Administrar perfiles automáticos para la ejecución

Kaspersky Container Security puede supervisar procesos, tráfico de red y operaciones en archivos de contenedores y, luego, usar la información obtenida para crear de forma automática perfiles para la ejecución de contenedores. Este proceso de creación automática de perfiles se realiza dentro del período establecido por el usuario y del alcance elegido. Dicho alcance puede ser un clúster, un espacio de nombres o un pod.

El contenido del perfil generado automáticamente (perfil automático) depende de la configuración de la supervisión del nodo en el grupo de agentes. Para iniciar la creación automática de perfiles, debe activar la configuración de supervisión de conexiones de red, inicios de procesos y operaciones en archivos de contenedores para el grupo de agentes pertinente.

La creación de perfiles automáticos es única y emplea tres parámetros: nombre del clúster, nombre del espacio de nombres y nombre del código hash de la imagen. Por consiguiente, en un espacio de nombres, el perfil automático se crea para todos los contenedores de la compilación elegida de una imagen.

Crear un perfil automático para la ejecución

Recomendamos reiniciar los pods después de que comience la creación automática del perfil de modo que la solución pueda registrar el inicio de los pods según las reglas. De esta forma, se evitará el bloqueo incorrecto de los pods cuando se reinicien.

Kaspersky Container Security permite crear perfiles automáticamente en tres niveles:

• Nivel del clúster
• Nivel del espacio de nombres
• Nivel del pod

A nivel de clúster y de espacio de nombres, puede crear un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede crear un perfil automático mediante la tabla.

Para crear un perfil automático para la ejecución con la tabla que contiene la lista de objetos:

1. Vaya a Resources → Clusters.
2. Siga estos pasos, según el nivel en el cual está creando un perfil automático:
   • Si desea crear un perfil automático a nivel del clúster, en la tabla de clústeres, elija las casillas de verificación de uno o más clústeres.
   • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
     1. Haga clic en el nombre del clúster en la tabla de clústeres.
     2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres.
   • Si desea crear un perfil automático a nivel del pod, siga los siguientes pasos:
     1. Haga clic en el nombre del clúster en la tabla de clústeres.
     2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
     3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods.

   Asegúrese de que el proceso de creación automática de perfiles no esté ejecutándose en los objetos elegidos. De ser así, la solución no permitirá el inicio de otra tarea de creación automática de perfiles.

3. Haga clic en el botón Build autoprofile que se encuentra encima de la tabla.

   En un determinado clúster, solo puede iniciar una sola tarea de creación de perfiles automáticos a la vez. La solución permitirá el inicio de una nueva tarea solo después de que la anterior haya finalizado o se haya detenido.

4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

   El tiempo predeterminado son 60 minutos.

5. Haga clic en Start.

   En la columna Autoprofiles de la tabla de objetos (clústeres, espacios de nombres o pods), la solución mostrará el tiempo que resta para la finalización de la creación automática de perfiles para el objeto o la cantidad de perfiles creados automáticamente para dicho objeto.

Para crear un perfil automático para la ejecución de contenedores a partir de un gráfico:

1. Vaya a Resources → Clusters.
2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
   • Si desea crear un perfil automático a nivel del clúster, haga clic en el icono de clúster (), en el gráfico con espacios de nombres.
   • Si desea crear un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
     1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
     2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee ().
3. En el menú que se abre, elija Build autoprofile.

   Si el proceso de creación automática de perfiles ya se está ejecutando en el clúster, no podrá elegir Build autoprofile. Si tiene los derechos adecuados, puede detener la creación del perfil automático en el clúster determinado si elige Stop autoprofiling en el menú. También puede esperar a que finalice la tarea iniciada anteriormente. La solución solo permite la ejecución de una tarea de creación automática de perfiles en un clúster a la vez.

4. Se abrirá una ventana; allí, debe especificar la duración de la creación automática de perfiles. Este período puede ser de 1-1440 minutos.

   El tiempo predeterminado son 60 minutos.

5. Haga clic en Start.

En la sección Policies → Runtime policies → Autoprofiles, verá los perfiles creados automáticamente para la ejecución.

Visualizar lista de perfiles automáticos para la ejecución

En la tabla en Policies → Runtime → Autoprofiles, Kaspersky Container Security muestra una lista que contiene todos los perfiles automáticos para la ejecución creados. Para cada perfil automático, se muestra la siguiente información:

• Nombre del perfil automático para la ejecución (concatenación de los siguientes datos):
  • Nombre del pod.
  • Nombre del espacio de nombres.
  • Nombre del clúster
  • Los primeros 12 caracteres de la suma de verificación de la imagen (después del prefijo de SHA256).

  Los componentes del nombre del perfil automático se separan con guiones bajos (por ejemplo, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).

• Estado del perfil automático según la verificación que hizo el usuario: Verified o Not verified. De forma predeterminada, el estado del perfil automático al momento de la creación es Not verified.

  De ser necesario, puede usar los botones Verified/Not verified para modificar el estado del perfil automático en la tabla. También puede asignar el estado Verified a uno o más perfiles automáticos si hace clic en el botón Verify que se encuentra por encima de la tabla.

  Solo se pueden aplicar los perfiles automáticos que tengan el estado Verified.

• Fecha y hora de la última modificación.
• Clúster y espacio de nombres en los que se basa el perfil automático.
• Imagen en cuya suma de verificación se basa el perfil automático.

Kaspersky Container Security también muestra una lista que contiene los perfiles automáticos para cada imagen cuyo código hash se usa para crear los perfiles.

Para ver la lista de perfiles automáticos para una imagen:

1. Vaya a Resources → Registries.
2. En el registro que desee, haga clic en el icono y expanda la lista de imágenes del registro. Las imágenes usadas para crear perfiles automáticos se marcan con el icono de creación automática de perfiles ().
3. Haga clic en el nombre de una imagen y diríjase a la página que contiene información detallada sobre los resultados del análisis de dicha imagen.

   La lista que contiene todos los perfiles automáticos se muestra en forma de tabla, en la sección Associated autoprofiles. Para cada perfil automático, se muestra la siguiente información:

   • Nombre del perfil creado automáticamente. Haga clic en el nombre del perfil para abrir la ventana que contiene la descripción detallada del perfil. La información en esta ventana es de solo lectura.
   • Fecha y hora de la última modificación.
   • Clúster y espacio de nombres en los que se basa el perfil automático.

Visualizar la configuración de un perfil automático para la ejecución

Para visualizar los parámetros de los perfiles automáticos:

1. En la sección Policies → Runtime policies → Autoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
2. En la barra lateral que se muestra, en las pestañas General y Building parameters, encontrará información sobre los parámetros de los perfiles automáticos elegidos. En la pestaña General, verá la siguiente información:
   • Estado del perfil automático.
   • Nombre del perfil automático para la ejecución.
   • Descripción del perfil automático para la ejecución (si se especificó de forma manual). De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
   • En Parameters, puede ver los parámetros de los siguientes módulos:
     • File threat protection
     • Restrict container executable files.
     • Restrict inbound network connections.
     • Restrict outbound network connections.
     • File operations

   De ser necesario, puede modificar los parámetros de los perfiles automáticos.

   En la pestaña Building parameters, verá los siguientes datos:

   • Nombre del perfil automático para la ejecución.
   • Fecha y hora de la última modificación del perfil automático.
   • Nombre del usuario que inició la creación del perfil automático.
   • Suma de verificación, espacio de nombres y clúster de la imagen que se usaron para el perfil automático.
   • Nombre de la imagen en cuya suma de verificación se basa el perfil automático. Si hace clic en el nombre de la imagen, puede ver los resultados del análisis de dicha imagen.

Editar la configuración de un perfil automático para la ejecución

Para editar los parámetros de los perfiles automáticos:

1. En la sección Policies → Runtime policies → Autoprofiles, haga clic en el nombre del perfil automático, en la lista que contiene los perfiles automáticos para la ejecución creados.
2. De ser necesario, en la barra lateral que se muestra, en la pestaña General information, edite los valores todos los siguientes parámetros que desee:
   • Estado del perfil automático. Use los botones Verified/Not verified para modificar el estado del perfil automático a Verified o Not verified.
   • Nombre del perfil automático para la ejecución. Puede personalizar el nombre del perfil automático para reemplazar el que genera la solución.
   • Descripción del perfil automático para la ejecución. De forma predeterminada, no se añade ninguna descripción durante la creación automática de perfiles.
   • En Parameters, edite los parámetros de supervisión de estados de la red de la siguiente manera:
     • File threat protection. De ser necesario, use los botones Disabled/Enabled para activar o desactivar el componente Protección frente a amenazas en archivos. De forma predeterminada, la opción File Threat Protection está desactivada.
     • Restrict container executable files. Puede especificar nombres y rutas de archivos que se bloquearán, además de excepciones.

       Si se están ejecutando procesos en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

       • Cuando se detecten eventos en los modos Audit y Enforce, la solución activa el parámetro Block specified executable files y todas las rutas únicas se indican en el campo Executables or path.
       • Si no hay ningún proceso en los modos Audit y Enforce, la solución aplica el parámetro Block all executable files.
       • Si se detectan otros eventos, la solución activa el parámetro Allow exclusions y especifica todos los valores de las rutas únicas en el campo Executables or path.
     • Restrict inbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones entrantes del contenedor.

       Si hay tráfico entrante en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

       • Cuando los eventos relativos a las conexiones entrantes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict inbound network connections.
       • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los recipientes únicos de las conexiones entrantes.
     • Restrict outbound network connections. De ser necesario, puede usar los botones Disabled/Enabled para desactivar la restricción de conexiones salientes del contenedor.

       Si hay tráfico saliente en los contenedores de la compilación pertinente, la solución realizará las siguientes acciones:

       • Cuando los eventos relativos a las conexiones salientes se detecten en los modos Audit y Enforce, la solución activa el parámetro Restrict outbound network connections.
       • Si no hay ningún evento relacionado con el tráfico entrante en los modos Audit y Enforce o, si se detectan otros eventos, la solución activa el parámetro Allow exclusions. En los campos Sources, TCP ports y UDP ports, verá todos los orígenes únicos de las conexiones salientes.
     • File operations. Puede editar la configuración de la supervisión de las operaciones en archivos del contenedor.

       Si hay alguna acción en los contenedores de la compilación pertinente, al detectar un evento de gestión de archivos en los modos Audit y Enforce, la solución activa el parámetro File operations. En este caso, en el campo Path se indican todas las rutas únicas y las casillas de verificación de todos los tipos de operaciones detectadas se eligen en el campo Operation type.

       También puede hacer clic en Add rule para añadir las reglas que se aplicarán al supervisar operaciones en archivos.

     Si se activa un parámetro en la sección Settings, la solución determina la compilación específica de la imagen y analiza todos los contenedores desplegados de dicha compilación.

3. Realice una de las siguientes acciones para guardar los cambios del perfil automático:
   • Para guardar los cambios sin modificar el estado del perfil automático a Verified, haga clic en Save.
   • Para guardar los cambios y modificar el estado del perfil automático a Verified, haga clic en Save and verify.

Detener la creación de perfiles automáticos

Si hay una tarea de creación de perfiles automáticos en ejecución en el clúster elegido, Kaspersky Container Security muestra el tiempo que resta hasta que finalice el proceso:

• En la columna Autoprofiles de la tabla que contiene la lista de clústeres
• En la columna Autoprofiles de la tabla que contiene la lista de espacios de nombres del clúster
• En la columna Autoprofiles de la tabla que contiene la lista de pods en el espacio de nombres elegido del clúster

Puede detener un proceso de creación de perfiles automáticos en ejecución en los tres niveles:

• Nivel del clúster
• Nivel del espacio de nombres
• Nivel del pod

A nivel de clúster y de espacio de nombres, puede detener la creación de un perfil automático mediante una tabla que contenga una lista de clústeres o espacios de nombres o mediante un gráfico con objetos del clúster. A nivel de pod, solo se puede detener la creación de un perfil automático mediante la tabla.

La creación automática de perfiles se puede detener para un objeto completo del perfil (clúster, espacio de nombres o pod) o para entidades específicas del objeto del perfil (por ejemplo, espacios de nombres o pods elegidos).

Podrá detener el proceso de creación de perfiles automáticos si tiene los derechos necesarios.

Inicio de página

Detener una tarea de creación de perfiles automáticos

Para detener una tarea de creación de perfiles automático con la tabla que contiene la lista de objetos:

1. Vaya a Resources → Clusters.
2. Siga estos pasos, según el nivel en el cual está deteniendo la creación de perfiles automáticos:
   • Si desea detener la creación automática a nivel del clúster, haga clic en la casilla de verificación para elegir uno o más clústeres para los que se ha iniciado la tarea.
   • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga los siguientes pasos:
     1. Haga clic en el nombre del clúster en la tabla de clústeres.
     2. En la pestaña Table, en la tabla que contiene la lista de espacios de nombres del clúster, haga clic en las casillas de verificación para elegir uno o más espacios de nombres para los que se ha iniciado la tarea.
   • Si desea detener la creación de un perfil automático a nivel del pod, siga estos pasos:
     1. Haga clic en el nombre del clúster en la tabla de clústeres.
     2. Haga clic en el espacio de nombres, en la tabla de espacios de nombres del clúster.
     3. En la barra lateral que aparece, elija la pestaña Pods and containers y, en la tabla que contiene los pods del espacio de nombres, elija las casillas de verificación para uno o más pods para los cuales se ha iniciado la tarea.
3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla.

   Si la lista de objetos elegidos incluye un clúster, un espacio de nombres o un subclúster donde no se ha iniciado el proceso de creación automática de tareas, el botón Stop autoprofiling no estará activo.

4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Para detener una tarea de creación de perfiles automáticos desde un gráfico:

1. Vaya a Resources → Clusters.
2. Siga estos pasos en la pestaña Graph view, según el nivel al que esté creando un perfil automático:
   • Si desea detener una tarea de creación de perfiles automáticos a nivel del clúster, haga clic en el icono de clúster (), en el gráfico con espacios de nombres.
   • Si desea detener la creación de un perfil automático a nivel del espacio de nombres, siga estos pasos:
     1. Haga doble clic en el grupo de espacios de nombres en el clúster del gráfico.
     2. En el gráfico con espacios de nombres, haga clic en el icono del espacio de nombres que desee ().
3. En el menú que se abre, elija Stop autoprofiling.
4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

Inicio de página

Detener la creación de perfiles automáticos para objetos específicos

Para detener la creación de perfiles automáticos para objetos específicos en una tarea:

1. Inicie una tarea de creación de perfiles automáticos.
2. Realice una de las siguientes acciones:
   • Si hay una tarea de creación de perfiles automáticos de un clúster en ejecución, realice lo siguiente:
     1. En la tabla que contiene la lista de clústeres, haga clic en el nombre del clúster para el que se crea un perfil automático.
     2. En la ventana que se abre, realice una de las siguientes acciones:
        • Elija uno o más espacios de nombres para los que desee detener la creación de perfiles automáticos.
        • Haga clic en el espacio de nombres y, en la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
   • Si hay una tarea de creación de perfiles automáticos de un espacio de nombres en ejecución, realice lo siguiente:
     1. En la tabla que contiene la lista de espacios de nombres, haga clic en el espacio de nombres para el que se crea un perfil automático.
     2. En la ventana que se abre, elija uno o más pods para los que desee detener la creación de perfiles automáticos.
3. Haga clic en el botón Stop autoprofiling que se encuentra encima de la tabla que contiene la lista de objetos.
4. Haga clic en el botón Stop para confirmar la detención del proceso de creación automática de perfiles.

   Kaspersky Container Security detendrá el proceso de creación de perfiles automáticos para los objetos elegidos. La solución continuará la ejecución de la tarea de creación de perfiles automáticos para los demás objetos en el clúster o el espacio de nombres.

Al detener la creación de perfiles automáticos para objetos específicos, no olvide que detener la tarea a nivel de un objeto más general, detendrá la tarea en su totalidad. Por ejemplo, una tarea de creación de perfiles automáticos se detiene por completo en los siguientes casos:

• Si la tarea de creación de perfiles automáticos en espacios de nombres o pods está iniciada y la detiene a nivel del clúster que incluye los espacios de nombres o pods elegidos.
• Si la tarea de creación de perfiles automáticos en pods está iniciada y la detiene a nivel del espacio de nombres que contiene los pods elegidos.

Inicio de página

Eliminar un perfil automático para la ejecución

Para eliminar un perfil automático para la ejecución de contenedores:

1. Abra la tabla de los perfiles automáticos para la ejecución en una de las siguientes secciones:
   • En la sección Policies → Runtime → Autoprofiles
   • En la sección Associated autoprofiles, en la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección Resources → Registries
2. Realice una de las siguientes acciones:
   • En la sección Policies → Runtime → Autoprofiles, haga clic en la casilla de verificación para elegir el perfil automático que desee eliminar y haga clic en el botón Delete que se encuentra encima de la tabla.
   • En la página que contiene información detallada sobre los resultados del análisis de la imagen, en la sección Resources → Registries, en la fila del perfil automático que desee eliminar, haga clic en el ícono de eliminación ().
3. En la ventana que se abre, confirme la acción.

Restricciones relacionadas con perfiles automáticos

Al trabajar con perfiles automáticos para la ejecución, tenga en cuenta las siguientes restricciones relativas a alcances y roles de usuarios:

• Si no se añade una imagen a los alcances asignados al usuario como parte de un espacio de nombres del clúster, el usuario no puede acceder a los perfiles automáticos generados con el código hash de la imagen.

  Un usuario con alcance predeterminado podrá ver todos los perfiles automáticos que se han creado.

• Si un usuario tiene los derechos para gestionar la creación de perfiles automáticos, podrá iniciar una tarea para crear un perfil automático, modificar la configuración y volver a generarlo.
• Un usuario que no ha iniciado una tarea de creación de perfiles automáticos puede modificar la configuración, volver a crear un perfil automático y eliminarlo si se cumplen todas las siguientes condiciones:
  • El usuario tiene los derechos para gestionar la creación de perfiles automáticos.
  • Uno de los roles del usuario coincide con el rol de creación de perfiles automáticos cuando se creó el perfil automático.
  • Los alcances asignados al usuario incluyen la imagen (como parte del espacio de nombres del clúster) en la que se basa el perfil automático.