Пользователи, роли и области применения

В этом разделе описана работа с пользователями и ролями пользователей и приведены инструкции по их созданию, изменению и удалению. Также в разделе представлены возможности разграничения доступа для ролей пользователей с помощью областей применения.

Управление пользователями

Доступ к Kaspersky Security для контейнеров могут иметь несколько пользователей. Для каждого пользователя создается учетная запись и присваивается одна или несколько ролей пользователя.

Список пользователей Kaspersky Security для контейнеров отображается в таблице в разделе Администрирование → Управление доступом → Пользователи.

Вы можете выполнять следующие действия:

• Добавлять пользователей.
• Просматривать и изменять параметры учетных записей пользователей.
• Сбрасывать пароль для выбранных учетных записей.
• Удалять пользователей.
• Сортировать значения в списке пользователей, нажав значок в соответствующем столбце (отображаемое имя пользователя, имя пользователя, назначенная роль). Сортировка осуществляется в прямом и обратном алфавитном порядке.
• Осуществлять поиск по имени пользователя с помощью поля Поиск по имени пользователя над таблицей.

О ролях пользователей

Роль пользователя в Kaspersky Security для контейнеров представляет собой совокупность прав на выполнение определенных действий в веб-интерфейсе решения. В зависимости от роли пользователи имеют доступ к разным разделам и функциональным возможностям.

В Kaspersky Security для контейнеров используются системные роли со сформированными наборами прав доступа для выполнения типичных задач по защите контейнерных сред, а также пользовательские роли.

При первичной установке решения предлагаются следующие системные роли:

• Администратор Kaspersky Security для контейнеров (Administrator of Kaspersky Container Security) – эта роль предназначена для пользователей, отвечающих за развертывание и сопровождение инфраструктуры и системного программного обеспечения, необходимых для работы решения (например, операционные системы, сервера приложений, базы данных). Эти пользователи управляют учетными записями пользователей, ролями и доступами в Kaspersky Security для контейнеров.

  В веб-интерфейсе эта роль обозначается аббревиатурой KCSADM.

• Администратор информационной безопасности (ИБ) (IS Administrator) – эта роль предназначена для пользователей, отвечающих за создание и управление учетными записями, ролями и доступами пользователей, внесение изменений в настройки, подключение публичных реестров образов, агентов и средств уведомления, а также настройку политик безопасности.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISADM.

• Аудитор ИБ (IS auditor) – эта роль предназначена для пользователей, осуществляющих просмотр ресурсов и списка пользователей решения, а также контроль результатов сканирования и проверок на соответствие стандартам.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISAUD.

• Сотрудник ИБ (IS officer) – эта роль предназначена для пользователей, осуществляющих просмотр и управление политиками безопасности, подключение публичных реестров образов, а также просмотр результатов анализа контейнеров сред выполнения проектов, в которых такие пользователи принимают непосредственное участие.

  В веб-интерфейсе эта роль обозначается аббревиатурой ISOFF.

• Разработчик (Developer) – эта роль предназначена для пользователей, осуществляющих проверку на соответствие стандартам, просмотр результатов сканирования образов из реестров и CI/CD, ресурсов кластера и принятых рисков.

  В веб-интерфейсе эта роль обозначается аббревиатурой DEV.

Вы можете назначать системные роли учетным записям пользователей при создании или изменении учетных записей.

Пользователю могут назначаться несколько ролей пользователя.

Если необходимость в какой-либо системной роли отсутствует, вы можете ее удалить.

Вы не можете удалить последнюю действующую системную роль с правами управления другими ролями.

Если имеющихся системных ролей недостаточно для составления набора прав доступа с требуемыми свойствами, вы можете создать собственные уникальные наборы прав в виде пользовательских ролей.

При создании пользовательских ролей необходимо продумать состав набора прав доступа к взаимосвязанным функциональным возможностям, например:

• Для настройки параметров и просмотра политик реагирования требуется право на просмотр интеграций с системами уведомлений. Если такое право не предоставлено, при настройке политики реагирования Kaspersky Security для контейнеров сообщит об ошибке.
• Права на управление политиками реагирования нужно предоставлять вместе с правами на управление уведомлениями, иначе вы не сможете в настройках политики выбрать средство уведомления.
• Для создания пользователя требуется право на просмотр и управление ролями. Если такое право не предоставлено, созданный пользователь будет видеть только информационную панель.
• Права на управление пользователями нужно предоставлять вместе с правами на управление ролями, иначе вы не сможете назначить роль при создании пользователя.

Вы можете назначать пользовательские роли учетным записям пользователей так же, как и системные роли. Кроме того, вы можете изменять параметры пользовательских ролей и удалять пользовательские роли.

При назначении ролям областей применения необходимо учитывать, что для реализации политики безопасности в рамках определенной области применения требуется назначить эту область применения одной из ваших ролей.

Если вы осуществили интеграцию решения с LDAP-сервером, то Kaspersky Security для контейнеров также принимает и отображает роли и группы пользователей из службы каталогов Active Directory.

Действия в рамках системных ролей

В таблице ниже перечислены основные действия, доступные пользователям с системными ролями в веб-интерфейсе Kaspersky Security для контейнеров после установки решения.

Роли пользователей и доступные им действия

Отображение списка ролей

Kaspersky Security для контейнеров отображает список действующих ролей в разделе Администрирование → Управление доступом → Роли.

В таблице приводятся все действующие системные и пользовательские роли с указанием их идентификатора, названия и количества пользователей, которым роли назначены. Если вы настроили интеграцию с LDAP, в таблице также указываются группы пользователей из Active Directory, соотнесенные с ролями пользователей Kaspersky Security для контейнеров.

Об областях применения

Область применения в Kaspersky Security для контейнеров представляет собой перечень ресурсов, который формируется в зависимости от целей использования решения, например: конкретный кластер, несколько внешних реестров или определенные пространства имен.

Области применения используются в следующих целях:

• Для разграничения доступа к ресурсам, например, для мониторинга работы кластеров, реестров или пространств имен.

  Такое разграничение доступа осуществляется с помощью назначения области применения при создании области применения или изменении ее параметров.

• Для разграничения объектов, к которым применяются политики и проверки.

  Такое разграничение объектов осуществляется с помощью назначения области применения при создании политик безопасности или изменении их параметров.

В Kaspersky Security для контейнеров вы можете создать собственные области применения или назначить пользователям установленную по умолчанию глобальную область применения (default scope).

Глобальная область применения включает в себя доступ ко всем ресурсам решения. Эта область применения создается по умолчанию при установке Kaspersky Security для контейнеров.

Вы не можете изменить параметры глобальной области применения и удалить ее.

Доступ к глобальной области применения предоставляется только пользователю, которому дали соответствующие права. Для назначения глобальной области применения другим пользователям и ролям вам также необходимо иметь права на управление глобальной областью применения.

Если глобальная область применения назначается политике, эта политика будет применяться ко всем ресурсам и выполняться во всех средах.

Области применения и исполнение политик безопасности

В Kaspersky Security для контейнеров области применения указываются для всех политик безопасности. Чтобы обеспечить проверку всех необходимых ресурсов, каждой политике могут быть назначены одна или несколько областей применения. При этом одна и та же область применения может быть указана в нескольких политиках.

Вне зависимости от количества реализуемых в области применения в отношении какого-либо объекта политик (например, при сканировании образа или проверке кластера в среде выполнения) выполняются все политики безопасности.

При одновременном выполнении нескольких политик безопасности и нескольких областей применения действуют следующие правила:

• Для политик сканирования: сканирование проводится с использованием совокупного перечня параметров, полученного при объединении всех задействованных в рамках области применения политик сканирования.
• Для политик безопасности образов: при сканировании образов применяются все действующие в отношении проверяемых ресурсов политики с учетом указанных в них областей применения.
• Для политик реагирования: уведомление пользователя осуществляется при наступлении событий и с использованием средств уведомления, которые указаны во всех политиках реагирования, применимых к ресурсам, указанным в назначенных областях применения.
• Для политик среды выполнения: контролируется и при необходимости блокируется запуск контейнеров в среде выполнения в соответствии со всеми назначенными области применения политиками.

  Если в области применения в отношении какого-либо объекта реализуются политика среды выполнения в режиме Аудит и политика среды выполнения в режиме Блокирование, все действия, указанные в политиках среды выполнения, применяются в режиме Блокирование.

Переключение между областями применения

За одной ролью в Kaspersky Security для контейнеров может быть закреплено несколько областей применения. Вы можете просмотреть список доступных вам областей применения или переключить область применения, чтобы получить доступ к ресурсам, открытым для работы в другой области применения.

При переключении области применения необходимо учитывать следующее:

• Если вы выбираете область применения с ресурсами по реестрам, в разделе Ресурсы → Кластеры Kaspersky Security для контейнеров не отображает список кластеров, пространств имен и подов. Визуальное представление связей между ресурсами будет отображено полностью, но вы не сможете просмотреть информацию об объекте, находящемся вне доступной вам области применения.
• Если вы выбираете область применения с ресурсами по кластерам, в разделе Ресурсы → Реестры Kaspersky Security для контейнеров отображает список образов, с которых запущены в работу контейнеры в кластерах.
• В разделе Сканеры вам доступны для просмотра списки всех сканеров и заданий сканеров. При этом вы не сможете просмотреть информацию об объекте сканирования, если он не входит в доступную вам область применения.
• В разделе Соответствие стандартам → Отраслевой стандарт Kubernetes Kaspersky Security для контейнеров отображает список всех узлов в составе кластеров из области применения независимо от уровня детализации кластера в области применения. При этом вы не сможете просмотреть информацию об узле кластера, если он не входит в доступную вам область применения.
• В разделе Политики Kaspersky Security для контейнеров отображает следующее:
  1. Все политики, в которых хотя бы одна роль автора совпадает с вашей ролью.
  2. Все политики, в которых хотя бы одна область применения совпадает с выбранной вами областью применения.
  3. Все политики, которые привязаны к областям применения, назначенным вашим ролям. При этом вы не можете изменять параметры таких политик и удалять их.

Чтобы переключить область применения:

1. Перейдите в один из в следующих разделов:
   • Ресурсы → Кластеры.
   • Ресурсы → Реестры.
   • Соответствие стандартам → Отраслевой стандарт Kubernetes.
   • Подразделы раздела Политики: Сканирование, Безопасность образов, Реагирование или Среда выполнения.
2. В раскрывающемся списке доступных областей применения в правой верхней части окна выберите необходимую область применения.

   Вы также можете активировать реализацию всех областей применения, выбрав в списке Все.

Добавление пользователей, ролей и областей применения

Чтобы добавить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи нажмите на кнопку Добавить пользователя над таблицей со списком пользователей.
2. В открывшемся окне укажите следующие параметры:
   • Имя пользователя – уникальное значение, которое необходимо присвоить пользователю для его идентификации Kaspersky Security для контейнеров.

     Имя пользователя может включать в себя только буквы латинского алфавита и цифры. Минимальная длина имени пользователя – 4 знака, максимальная – 254 знаков.

   • Отображаемое имя пользователя (необязательно) – значение, которое показывается в веб-интерфейсе решения. Если этот параметр не указан, в веб-интерфейсе отображается имя пользователя.
   • Адрес электронной почты (необязательно).
3. Введите пароль в поле Пароль.

   К паролю предъявляются следующие требования:

   • Пароль должен включать в себя цифры, заглавные и строчные буквы и специальные символы.
   • Минимальная длина пароля – 6 знаков, максимальная – 72 знака. По умолчанию длина пароля составляет 8 знаков.
4. Подтвердите указанный пароль в поле Подтвердить пароль.
5. Установите флажок, если пользователю необходимо сменить пароль при следующем запуске решения.
6. Назначьте роль пользователю, установив флажок для соответствующей роли в списке доступных ролей.

   Назначение роли не является обязательным условием для создания пользователя. Но без указания роли новый пользователь не сможет взаимодействовать с Kaspersky Security для контейнеров.

7. Нажмите Добавить.

Для создания пользователя вам должна быть назначена роль с правами на просмотр и настройку параметров. При отсутствии у вас таких прав созданный пользователь сможет видеть только главную страницу решения.

Чтобы добавить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли нажмите на кнопку Добавить роль над таблицей со списком ролей.
2. В открывшемся окне укажите следующие значения:
   • Идентификатор роли – уникальное значение, которое необходимо присвоить роли для ее идентификации Kaspersky Security для контейнеров.

     Идентификатор роли может включать в себя заглавные буквы латинского алфавита и цифры. В состав идентификатора роли не могут входить специальные символы и пробелы.

   • Название роли – значение, которое отображается в веб-интерфейсе решения.
   • Описание роли (необязательно).
   • Область применения – параметр, который применяется для разграничения доступа к ресурсам.
3. В поле Сопоставление данных Active Directory укажите группы Active Directory, в которые входит пользователь.
4. Установите флажки напротив прав, которые будут доступны для создаваемой роли.
5. Нажмите Добавить.

Чтобы добавить область применения:

1. В разделе Администрирование → Управление доступом → Области применения нажмите на кнопку Добавить область применения над таблицей со списком областей применения.
2. В открывшемся окне укажите название и, если требуется, описание области применения.
3. В блоке Ресурсы выберите ресурсы для области применения:
   • Нажмите на кнопку Добавить ресурсы по реестрам и в раскрывающемся списке выберите реестры для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные репозитории и образы из этих репозиториев.
   • Нажмите на кнопку Добавить ресурсы по кластерам и в раскрывающемся списке выберите оркестраторы для области применения. Вы можете задать более конкретную область применения, выбрав в раскрывающемся списке конкретные кластеры, пространства имен и образы, с которых разворачиваются контейнеры в кластерах.

   Требуется указать хотя бы один ресурс, к мониторингу которого предоставляется доступ.

4. Нажмите Включить объекты в область применения.
5. Сохраните область применения, нажав на кнопку Сохранить.

Сброс пароля для учетных записей пользователей

Чтобы сбросить пароль для учетной записи пользователя,

1. Перейдите в раздел Администрирование → Управление доступом → Пользователи.
2. Выполните одно из следующих действий:
   • В таблице со списком пользователей выберите пользователя, установив флажок в строке учетной записи, и нажмите на ссылку Сбросить пароль над таблицей.
   • В строке учетной записи откройте меню () и выберите Сбросить пароль.

Изменение параметров пользователей, ролей и областей применения

Чтобы изменить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи нажмите на имя пользователя в таблице со списком пользователей.
2. В открывшемся окне внесите необходимые изменения.

   Если вы вносите изменения в учетную запись пользователя с правами администратора, не удаляйте все роли, так как это приведет к потере административного доступа к решению.

3. Нажмите Сохранить.

Чтобы изменить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли нажмите на идентификатор роли в столбце Идентификатор роли таблицы со списком ролей.
2. В открывшемся окне внесите необходимые изменения.
3. Нажмите Сохранить.

   Если вы вносите изменения в роль, после сохранения изменений требуется повторная авторизация всех пользователей, которым назначена эта роль.

   Вы не можете изменить роль, если она является последней ролью с правами на управление учетными записями пользователей, ролями пользователей или глобальной областью применения.

Чтобы изменить область применения:

1. В разделе Администрирование → Управление доступом → Области применения нажмите на название области применения в столбце Название области применения таблицы со списком областей применения.
2. В открывшемся окне внесите необходимые изменения.
3. Нажмите Сохранить.

Удаление пользователей, ролей и областей применения

Чтобы удалить учетную запись пользователя:

1. В разделе Администрирование → Управление доступом → Пользователи выполните одно из следующих действий:
   • Выберите пользователя, установив флажок в строке с учетной записью, и нажмите на ссылку Удалить над таблицей со списком пользователей.

     Вы можете выбрать одну или несколько учетных записей пользователя.

   • В строке учетной записи откройте меню () и выберите Удалить пользователя.
2. В открывшемся окне подтвердите удаление, нажав Удалить.

   Вы не можете удалить учетную запись пользователя, под которой авторизовались в Kaspersky Security для контейнеров.

Чтобы удалить роль пользователя:

1. В разделе Администрирование → Управление доступом → Роли в строке роли в таблице со списком ролей нажмите на значок удаления ().
2. В открывшемся окне подтвердите удаление, нажав Удалить.

Вы не можете удалить последнюю действующую системную роль с правами управления другими учетными записями пользователей, ролями пользователей или глобальной областью применения.
Вы также не можете удалить роль, если она назначена какому-либо пользователю.

Чтобы удалить область применения:

1. В разделе Администрирование → Управление доступом → Области применения в строке роли в таблице со списком областей применения нажмите на значок удаления ().
2. В открывшемся окне подтвердите удаление, нажав Удалить.

   Вы не можете удалить глобальную область применения (default scope).
   Вы также не можете удалить область применения, если она назначена хотя бы одной роли пользователя.