Kaspersky Security для контейнеров

Политики среды выполнения

Политика среды выполнения определяет действия, которые решение выполняет для мониторинга и контроля запуска контейнеров в среде исполнения в соответствии с политиками безопасности. Kaspersky Security для контейнеров осуществляет контроль на основе обнаруженных в образе угроз безопасности, уровня критичности этих угроз и наличия

.

Контейнеры в среде исполнения могут запускаться из проверенных и еще неизвестных решению образов.

На вкладке Политики в разделе ПолитикиСреда выполнения в виде таблицы отображается список настроенных политик проверки среды выполнения.

В списке вы можете выполнять следующие действия:

  • Создавать новые политики. Окно ввода параметров политики открывается с помощью кнопки Добавить политику над списком.
  • Изменять параметры политики. Окно редактирования открывается по ссылке на названии политики.
  • Включать и выключать политики. Включение и выключение осуществляется с помощью переключателя Выключить / Включить в столбце Статус в таблице со списком созданных политик.

    Если вы выключите политику, Kaspersky Security для контейнеров не будет выполнять действия, указанные в такой политике.

  • Осуществлять поиск политик. Чтобы найти политику, в поле поиска над списком политик реагирования нужно указать название политики или его часть.
  • Удалять политики.

Для оптимальной работы политики среды выполнения требуется дополнить профилями среды выполнения для контейнеров, которые определяют правила и ограничения для работы контейнеров в среде выполнения.

В этом разделе

Создание политики среды выполнения

Изменение параметров политики среды выполнения

Работа с профилями среды выполнения контейнеров

Работа с автопрофилями среды выполнения

В начало
[Topic 264620]

Создание политики среды выполнения

Для создания политики среды выполнения в Kaspersky Security для контейнеров требуются права на управление параметрами политики среды выполнения.

Чтобы создать политику среды выполнения:

  1. В разделе ПолитикиСреда выполнения выберите вкладку Политики.
  2. Нажмите на кнопку Добавить политику.

    Откроется окно ввода параметров политики.

  3. При необходимости с помощью переключателя Выключено / Включено установите статус политики. По умолчанию политика создается в статусе Включено.
  4. Введите название политики и, если требуется, ее описание.
  5. В поле Область применения из предложенных вариантов выберите область применения для политики среды выполнения. Поскольку политики среды выполнения используются только в отношении развернутых и/или запускаемых контейнеров, для выбора доступны области применения, содержащие ресурсы по кластерам.

    Области применения, содержащие только ресурсы по реестрам, не доступны для выбора. При необходимости вы можете определить конкретные образы и поды для создаваемой политики среды выполнения в блоке Профили среды выполнения контейнеров, как указано в п.11.

    Если вы планируете реализовывать политику с глобальной областью применения, одной из ваших ролей должны быть предоставлены права на просмотр глобальных областей применения.

  6. В блоке Режим выберите один из следующих режимов применения политики:
    • Аудит. При сканировании в рамках этого режима осуществляется учет содержимого контейнеров.
    • Блокирование. В этом режиме решение блокирует все объекты, которые не соответствуют установленным в политике правилам и критериям.

    Если в области применения в отношении какого-либо объекта реализуются политика среды выполнения в режиме Аудит и политика среды выполнения в режиме Блокирование, все действия, указанные в политиках среды выполнения, применяются в режиме Блокирование.

  7. На вкладке Контроллер доступа настройте следующие параметры:
    • В блоке Проверка на соответствие лучшим практикам с помощью переключателя Выключено / Включено активируйте проверку на соответствие лучшим практикам обеспечения безопасности. Из списка настроек выберите настройки проверки, которые гарантируют запуск корректного образа и правильную конфигурацию параметров использования центрального процессора и оперативной памяти.
    • В блоке Предотвращение запуска контейнеров из несоответствующих требованиям образов с помощью переключателя Выключено / Включено активируйте блокировку запуска контейнеров из несоответствующих требованиям образов. Проверка будет проводиться только для зарегистрированных в решении и просканированных образов со статусом Соответствует.
    • В блоке Блокирование незарегистрированных образов с помощью переключателя Выключено / Включено заблокируйте развертывание образа, если образ не известен Kaspersky Security для контейнеров. Для развертывания образ требуется зарегистрировать в решении и дождаться его появления в реестре.
    • В блоке Исключения для динамического контроллера доступа с помощью переключателя Выключено / Включено определите исключения, в отношении которых политика среды выполнения не будет применяться. Для этого выберите из раскрывающихся списков объекты и укажите их названия, а затем нажмите Добавить.

      Имеющиеся в политике исключения проверяются при развертывании контейнера.

    • В блоке Блокирование системных функций с помощью переключателя Выключено / Включено активируйте блокировку использования заданных системных функций Unix. Для этого выберите из развертывающегося списка конкретные системные функции. Вы также можете заблокировать использование всех системных функций Unix, выбрав из раскрывающегося списка ALL.
    • В блоке Защита содержания образа с помощью переключателя Выключено / Включено активируйте проверку цифровых подписей, которые подтверждают целостность и происхождение образов в контейнере. Для этого выполните следующие действия:
      1. В поле Шаблон URL реестра образов введите шаблон веб-адреса реестра образов, в котором требуется проводить проверку подписей.
      2. Из раскрывающегося списка выберите Проверять, чтобы активировать проверку, или Не проверять, чтобы заблокировать проверку.
      3. Из раскрывающегося списка выберите один из настроенных модулей проверки подписей образов.
      4. При необходимости добавьте правила проверки подписей с помощью кнопки Добавить правило проверки подписей. Решение будет применять нескольких правил проверки подписей в рамках одной политики среды выполнения.
    • В блоке Ограничение по набору полномочий контейнера с помощью переключателя Выключено / Включено активируйте блокирование запуска контейнеров с определенным набором прав и полномочий. Из списка настроек выберите настройки прав и полномочий для блокирования параметров подов.
    • В блоке Использование разрешенных реестров с помощью переключателя Выключено / Включено установите разрешение на развертывание контейнеров в кластере только из определенных реестров. Для этого из раскрывающегося списка Реестры выберите нужные реестры.
    • В блоке Блокирование томов с помощью переключателя Выключено / Включено установите запрет на монтирование выбранных томов в контейнерах. Для этого в поле Тома укажите точки монтирования томов на хостовой системе.

      Значение в поле Тома должно начинаться с косой черты ("/"), поскольку оно представляет собой путь в операционной системе.

  8. На вкладке Среда выполнения контейнера настройте следующие параметры:
    • В блоке Профили среды выполнения контейнеров с помощью переключателя Выключено / Включено активируйте блокирование процессов внутри контейнеров и сетевых соединений для подов. Для этого выполните следующие действия:
      1. В раскрывающемся списке выберите признак для определения подов, к которым будут применены профили среды выполнения.
      2. В зависимости от выбранного признака выполните следующие действия:
        • Если вы выбрали Метки пода, введите ключ и значение метки пода.

          Вы можете добавить дополнительные метки для выбора подов, нажав на кнопку Добавить метку.

        • Если вы выбрали Шаблон URL образа, введите шаблон веб-адреса реестра образов.

          Если в кластере используются образы из внешнего реестра Docker Hub, решение воспринимает полный и сокращенный пути до образов равными по значению. Например, если вы указываете в кластере адрес образа контейнера docker.io/library/ubuntu:focal, решение будет считать равным ему значение ubuntu:focal.

          Вы можете добавить дополнительные веб-адреса для выбора подов, нажав на кнопку Добавить URL образа.

        • Если вы выбрали Хеш образа, введите контрольную сумму образа с использованием хеш-алгоритма SHA256. Вы можете указать контрольную сумму образа как с префиксом sha256, так и без него (например: sha256:ef957...eb43 или ef957...eb43).

          Вы можете добавить дополнительные контрольные суммы образов для выбора подов, нажав на кнопку Добавить хеш образа.

      3. В поле Профиль среды выполнения укажите один или несколько профилей среды выполнения, которые будут применяться к подам, соответствующим определенным вами признакам.
      4. При необходимости вы добавьте поды для сопоставления с помощью кнопки Добавить сопоставление подов. Поды с различными признаками или применяемыми профилями среды выполнения будут сопоставляться в рамках одной политики среды выполнения.
    • В блоке Автопрофили контейнеров с помощью переключателя Выключено / Включено активируйте проверку контейнеров в указанной области применения с помощью автопрофилей, которые связаны с образами в этих контейнерах.

      Вы можете посмотреть все автопрофили, входящие в область применения, нажав на ссылку Показать автопрофили, входящие в область применения. В открывшейся боковой панели решение показывает таблицу со списком автопрофилей. Для каждого из автопрофилей отображается название, дата и время последнего изменения, а также связанный с автопрофилем образ.

  9. Нажмите на кнопку Добавить.
В начало
[Topic 290415]

Изменение параметров политики среды выполнения

Вы можете изменить параметры политики среды выполнения в Kaspersky Security для контейнеров, если вашей учетной записи назначена хотя бы одна роль, которая была у автора политики на момент ее создания.

Чтобы изменить параметры политики среды выполнения:

  1. В разделе ПолитикиСреда выполненияПолитики нажмите на название политики в списке существующих политик среды выполнения.

    Откроется окно изменения параметров политики.

  2. Измените статус и название политики.
  3. Добавьте или измените описание политики.
  4. Добавьте или удалите области применения.
  5. Выберите режим применения политики – Аудит или Блокирование.
  6. На вкладке Контроллер доступа внесите изменения в интересующие вас блоки политики:
    • Проверка на соответствие лучшим практикам.
    • Предотвращение запуска контейнеров из несоответствующих требованиям образов.
    • Блокировка незарегистрированных образов.
    • Исключения для динамического контроллера доступа.
    • Блокировка системных функций.
    • Защита содержания образа.
    • Ограничение по набору полномочий контейнера.
    • Использование разрешенных реестров.
    • Блокировка томов.
  7. На вкладке Среда выполнения контейнера внесите изменения в интересующие вас блоки политики:
    • Профили среды выполнения контейнеров.
    • Автопрофили контейнеров.
  8. Нажмите на кнопку Сохранить.
В начало
[Topic 290416]

Работа с профилями среды выполнения контейнеров

При реализации политик среды выполнения Kaspersky Security для контейнеров может применять заданные вами правила мониторинга процессов и сети. Для этого в соответствующие политики среды выполнения требуется добавить профили среды выполнения, которые представляют собой списки ограничений для работы контейнеров. Профили образов задают параметры безопасного развертывания образов и безопасного поведения приложений, развернутых из образов. Осуществление действий, закрепленных в профилях, позволяет значительно снизить возможности злоумышленника при проникновении внутрь объекта и повысить уровень защиты при работе контейнеров в среде выполнения.

Ограничения в составе профиля среды выполнения описывают следующие параметры:

  • Подлежащие блокировке исполняемые файлы.
  • Сетевые ограничения на входящие и исходящие соединения.

Профили среды выполнения в политиках среды выполнения применяются в отношении образов, которые запущены в средах оркестрации с помощью объектов в составе кластера. Если контейнер запускается вне среды оркестрации (например, с помощью команды docker run или ctr run), решение не выявит вредоносное ПО в таком контейнере.

Решение не осуществляет автоматический поиск вредоносного ПО при сохранении объектов в контейнере. Мы рекомендуем вам обеспечить дополнительную защиту контейнеризированных файлов вне среды оркестрации.

Список настроенных профилей отображается в виде таблицы на вкладке Профили среды выполнения в разделе ПолитикиСреда выполнения. В этом разделе вы также можете выполнять следующие действия:

В этом разделе

Создание профиля среды выполнения

Примеры настроенных профилей среды выполнения

Изменение параметров профиля среды выполнения

Удаление профиля среды выполнения

В начало
[Topic 283062]

Создание профиля среды выполнения

Чтобы создать профиль среды выполнения контейнера:

  1. В разделе ПолитикиСреда выполненияПрофили среды выполнения нажмите на кнопку Добавить профиль.

    Откроется окно ввода параметров профиля.

  2. Введите название профиля среды выполнения и при необходимости его описание.
  3. В раскрывающемся списке Области применения выберите одну или несколько областей применения.

    Области применения в профилях среды исполнения используются для дальнейшего правильного использования профилей в политиках среды выполнения.

  4. В блоке Защита от файловых угроз с помощью переключателя Выключено / Включено активируйте компонент Защита от файловых угроз. Он используется для поиска и анализа потенциальных файловых угроз, а также обеспечивает безопасность контейнеризированных объектов, в том числе архивов и файлов электронной почты.

    Когда применяется профиль среды выполнения с включенным компонентом Защита от файловых угроз, Kaspersky Security для контейнеров активирует защиту от файловых угроз в реальном времени на всех узлах в составе областей применения, заданных для такой политики. Конфигурация разворачиваемых агентов зависит от настроек параметров, которые вы укажете для компонента Защита от файловых угроз. Вы можете настроить параметры защиты от файловых угроз, нажав на кнопку Параметры компонента Защита от файловых угроз на вкладке Профили среды выполнения в разделе ПолитикиСреда выполнения.

  5. В блоке Ограничение исполняемых файлов контейнера с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
    • Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
    • Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. Необходимо указывать полный оригинальный путь для исполняемого файла (например, /bin/php). При этом можно указать маску *, например, /bin/*, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории.

      Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для /bin/* в исключениях можно указать путь /bin/cat. При этом будет запрещен запуск всех исполняемых файлов из директории /bin/, кроме приложения /bin/cat.

      Пример пути к исполняемым файлам

      Указание прямого пути к бинарным исполняемым файлам:

      /bin/bash

      Указание директории с помощью маски *:

      /bin/*

      В этом примере разрешается запуск всех исполняемым файлов из поддиректорий директории /bin/.

      При работе с бинарным файлом busybox, который поставляется во многих базовых образах для контейнеров (например, в alpine), необходимо учитывать, что busybox содержит в себе набор команд для вызова приложений без явного указания вызываемых приложений. Например, команда ls используется для быстрого вызова исполняемого файла /bin/ls, который в свою очередь является символической ссылкой на /bin/busybox. В этом случае необходимо указывать путь до исполняемого файла следующим образом: /bin/busybox/ls (то есть требуется объединить оригинальный путь исполняемого файла /bin/busybox и его команды ls с помощью символа /).

      Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.

      Все указанные для этого блока параметров правила и исключения являются регулярными выражениями (regexp). Решение использует заданные шаблоны и флаги для поиска всех файлов, которые соответствуют определенному регулярному выражению.

  6. В блоке Ограничение входящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.

    Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

    • Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
    • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

      Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

      Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

  7. В блоке Ограничение исходящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.

    Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

    • Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
    • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

      Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

      Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

  8. В блоке Файловые операции с помощью переключателя Выключено / Включено активируйте возможность мониторинга файловых операций в контейнере. Для этого укажите значения для следующих параметров:
    • Путь. Пути к файлам или папкам можно указать как с использованием косой черты (/) в конце пути, так и без нее. Вы можете разрешить доступ ко всем поддиректориям, поставив звездочку (*) после косой черты (/) в конце пути.

      При определении путей к файлам указываются только полные пути, которые начинаются с косой черты (/).

    • При необходимости в поле Исключения вы можете указать пути к файлам, для которых не будет осуществляться мониторинг файловых операций.
    • Тип операции. Вы можете указать файловые операции, которые решение будет отслеживать при применении политики среды выполнения. Для этого с помощью флажка выберите один, несколько или все типы операций в следующем списке:
      • Создание – решение регистрирует все операции по созданию файлов в указанных директориях.
      • Открытие – решение фиксирует все операции по открытию файлов.
      • Чтение – решение отслеживает операции по чтению файлов.
      • Запись – решение фиксирует информацию о сохранении изменений в файлах.
      • Переименование или перемещение – решение регистрирует операции, связанные с изменением имени файлов или перемещения файлов в другие папки.
      • Удаление – решение записывает информацию об удалении файлов или папок из указанных директорий.
      • Изменение прав доступа – решение фиксирует информацию об изменении прав доступа к файлам и директориям.
      • Изменение владельца файла – решение отслеживает операции, связанные с изменением владельца файла или папки в указанной директории.

    При необходимости добавьте правила для мониторинга файловых операций с помощью кнопки Добавить правило. Решение будет применять нескольких правил мониторинга файловых операций в рамках одной политики среды выполнения.

    Для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

  9. Нажмите на кнопку Добавить.

Созданный профиль среды выполнения отображается в разделе ПолитикиСреда выполненияПрофили среды выполнения.

В начало
[Topic 296091]

Примеры настроенных профилей среды выполнения

В таблице ниже приводятся некоторые часто используемые решением образы и параметры настроенных для них ограничений в профилях среды выполнения.

Образы и настроенные в них параметры

Название образа

Ограничение исполняемых модулей контейнера

Ограничение сетевых соединений

Nginx

Разрешенный исполняемый файл:

/usr/sbin/nginx

Запрет исходящих соединений

Mysql

Разрешенные исполняемые файлы:

/usr/bin/awk

/bin/sleep

/usr/bin/mawk

/bin/mkdir

/usr/bin/mysql

/bin/chown

/usr/bin/mysql_tzinfo_to_sql

/bin/bash

/bin/sed

/usr/sbin/mysqld

Запрет исходящих соединений

Wordpress

Разрешенные исполняемые файлы:

/bin/dash

/usr/bin/mawk

/usr/bin/cut

/bin/bash

/usr/local/bin/php

/usr/bin/head

/usr/bin/sha1sum

/bin/tar

/bin/sed

/bin/rm

/usr/bin/awk

/bin/sh

/usr/sbin/apache2

/bin/chown

/usr/local/bin/apache2-foreground

/bin/ls

/bin/cat

Значок "Нет".

Node

Разрешенный исполняемый файл:

/usr/local/bin/node

Запрет исходящих соединений

MongoDB

Разрешенные исполняемые файлы:

/bin/chown

/usr/local/bin/gosu

/usr/bin/mongod

/usr/bin/mongos

/usr/bin/mongo

/usr/bin/id

/bin/bash

/usr/bin/numactl

/bin/dash

/bin/sh

Значок "Нет".

HAProxy

Разрешенные исполняемые файлы:

/bin/dash

/usr/bin/which

/usr/local/sbin/haproxy

/bin/busyboxal/sbin/haproxy-systemd-wrapper

/usr/loc

Значок "Нет".

Hipache

Разрешенные исполняемые файлы:

/usr/bin/python2.7

/usr/bin/nodejs

/usr/bin/redis-server

/bin/dash

/usr/local/bin/hipache

Значок "Нет".

Drupal

Разрешенные исполняемые файлы:

/bin/bash

/bin/rm

/usr/sbin/apache2

Значок "Нет".

Redis

Разрешенные исполняемые файлы:

/bin/bash

/bin/chown

/usr/local/bin/gosu

/usr/bin/id

/usr/local/bin/redis-server

/bin/sh

/bin/dash

/sbin/redis-cli

/bin/redis-cli

/usr/sbin/redis-cli

/usr/bin/redis-cli

/usr/local/sbin/redis-cli

/usr/local/bin/redis-cli

/bin/busybox

Запрет исходящих соединений

Tomcat

Разрешенные исполняемые файлы:

/usr/bin/tty

/bin/uname

/usr/bin/dirname

/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java

/bin/dash

/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java

Запрет исходящих соединений

Celery

Разрешенные исполняемые файлы:

/bin/dash

/sbin/ldconfig

/bin/uname

/usr/local/bin/python3.4

/bin/sh

Значок "Нет".

В начало
[Topic 265052]

Изменение параметров профиля среды выполнения

Чтобы изменить параметры профиля среды выполнения:

  1. В разделе ПолитикиСреда выполненияПрофили среды выполнения нажмите на название профиля в списке существующих профилей среды выполнения контейнеров.
  2. В открывшемся окне при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
    • Название профиля среды выполнения.
    • Описание профиля среды выполнения.
    • Области применения.
    • Защита от файловых угроз.
    • Ограничение исполняемых файлов контейнера.
    • Ограничение входящих сетевых соединений.
    • Ограничение исходящих сетевых соединений.
    • Файловые операции.
  3. Нажмите на кнопку Сохранить.

Изменения параметров профиля среды выполнения сразу же применяются к запущенному контейнеру и влияют на его работу.

В начало
[Topic 290421]

Удаление профиля среды выполнения

Чтобы удалить профиль среды выполнения контейнера:

  1. В таблице настроенных профилей среды выполнения в разделе ПолитикиСреда выполненияПрофили образов нажмите на значок удаления (Иконка "Удалить".) в строке с названием профиля, который вы хотите удалить.
  2. Подтвердите удаление в открывшемся окне.
В начало
[Topic 264973]

Работа с автопрофилями среды выполнения

Kaspersky Security для контейнеров предоставляет возможность осуществлять мониторинг процессов, сетевого трафика и файловых операций в контейнерах, чтобы затем использовать полученную информацию для автоматического формирования профилей среды выполнения. Процесс автопрофилирования выполняется в течение заданного пользователем времени и в рамках выбранной области применения. Такой областью являются кластер, пространство имен или под.

Наполнение автоматически формируемого профиля (далее – автопрофиль) данными зависит от настроек группы агентов по мониторингу состояния узлов. Для запуска автопрофилирования необходимо активировать настройки по мониторингу сетевых соединений, запускаемых процессов и выполняемых файловых операций контейнеров для соответствующей группы агентов.

Уникализация автопрофиля осуществляется по совокупности трех параметров: имя кластера, название пространства имен и контрольная сумма образа. Соответственно, в рамках одного пространства имен автопрофиль формируется по всем контейнерам с выбранной сборкой образа.

В этом разделе

Создание автопрофиля среды выполнения

Просмотр списка автопрофилей среды выполнения

Просмотр параметров автопрофиля среды выполнения

Изменение параметров автопрофиля среды выполнения

Остановка автопрофилирования

Удаление автопрофиля среды выполнения

Ограничения при работе с автопрофилями

В начало
[Topic 283940]

Создание автопрофиля среды выполнения

Мы рекомендуем вам перезапустить поды после начала автопрофилирования, чтобы решение зафиксировало старт подов в своих правилах. Это позволит избежать ошибочных запретов в случае перезапуска подов.

Kaspersky Security для контейнеров предоставляет возможность создания автопрофилей на трех уровнях:

  • На уровне кластера.
  • На уровне пространства имен.
  • На уровне пода.

На уровне кластера и пространства имен вы можете создать автопрофиль с помощью таблицы со списком кластеров или пространств имен, либо из графа объектов в составе кластера. Создание автопрофиля на уровне пода осуществляется только с помощью таблицы.

Чтобы создать автопрофиль среды выполнения контейнера с помощью таблицы со списком объектов:

  1. Перейдите в раздел РесурсыКластеры.
  2. Выполните следующие действия в зависимости от уровня создания автопрофиля:
    • Если вы хотите создать автопрофиль на уровне кластера, в таблице со списком кластеров с помощью флажка выберите один или несколько кластеров.
    • Если вы хотите создать автопрофиль на уровне пространства имен, выполните следующие действия:
      1. Нажмите на имя кластера в таблице со списком кластеров.
      2. На вкладке Таблица в таблице со списком пространств имен в составе кластера с помощью флажка выберите одно или несколько пространств имен.
    • Если вы хотите создать автопрофиль на уровне пода, выполните следующие действия:
      1. Нажмите на имя кластера в таблице со списком кластеров.
      2. Нажмите на название пространства имен в таблице со списком пространств имен в составе кластера.
      3. В открывшейся боковой панели на вкладке Поды и контейнеры в таблице со списком подов в составе пространства имен с помощью флажка выберите один или несколько подов.

    Убедитесь, что в выбранных объектах не запущен процесс автопрофилирования. Если процесс запущен, решение не разрешит запустить еще одну задачу на автопрофилирование в рамках выбранного кластера.

  3. Нажмите на кнопку Создать автопрофиль, расположенную над таблицей.

    Вы можете запустить только одну задачу на создание автопрофиля в кластере в определенный момент. Решение разрешит запустить новую задачу на автопрофилирование только после завершения или остановки выполнения ранее запущенной задачи.

  4. В открывшемся окне укажите период, в течение которого будет осуществляться автопрофилирование. Этот период может длиться от 1 до 1440 минут.

    По умолчанию установлено значение 60 минут.

  5. Нажмите на кнопку Запустить.

    В столбце Автопрофили в таблице со списком объектов (кластеров, пространств имен или подов) решение отобразит время, оставшееся до конца автопрофилирования в этом объекте, или количество созданных для него автопрофилей.

Чтобы создать автопрофиль среды выполнения контейнера из графа:

  1. Перейдите в раздел РесурсыКластеры.
  2. Выполните следующие действия на вкладке Граф в зависимости от уровня создания автопрофиля:
    • Если вы хотите создать автопрофиль на уровне кластера, нажмите на левую кнопку мыши на значке кластера (Значок кластера в Кубернетес.) на графе пространств имен.
    • Если вы хотите создать автопрофиль на уровне пространства имен, выполните следующие действия:
      1. Двойным щелчком мыши раскройте группу пространств имен в составе кластера на графе.
      2. Нажмите на левую кнопку мыши на значке интересующего вас пространства имен (Значок пространства имен на графе.) на графе пространств имен.
  3. В открывшемся меню выберите Создать автопрофиль.

    Если процесс автопрофилирования в кластере уже запущен, вы не сможете выбрать Создать автопрофиль. Вы можете остановить создание автопрофиля в выбранном кластере, выбрав в меню Остановить автопрофилирование, если у вас есть соответствующие права, или дождаться завершения ранее запущенной задачи по автопрофилированию. Решение разрешает запускать только одну задачу на автопрофилирование в кластере в определенный момент.

  4. В открывшемся окне укажите период, в течение которого будет осуществляться автопрофилирование. Этот период может длиться от 1 до 1440 минут.

    По умолчанию установлено значение 60 минут.

  5. Нажмите на кнопку Запустить.

Созданные автопрофили среды выполнения отображаются в разделе ПолитикиСреда выполненияАвтопрофили.

В начало
[Topic 287098]

Просмотр списка автопрофилей среды выполнения

Kaspersky Security для контейнеров отображает список всех созданных автопрофилей среды выполнения в таблице в разделе ПолитикиСреда выполненияАвтопрофили. По каждому автопрофилю отображается следующая информация:

  • Название автопрофиля, которое представляет собой последовательное указание следующего:
    • Имя пода.
    • Название пространства имен.
    • Имя кластера.
    • 12 первых символов контрольной суммы образа (после префикса SHA256).

    В названии автопрофиля указанные данные между собой соединяются с помощью подчеркивания (например, kube-company_sampled-operations_docker-cluster__9a74fc18ee07).

  • Статус автопрофиля относительно его проверки пользователем: Проверенный или Непроверенный. По умолчанию автопрофиль создается со статусом Непроверенный.

    При необходимости с помощью переключателя Проверено / Не проверено вы можете изменить статус автопрофиля в таблице. Также одному или нескольким автопрофилям можно присвоить статус Проверенный, нажав на кнопку Проверить, расположенную над таблицей.

    Автопрофиль может применяться только со статусом Проверенный.

  • Дата и время последнего изменения.
  • Кластер и пространство имен, на основе которых был сформирован автопрофиль.
  • Образ, на основе контрольной суммы которого был создан автопрофиль.

Также Kaspersky Security для контейнеров отображает список автопрофилей для каждого образа, на основе хеша которого создавались автопрофили.

Чтобы посмотреть список автопрофилей, созданных для образа:

  1. Перейдите в раздел РесурсыРеестры.
  2. В интересующем вас реестре нажмите на значок Значок стрелки, направленной вправо. и раскройте список образов в составе этого реестра. Образы, на основе которых созданы автопрофили, отмечены значком автопрофилирования (Значок создания автопрофиля среды выполнения.).
  3. Нажав на имя образа, перейдите на страницу с подробной информацией о результатах сканирования этого образа.

    Список всех автопрофилей для образа представлен в виде таблицы в блоке Связанные автопрофили. Для каждого автопрофиля отображается следующая информация:

    • Название автопрофиля. Нажав на название автопрофиля, вы откроете окно с детальным описанием автопрофиля. Информация в этом окне доступна только для просмотра.
    • Дата и время последнего изменения.
    • Кластер и пространство имен, на основе которых был сформирован автопрофиль.
В начало
[Topic 290621]

Просмотр параметров автопрофиля среды выполнения

Чтобы посмотреть параметры автопрофиля:

  1. В разделе ПолитикиСреда выполненияАвтопрофили нажмите на название автопрофиля в списке созданных автопрофилей среды выполнения контейнеров.
  2. В открывшейся боковой панели на вкладках Общая информация и Параметры создания автопрофиля представлена информация о настроенных параметрах выбранного автопрофиля. На вкладке Общая информация отображается следующее:
    • Статус автопрофиля.
    • Название автопрофиля среды выполнения.
    • Описание автопрофиля среды выполнения, если оно было указано вручную. По умолчанию при автопрофилировании описание автопрофиля не добавляется.
    • В блоке Параметры вы можете посмотреть параметры следующих модулей:
      • Защита от файловых угроз.
      • Ограничение исполняемых файлов контейнера.
      • Ограничение входящих сетевых соединений.
      • Ограничение исходящих сетевых соединений.
      • Файловые операции.

    При необходимости вы можете внести изменения в параметры автопрофиля.

    На вкладке Параметры создания автопрофиля отображаются следующие данные:

    • Название автопрофиля среды выполнения.
    • Дата и время последнего изменения автопрофиля.
    • Имя пользователя, который является инициатором создания автопрофиля.
    • Контрольная сумма образа, пространство имен и кластер, на основе которых был создан автопрофиль.
    • Имя образа, на основе контрольной суммы которого был создан автопрофиль. Вы можете посмотреть результаты сканирования этого образа, нажав на имя образа.
В начало
[Topic 287239]

Изменение параметров автопрофиля среды выполнения

Чтобы изменить параметры автопрофиля:

  1. В разделе ПолитикиСреда выполненияАвтопрофили нажмите на название автопрофиля в списке созданных автопрофилей среды выполнения контейнеров.
  2. В открывшейся боковой панели на вкладке Общая информация при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
    • Статус автопрофиля. С помощью переключателя Проверено / Не проверено измените статус автопрофиля на Проверенный или Непроверенный.
    • Название автопрофиля среды выполнения. Вы можете указать собственное название автопрофиля, заменив автоматически созданное решением.
    • Описание автопрофиля среды выполнения. По умолчанию при автопрофилировании описание автопрофиля не добавляется.
    • В блоке Параметры измените параметры мониторинга состояния сети следующим образом:
      • Защита от файловых угроз. При необходимости с помощью переключателя Выключено / Включено активируйте или отключите защиту от файловых угроз. По умолчанию настройки в рамках блока Защита от файловых угроз выключены.
      • Ограничение исполняемых файлов контейнера. Вы можете указать конкретные файлы для блокирования и пути к ним, а также указать исключения.

        Если внутри контейнеров в рассматриваемой сборке запущены процессы, решение выполняет следующие действия:

        • При обнаружении событий в рамках процессов в режимах Аудит и Блокирование решение активирует параметр Блокировать указанные исполняемые файлы и в поле Путь к исполняемым файлам или директориям указывает все уникальные значения путей.
        • При отсутствии событий в рамках процессов в режимах Аудит и Блокирование решение применяет параметр Блокировать запуск всех исполняемых файлов.
        • При обнаружении отличных от указанных выше событий решение активирует параметр Разрешить исключения и в поле Путь к исполняемым файлам или директориям указывает все уникальные значения путей.
      • Ограничение входящих сетевых соединений. При необходимости с помощью переключателя Выключено / Включено вы можете отключить возможность ограничивать входящие соединения контейнера.

        Если в контейнерах в рассматриваемой сборке наблюдается входящий трафик, решение выполняет следующие действия:

        • При обнаружении событий, связанных с входящими соединениями, в режимах Аудит и Блокирование решение активирует параметр Ограничение входящих сетевых соединений.
        • При отсутствии событий, связанных с входящим трафиком, в режимах Аудит и Блокирование или обнаружении других событий решение активирует параметр Разрешить исключения. В полях Источники, TCP-порты и UDP-порты указываются все уникальные значения получателей входящих соединений.
      • Ограничение исходящих сетевых соединений. При необходимости с помощью переключателя Выключено / Включено вы можете отключить возможность ограничивать исходящие соединения.

        Если в контейнерах в рассматриваемой сборке наблюдается исходящий трафик, решение выполняет следующие действия:

        • При обнаружении событий, связанных с исходящими соединениями, в режимах Аудит и Блокирование решение активирует параметр Ограничение исходящих сетевых соединений.
        • При отсутствии событий, связанных с входящим трафиком, в режимах Аудит и Блокирование или обнаружении других событий решение активируется параметр Разрешить исключения. В полях Источники, TCP-порты и UDP-порты указываются все уникальные значения источников исходящих соединений.
      • Файловые операции. Вы можете изменить параметры для мониторинга файловых операций в контейнере.

        Если внутри контейнеров в рассматриваемой сборке наблюдаются действия, при обнаружении событий по управлению файлами в режимах Аудит и Блокирование решение активирует параметр Файловые операции. При этом в поле Путь указываются все уникальные значения путей, а в поле Тип операции флажками отмечаются все найденные типы операций.

        Также с помощью кнопки Добавить правило вы можете добавлять дополнительные правила для применения при мониторинге файловых операций.

      Если параметр в блоке Параметры включен, решение определяет конкретную сборку образа и просматривает все контейнеры, развернутые из этой сборки.

  3. Сохраните изменения в автопрофиле, выполнив одно из следующих действий:
    • Для сохранения без изменения статуса автопрофиля на Проверенный нажмите на кнопку Сохранить.
    • Для сохранения и изменения статуса автопрофиля на Проверенный нажмите на кнопку Сохранить и проверить.
В начало
[Topic 287235]

Остановка автопрофилирования

Если в выбранном кластере запущена задача по созданию автопрофиля, Kaspersky Security для контейнеров информирует о времени до завершения процесса следующим образом:

  • в столбце Автопрофили таблицы со списком кластеров;
  • в столбце Автопрофили таблицы со списком пространств имен в составе кластера;
  • в столбце Автопрофили таблицы со списком подов в составе выбранного пространства имен в кластере.

Вы можете остановить запущенный процесс автопрофилирования на трех уровнях:

  • На уровне кластера.
  • На уровне пространства имен.
  • На уровне пода.

На уровне кластера и пространства имен вы можете остановить создание автопрофиля с помощью таблицы со списком кластеров или пространств имен, либо из графа объектов в составе кластера. Остановка автопрофилирования на уровне пода осуществляется только с помощью таблицы.

Автопрофилирование можно остановить как для всего объекта профилирования (кластера, пространства имен или пода), так и для определенных сущностей в составе объекта профилирования (например, для выбранных пространств имен или подов).

Вы можете остановить запущенный процесс автопрофилирования, если у вас есть необходимые права.

В начало
[Topic 290589]

Остановка выполнения задачи по автопрофилированию

Чтобы остановить выполнение задачи по автопрофилированию с помощью таблицы со списком объектов:

  1. Перейдите в раздел РесурсыКластеры.
  2. Выполните следующие действия в зависимости от уровня, на котором останавливается процесс автопрофилирования:
    • Если вы хотите остановить автопрофилирование на уровне кластера, в таблице со списком кластеров с помощью флажка выберите один или несколько кластеров, для которых запущена задача по созданию автопрофиля.
    • Если вы хотите остановить автопрофилирование на уровне пространства имен, выполните следующие действия:
      1. Нажмите на имя кластера в таблице со списком кластеров.
      2. На вкладке Таблица в таблице со списком пространств имен в составе кластера с помощью флажка выберите одно или несколько пространств имен, для которых запущена задача по созданию автопрофиля.
    • Если вы хотите остановить автопрофилирование на уровне пода, выполните следующие действия:
      1. Нажмите на имя кластера в таблице со списком кластеров.
      2. Нажмите на название пространства имен в таблице со списком пространств имен в составе кластера.
      3. В открывшейся боковой панели на вкладке Поды и контейнеры в таблице со списком подов в составе пространства имен с помощью флажка выберите один или несколько подов, для которых запущена задача по созданию автопрофиля.
  3. Нажмите на кнопку Остановить автопрофилирование, расположенную над таблицей.

    Если в список выбранных объектов попал кластер, пространство имен или под, где не запущен процесс автопрофилирования, кнопка Остановить автопрофилирование становится неактивной.

  4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

Чтобы остановить выполнение задачи по автопрофилированию из графа:

  1. Перейдите в раздел РесурсыКластеры.
  2. Выполните следующие действия на вкладке Граф в зависимости от уровня создания автопрофиля:
    • Если вы хотите остановить задачу по автопрофилированию на уровне кластера, нажмите на левую кнопку мыши на значке кластера (Значок кластера в Кубернетес.) на графе пространств имен.
    • Если вы хотите остановить задачу по автопрофилированию на уровне пространства имен, выполните следующие действия:
      1. Двойным щелчком мыши раскройте группу пространств имен в составе кластера на графе.
      2. Нажмите на левую кнопку мыши на значке интересующего вас пространства имен (Значок пространства имен на графе.) на графе пространств имен.
  3. В открывшемся меню выберите Остановить автопрофилирование.
  4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

В начало
[Topic 292046]

Остановка автопрофилирования для отдельных объектов

Чтобы остановить автопрофилирование для отдельных объектов в задаче по автопрофилированию:

  1. Запустите задачу по созданию автопрофиля.
  2. Выполните одно из следующих действий:
    • Если выполняется задача по автопрофилированию кластера, выполните следующее:
      1. В таблице со списком кластеров нажмите на название кластера, для которого создается автопрофиль.
      2. В открывшемся окне выполните одно из следующих действий:
        • Выберите одно или несколько пространств имен, для которых вы хотите остановить автопрофилирование.
        • Нажмите на название пространства имен и в открывшемся окне выберите один или несколько подов, для которых вы хотите остановить автопрофилирование.
    • Если выполняется задача по автопрофилированию пространства имен, выполните следующее:
      1. В таблице со списком пространств имен в составе кластера нажмите на название пространства имен, для которого создается автопрофиль.
      2. В открывшемся окне выберите один или несколько подов, для которых вы хотите остановить автопрофилирование.
  3. Нажмите на кнопку Остановить создание автопрофиля, расположенную над таблицей со списком объектов.
  4. Нажмите на кнопку Остановить, чтобы подтвердить остановку процесса автопрофилирования.

    Kaspersky Security для контейнеров остановит процесс автопрофилирования в отношении выбранных объектов. Решение продолжит выполнять задачу по созданию автопрофиля для остальных объектов в составе кластера или пространства имен.

При остановке автопрофилирования для отдельных объектов требуется учитывать правило, согласно которому остановка задачи на уровне более масштабного объекта приводит к полной отмене выполнения задачи. Так, задача по автопрофилированию полностью отменяется в следующих случаях:

  • Если запущена задача на автопрофилирование пространств имен или подов, и вы останавливаете создание автопрофиля на уровне кластера, в состав которого входят выбранные пространства имен или поды.
  • Если запущена задача на автопрофилирование подов, и вы останавливаете создание автопрофиля на уровне пространства имен, в состав которого входят выбранные поды.

В начало
[Topic 292052]

Удаление автопрофиля среды выполнения

Чтобы удалить автопрофиль среды выполнения контейнера:

  1. Откройте таблицу созданных автопрофилей среды выполнения в одном из следующих разделов:
  2. Выполните одно из следующих действий:
    • В разделе ПолитикиСреда выполненияАвтопрофили с помощью флажка выберите автопрофиль, который вы хотите удалить, и нажмите на кнопку Удалить, расположенную над таблицей.
    • На странице с подробной информацией о результатах сканирования образа в разделе РесурсыРеестры в строке с названием автопрофиля, который вы хотите удалить, нажмите на значок удаления (Иконка "Удалить".).
  3. Подтвердите удаление в открывшемся окне.
В начало
[Topic 287224]

Ограничения при работе с автопрофилями

При работе с автопрофилями среды выполнения необходимо учитывать следующие ограничения, связанные с областями применения и ролями пользователя:

  • Если в назначенные пользователю области применения не добавлен образ в составе пространства имен в кластере, пользователю недоступны автопрофили, сформированные на основе хеша этого образа.

    Пользователь, которому назначена глобальная область применения, может просматривать все созданные автопрофили.

  • Пользователь может инициировать задачу на создание автопрофиля, изменять параметры и повторно формировать автопрофиль, если у него есть права на управление автопрофилированием.
  • Пользователь, который не является инициатором задачи на создание автопрофиля, может изменять параметры, повторно формировать и удалять автопрофиль, если выполняются все следующие условия:
    • у пользователя есть права на управление автопрофилированием;
    • одна из ролей пользователя совпадает с ролью инициатора задачи на создание автопрофиля во время создания такого автопрофиля;
    • назначенные пользователю области применения включают в себя образ (в составе пространства имен в кластере), на основе контрольной суммы которого был создан автопрофиль.
В начало
[Topic 290938]