • Restrict outbound network connections.
    • File operations
  3. Haga clic en Save.

Los cambios de la configuración de perfiles para la ejecución se aplican automáticamente al contenedor en ejecución y afectan a sus operaciones.

Inicio de página
[Topic 290421]

Eliminar un perfil para la ejecución

Para eliminar un perfil para la ejecución de contenedores:

  1. En la tabla que contiene los perfiles para la ejecución configurados, en PoliciesRuntime policiesImage profiles, haga clic en el icono de eliminación (Icono "Eliminar".), en la fila del nombre del perfil que desee eliminar.
  2. En la ventana que se abre, confirme la acción.
Inicio de página
[Topic 264973]

Administrar perfiles automáticos para la ejecución

Kaspersky Container Security puede supervisar procesos, tráfico de red y operaciones en archivos de contenedores y, luego, usar la información obtenida para crear de forma automática perfiles para la ejecución de contenedores. Este proceso de creación automática de perfiles se realiza dentro del período establecido por el usuario y del alcance elegido. Dicho alcance puede ser un clúster, un espacio de nombres o un pod.

El contenido del perfil generado automáticamente (perfil automático) depende de la configuración de la supervisión del nodo en el grupo de agentes. Para iniciar la creación automática de perfiles, debe activar la configuración de supervisión de conexiones de red, inicios de procesos y operaciones en archivos de contenedores para el grupo de agentes pertinente.

La creación de perfiles automáticos es única y emplea tres parámetros: nombre del clúster, nombre del espacio de nombres y nombre del código hash de la imagen. Por consiguiente, en un espacio de nombres, el perfil automático se crea para todos los contenedores de la compilación elegida de una imagen.

En esta sección

Crear un perfil automático para la ejecución

Visualizar lista de perfiles automáticos para la ejecución

Visualizar la configuración de un perfil automático para la ejecución

Editar la configuración de un perfil automático para la ejecución

Detener la creación de perfiles automáticos

Eliminar un perfil automático para la ejecución

Restricciones relacionadas con perfiles automáticos
Inicio de página
[Topic 283940]

Crear un perfil automático para la ejecución

Recomendamos reiniciar los pods después de que comience la creación automática del perfil de modo que la solución pueda registrar el inicio de los pods según las reglas. De esta forma, se evitará el bloqueo incorrecto de los pods cuando se reinicien.

Kaspersky Container Security permite crear perfiles automáticamente en tres niveles:

  • Nivel del clúster
  • Nivel del espacio de nombres
  • Nivel del pod

A nivel de clúster y de espacio de nombres, puede crear un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede crear un perfil automático mediante la tabla.

Para crear un perfil automático para la ejecución con la tabla que contiene la lista de objetos:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos, según el nivel en el cual está creando un perfil automático:
    • Si desea crear un perfil automático a nivel del clúster, en la tabla de clústeres, elija las casillas de verificación de uno o más clústeres.
    • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres.
    • Si desea crear un perfil automático a nivel del pod, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
      3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods.

    Asegúrese de que el proceso de creación automática de perfiles no esté ejecutándose en los objetos elegidos. De ser así, la solución no permitirá el inicio de otra tarea de creación automática de perfiles.

  3. Haga clic en el botón Build autoprofile que se encuentra encima de la tabla.

    En un determinado clúster, solo puede iniciar una sola tarea de creación de perfiles automáticos a la vez. La solución permitirá el inicio de una nueva tarea solo después de que la anterior haya finalizado o se haya detenido.

  4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

    El tiempo predeterminado son 60 minutos.

  5. Haga clic en Start.

    En la columna Autoprofiles de la tabla de objetos (clústeres, espacios de nombres o pods), la solución mostrará el tiempo que resta para la finalización de la creación automática de perfiles para el objeto o la cantidad de perfiles creados automáticamente para dicho objeto.

Para crear un perfil automático para la ejecución de contenedores a partir de un gráfico:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
    • Si desea crear un perfil automático a nivel del clúster, haga clic en el icono de clúster (Icono de clúster en Kubernetes), en el gráfico con espacios de nombres.
    • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
      2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (Icono de espacio de nombres en el gráfico).
  3. En el menú que se abre, elija Build autoprofile.

    Si el proceso de creación automática de perfiles ya se está ejecutando en el clúster, no podrá elegir Build autoprofile. Si tiene los derechos adecuados, puede detener la creación del perfil automático en el clúster determinado si elige Stop autoprofiling en el menú. También puede esperar a que finalice la tarea iniciada anteriormente. La solución solo permite la ejecución de una tarea de creación automática de perfiles en un clúster a la vez.

  4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

    El tiempo predeterminado son 60 minutos.

  5. Haga clic en Start.

En la sección PoliciesRuntime policiesAutoprofiles, verá los perfiles creados automáticamente para la ejecución.

Inicio de página
[Topic 287098]

Visualizar lista de perfiles automáticos para la ejecución

En la tabla en PoliciesRuntimeAutoprofiles, Kaspersky Container Security muestra una lista que contiene todos los perfiles automáticos para la ejecución creados. Para cada perfil automático, se muestra la siguiente información:

  • Nombre del perfil automático para la ejecución (concatenación de los siguientes datos):
    • Nombre del pod.
    • Nombre del espacio de nombres.
    • Nombre del clúster
    • Los primeros 12 caracteres de la suma de verificación de la imagen (después del prefijo de SHA256).

    Los componentes del nombre del perfil automático se separan con guiones bajos (por ejemplo, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).

  • Estado del perfil automático según la verificación que hizo el usuario: Verified o Not verified. De forma predeterminada, el estado del perfil automático al momento de la creación es Not verified.

    De ser necesario, puede usar los botones Verified/Not verified para modificar el estado del perfil automático en la tabla. También puede asignar el estado Verified a uno o más perfiles automáticos si hace clic en el botón Verify que se encuentra por encima de la tabla.

    Solo se pueden aplicar los perfiles automáticos que tengan el estado Verified.

  • Fecha y hora de la última modificación.
  • Clúster y espacio de nombres en los que se basa el perfil automático.
  • Imagen en cuya suma de verificación se basa el perfil automático.

Kaspersky Container Security también muestra una lista que contiene los perfiles automáticos para cada imagen cuyo código hash se usa para crear los perfiles.

Para ver la lista de perfiles automáticos para una imagen:

  1. Vaya a ResourcesRegistries.
  2. En el registro que desee, haga clic en el icono Icono de flecha hacia la derecha y expanda la lista de imágenes del registro. Las imágenes usadas para crear perfiles automáticos se marcan con el icono de creación automática de perfiles (Icono que indica la creación de un perfil automático para la ejecución).
  3. Haga clic en el nombre de una imagen y diríjase a la página que contiene información detallada sobre los resultados del análisis de dicha imagen.

    La lista que contiene todos los perfiles automáticos se muestra en forma de tabla, en la sección Associated autoprofiles. Para cada perfil automático, se muestra la siguiente información:

    • Nombre del perfil creado automáticamente. Haga clic en el nombre del perfil para abrir la ventana que contiene la descripción detallada del perfil. La información en esta ventana es de solo lectura.
    • Fecha y hora de la última modificación.
    • Clúster y espacio de nombres en los que se basa el perfil automático.
Inicio de página
[Topic 290621]

Visualizar la configuración de un perfil automático para la ejecución

Para visualizar los parámetros de los perfiles automáticos:

  1. En la sección PoliciesRuntime policiesAutoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
  2. En la barra lateral que se muestra, en las pestañas General y Building parameters, encontrará información sobre los parámetros de los perfiles automáticos elegidos. En la pestaña General, verá la siguiente información:
    • Estado del perfil automático.
    • Nombre del perfil automático para la ejecución.
    • Descripción del perfil automático para la ejecución (si se especificó de forma manual). De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
    • En Parameters, puede ver los parámetros de los siguientes módulos:
      • File threat protection
      • Restrict container executable files.
      • Restrict inbound network connections.
      • Restrict outbound network connections.
      • File operations

    De ser necesario, puede modificar los parámetros de los perfiles automáticos.

    En la pestaña Building parameters, verá los siguientes datos:

    • Nombre del perfil automático para la ejecución.
    • Fecha y hora de la última modificación del perfil automático.
    • Nombre del usuario que inició la creación del perfil automático.
    • Suma de verificación, espacio de nombres y clúster de la imagen que se usaron para el perfil automático.
    • Nombre de la imagen en cuya suma de verificación se basa el perfil automático. Si hace clic en el nombre de la imagen, puede ver los resultados del análisis de dicha imagen.
Inicio de página
[Topic 287239]

Editar la configuración de un perfil automático para la ejecución

Para editar los parámetros de los perfiles automáticos:

  1. En la sección PoliciesRuntime policiesAutoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
  2. De ser necesario, en la barra lateral que se muestra, en la pestaña General information, edite los valores todos los siguientes parámetros que desee:
    • Estado del perfil automático. Use los botones Verified/Not verified para modificar el estado del perfil automático a Verified o Not verified.
    • Nombre del perfil automático para la ejecución. Puede personalizar el nombre del perfil automático para reemplazar el que genera la solución.
    • Descripción del perfil automático para la ejecución. De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
    • En Parameters, edite los parámetros de supervisión de estados de la red de la siguiente manera:
      • File threat protection. De ser necesario, use los botones Disabled/Enabled para activar o desactivar el componente Protección frente a amenazas en archivos. De forma predeterminada, la opción File Threat Protection está desactivada.
      • Restrict container executable files. Puede especificar nombres y rutas de archivos que se bloquearán, además de excepciones.

        Si se están ejecutando procesos en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando se detecten eventos en los modos Audit y Enforce, la solución activa el parámetro Block specified executable files y todas las rutas únicas se indican en el campo Executables or path.
        • Si no hay ningún proceso en los modos Audit y Enforce, la solución aplica el parámetro Block all executable files.
        • Si se detectan otros eventos, la solución activa el parámetro Allow exclusions y especifica todos los valores de las rutas únicas en el campo Executables or path.
      • Restrict inbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones entrantes del contenedor.

        Si hay tráfico entrante en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando los eventos relativos a las conexiones entrantes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict inbound network connections.
        • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los recipientes únicos de las conexiones entrantes.
      • Restrict outbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones salientes del contenedor.

        Si hay tráfico saliente en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

        • Cuando los eventos relativos a las conexiones salientes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict outbound network connections.
        • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los orígenes únicos de las conexiones salientes.
      • File operations. Puede editar la configuración de la supervisión de las operaciones en archivos del contenedor.

        Si hay alguna acción en los contenedores de la compilación pertinente, al detectar un evento de gestión de archivos en los modos Audit y Enforce, la solución activa el parámetro File operations. En este caso, en el campo Path se indican todas las rutas únicas y las casillas de verificación de todos los tipos de operaciones detectadas se eligen en el campo Operation type.

        También puede hacer clic en Add rule para añadir las reglas que se aplicarán al supervisar operaciones en archivos.

      Si se activa un parámetro en la sección Settings, la solución determina la compilación específica de la imagen y analiza todos los contenedores desplegados de dicha compilación.

  3. Realice una de las siguientes acciones para guardar los cambios del perfil automático:
    • Para guardar los cambios sin modificar el estado del perfil automático a Verified, haga clic en Save.
    • Para guardar los cambios y modificar el estado del perfil automático a Verified, haga clic en Save and verify.
Inicio de página
[Topic 287235]

Detener la creación de perfiles automáticos

Si hay una tarea de creación de perfiles automáticos en ejecución en el clúster elegido, Kaspersky Container Security muestra el tiempo que resta hasta que finalice el proceso:

  • En la columna Autoprofiles de la tabla que contiene la lista de clústeres
  • En la columna Autoprofiles de la tabla que contiene la lista de espacios de nombres del clúster
  • En la columna Autoprofiles de la tabla que contiene la lista de pods en el espacio de nombres elegido del clúster

Puede detener un proceso de creación de perfiles automáticos en ejecución en los tres niveles:

  • Nivel del clúster
  • Nivel del espacio de nombres
  • Nivel del pod

A nivel de clúster y de espacio de nombres, puede detener la creación de un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede detener la creación de un perfil automático mediante la tabla.

La creación automática de perfiles se puede detener para un objeto completo del perfil (clúster, espacio de nombres o pod) o para entidades específicas del objeto del perfil (por ejemplo, espacios de nombres o pods elegidos).

Podrá detener el proceso de creación de perfiles automáticos si tiene los derechos necesarios.

Inicio de página

[Topic 290589]

Detener una tarea de creación de perfiles automáticos

Para detener una tarea de creación de perfiles automático con la tabla que contiene la lista de objetos:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos, según el nivel en el cual está deteniendo la creación de perfiles automáticos:
    • Si desea detener la creación automática a nivel del clúster, haga clic en la casilla de verificación para elegir uno o más clústeres para los que se ha iniciado la tarea.
    • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres para los que se ha iniciado la tarea.
    • Si desea detener la creación de un perfil automático a nivel del pod, siga estos pasos:
      1. Haga clic en el nombre del clúster en la tabla de clústeres.
      2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
      3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods para los cuales se ha iniciado la tarea.
  3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla.

    Si la lista de objetos elegidos incluye un clúster, un espacio de nombres o un subclúster donde no se ha iniciado el proceso de creación automática de tareas, el botón Stop autoprofiling no estará activo.

  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Para detener una tarea de creación de perfiles automáticos desde un gráfico:

  1. Vaya a ResourcesClusters.
  2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
    • Si desea detener una tarea de creación de perfiles automáticos a nivel del clúster, haga clic en el icono de clúster (Icono de clúster en Kubernetes), en el gráfico con espacios de nombres.
    • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga estos pasos:
      1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
      2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee (Icono de espacio de nombres en el gráfico).
  3. En el menú que se abre, elija Stop autoprofiling.
  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Inicio de página

[Topic 292046]

Detener la creación de perfiles automáticos para objetos específicos

Para detener la creación de perfiles automáticos para objetos específicos en una tarea:

  1. Inicie una tarea de creación de perfiles automáticos.
  2. Realice una de las siguientes acciones:
    • Si hay una tarea de creación de perfiles automáticos de un clúster en ejecución, realice lo siguiente:
      1. En la tabla que contiene la lista de clústeres, haga clic en el nombre del clúster para el que se crea un perfil automático.
      2. En la ventana que se abre, realice una de las siguientes acciones:
        • Elija uno o más espacios de nombres para los que desee detener la creación de perfiles automáticos.
        • Haga clic en el espacio de nombres y, en la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
    • Si hay una tarea de creación de perfiles automáticos de un espacio de nombres en ejecución, realice lo siguiente:
      1. En la tabla que contiene la lista de espacios de nombres, haga clic en el espacio de nombres para el que se crea un perfil automático.
      2. En la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
  3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla que contiene la lista de objetos.
  4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

    Kaspersky Container Security detendrá el proceso de creación de perfiles automáticos para los objetos elegidos. La solución continuará la ejecución de la tarea de creación de perfiles automáticos para los demás objetos en el clúster o el espacio de nombres.

Al detener la creación de perfiles automáticos para objetos específicos, no olvide que detener la tarea a nivel de un objeto más general, detendrá la tarea en su totalidad. Por ejemplo, una tarea de creación de perfiles automáticos se detiene por completo en los siguientes casos:

  • Si la tarea de creación de perfiles automáticos en espacios de nombres o pods está iniciada y la detiene a nivel del clúster que incluye los espacios de nombres o pods elegidos.
  • Si la tarea de creación de perfiles automáticos en pods está iniciada y la detiene a nivel del espacio de nombres que contiene los pods elegidos.

Inicio de página

[Topic 292052]

Eliminar un perfil automático para la ejecución

Para eliminar un perfil automático para la ejecución de contenedores:

  1. Abra la tabla de los perfiles automáticos para la ejecución en una de las siguientes secciones:
  2. Realice una de las siguientes acciones:
    • En la sección PoliciesRuntimeAutoprofiles, haga clic en la casilla de verificación para elegir el perfil automático que desee eliminar y haga clic en el botón Delete que se encuentra encima de la tabla.
    • En la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección ResourcesRegistries, en la fila del perfil automático que desee eliminar, haga clic en el ícono de eliminación (Icono "Eliminar".).
  3. En la ventana que se abre, confirme la acción.
Inicio de página
[Topic 287224]

Restricciones relacionadas con perfiles automáticos

Al trabajar con perfiles automáticos para la ejecución, tenga en cuenta las siguientes restricciones relativas a alcances y roles de usuarios:

  • Si no se añade una imagen a los alcances asignados al usuario como parte de un espacio de nombres del clúster, el usuario no puede acceder a los perfiles automáticos generados con el código hash de la imagen.

    Un usuario con alcance predeterminado podrá ver todos los perfiles automáticos que se han creado.

  • Si un usuario tiene los derechos para gestionar la creación de perfiles automáticos, podrá iniciar una tarea para crear un perfil automático, modificar la configuración y volver a generarlo.
  • Un usuario que no ha iniciado una tarea de creación de perfiles automáticos puede modificar la configuración, volver a crear un perfil automático y eliminarlo si se cumplen todas las siguientes condiciones:
    • El usuario tiene los derechos para gestionar la creación de perfiles automáticos.
    • Uno de los roles del usuario coincide con el rol de creación de perfiles automáticos cuando se creó el perfil automático.
    • Los alcances asignados al usuario incluyen la imagen (como parte del espacio de nombres del clúster) en la que se basa el perfil automático.
Inicio de página
[Topic 290938]

Eliminar directivas

Puede eliminar directivas de seguridad si la cuenta que usa tenía al menos un rol de creación de directivas cuando se creó dicha directiva. También necesitará otros derechos para gestionar los tipos de directivas correspondientes a fin de eliminarlas.

Para eliminar una directiva:

  1. Abra la lista de directivas de análisis, directivas de certeza, directivas de respuesta o directivas referentes a la ejecución que están configuradas.
  2. En la línea que contiene el nombre de la directiva que desee eliminar, haga clic en el icono Eliminar (Icono "Eliminar".).
  3. En la ventana que se abre, confirme la acción.

Si existen errores de configuración de la directiva de seguridad que bloquean el funcionamiento de Kaspersky Container Security y no puede gestionar la solución desde la Consola de administración, deberá eliminar las directivas de seguridad de forma manual.

Para eliminar una directiva de forma manual y restablecer el funcionamiento de la solución:

  1. Ejecute el siguiente comando para eliminar los agentes (kube-agent y node-agent) según corresponda:

    kubectl delete deployment kube-agent

    kubectl delete daemonset node-agent

  2. Ejecute este otro comando para eliminar todos los recursos del cliente en el clúster destino:

    kubectl get crd -o name | grep 'kcssecurityprofiles.securityprobe.kcs.com' | xargs kubectl delete

  3. Reinicie todos los pods de Kaspersky Container Security y acceda a la Consola de administración.
  4. Realice los cambios necesarios a las directivas de seguridad.
  5. Instale los gentes con la instrucción en formato .YAML.

Inicio de página

[Topic 266509]