VK Private Cloud logo
Помощь
Обновлена 17 июля 2026 г. в 15:55

Настройка Kaspersky Container Security

Сторонние продукты
KCS

Kaspersy Container Security (KCS) — решение для обеспечения безопасности контейнерных приложений.

После установки KCS рекомендуется выполнить настройку решения в соответствии с этим руководством. После выполнения указанных действий KCS будет готов к эксплуатации и обеспечит:

  • инвентаризацию объектов Kubernetes в control plane VK Private Cloud;
  • контроль безопасности контейнерных образов;
  • аудит конфигурации кластера;
  • мониторинг среды выполнения;
  • обнаружение угроз и уязвимостей;
  • централизованное управление политиками безопасности.

1. Проверка состояния компонентов

После завершения установки убедитесь, что все компоненты KCS находятся в состоянии Running:

kubectl get pods -n kcs

Пример вывода:

NAME                              READY STATUSkcs-ab-699bcc944c-xd2pz           1/1   Runningkcs-clickhouse-0                  1/1   Runningkcs-event-broker-8c54cdb8b-hrslz  1/1   Runningkcs-ih-85b975985c-pxhfr           1/1   Runningkcs-licenses-75b87c76b9-jvz8k     1/1   Runningkcs-memcached-0                   1/1   Runningkcs-middleware-768b88769f-2h4rx   1/1   Runningkcs-panel-68c8f48778-77mk2        1/1   Runningkcs-postgres-0                    1/1   Runningkcs-s3-0                          1/1   Runningkcs-scanner-68dd78f79d-khkdz      1/1   Running

Если отдельные компоненты находятся в состоянии Pending, CrashLoopBackOff или Error, проанализируйте журналы соответствующих подов.

2. Проверка доступа к веб-интерфейсу

  1. Перейдите в веб-интерфейс KCS по адресу, указанному при установке.

  2. Войдите под административной учетной записью.

  3. Убедитесь, что:

    • отсутствуют ошибки загрузки интерфейса;
    • разделы меню отображаются корректно.

3. Активация лицензии

  1. Перейдите в раздел Настройки → Лицензирование.

  2. Нажмите Добавить лицензионный ключ.

  3. Выберите файл ключа или введите код активации.

  4. Дождитесь завершения проверки лицензии.

  5. Проверьте:

    • срок действия лицензии;
    • доступное количество защищаемых объектов;
    • состояние лицензии.

4. Проверка агентов

Агенты KCS нужны для получения информации о Kubernetes-кластере и его объектах.

Проверьте состояние агентов:

  1. Выполните команду:

    kubectl get pods -n kcs

    Пример вывода:

    NAME                        READY STATUSkube-agent-857c4499bb-j9r8p 1/1   Runningnode-agent-tt8pr            1/1   Running
  2. Убедитесь, что:

    • kube-agent успешно подключен к API Kubernetes;
    • node-agent работает на узлах кластера;
    • отсутствуют ошибки регистрации.

5. Создание и запуск группы агентов

Для централизованного управления агентами объедините их в группу:

  1. Откройте раздел Агенты.

  2. Создайте новую группу.

  3. Добавьте зарегистрированные агенты.

  4. Запустите группу.

  5. Проверьте статус подключения и доступность агентов.

6. Проверка обнаружения ресурсов Kubernetes

После подключения агентов KCS автоматически собирает информацию о ресурсах кластера.

В разделе Кластеры проверьте наличие:

  • узлов Kubernetes,
  • пространств имен,
  • подов,
  • Deployment,
  • StatefulSet,
  • DaemonSet,
  • сервисов.

Информация должна отображаться без ошибок и регулярно обновляться.

7. Визуализация объектов кластера

В KCS доступен просмотр объектов Kubernetes в виде графа. Используйте ее, чтобы:

  • анализировать структуру приложений;
  • отслеживать связи между объектами;
  • выявлять потенциальные риски конфигурации.

Для просмотра:

  1. Откройте раздел Кластеры.
  2. Выберите нужный кластер.
  3. Переключитесь в режим Граф.

8. Анализ сетевых взаимодействий

Функция анализа сетевых взаимодействий позволяет определить фактические связи между компонентами приложений. Полученные данные можно использовать для последующей настройки сетевых политик (NetworkPolicy).

Проверьте сетевые взаимодействия:

  1. Откройте раздел Кластеры.

  2. Выберите нужный кластер.

  3. Переключитесь в режим Граф.

  4. Нажмите Показать сетевые соединения.

  5. Проверьте:

    • отображение сетевых соединений;
    • корректность определения источника и получателя;
    • наличие информации о портах и протоколах.

9. Проверка соответствия отраслевым стандартам

KCS поддерживает аудит Kubernetes на соответствие отраслевым рекомендациям по безопасности.

Запустите проверку:

  1. Перейдите в раздел Отраслевые стандарты безопасности кластера.

  2. Выберите кластер или узел.

  3. Запустите аудит.

После завершения проверки будут сформированы результаты с указанием:

  • уровня риска;
  • описания проблемы;
  • рекомендаций по устранению.

10. Интеграция с реестром контейнерных образов

Подключите используемый реестр образов для автоматического сканирования образов в нем:

  1. Перейдите в раздел Интеграции.

  2. Создайте новое подключение к реестру.

  3. Укажите:

    • адрес реестра;
    • тип аутентификации;
    • учетные данные;
    • настройки TLS.
  4. Выполните проверку подключения.

После успешного подключения KCS сможет автоматически сканировать новые образы.

11. Настройка политик сканирования

Политики сканирования определяют правила анализа контейнерных образов.

Рекомендуется настроить:

  • проверку уязвимостей ОС;
  • проверку библиотек приложений;
  • поиск вредоносного ПО;
  • поиск конфиденциальных данных;
  • контроль соответствия политикам безопасности.

Для большинства сценариев допускается использование настроек по умолчанию как стартовую конфигурацию.

12. Настройка политик безопасности образов

Политики безопасности позволяют определить критерии оценки контейнерных образов.

Рекомендуется настроить следующие правила:

  • контроль уязвимостей уровней Critical и High;
  • контроль использования привилегированных контейнеров;
  • контроль запуска от пользователя root;
  • контроль наличия секретов и ключей доступа;
  • контроль неподписанных образов.

Для обеспечения бесперебойной работы control plane VK Private Cloud рекомендуется использовать режим мониторинга без блокирующих действий.

13. Настройка политик среды выполнения

Политики Runtime Security обеспечивают контроль активности контейнеров во время выполнения.

Рекомендуется включить:

  • контроль запуска процессов;
  • контроль сетевой активности;
  • контроль операций с файлами;
  • контроль привилегированных действий;
  • контроль обращений к Kubernetes API.

Для обеспечения бесперебойной работы control plane VK Private Cloud рекомендуется использовать режим мониторинга без блокирующих действий.

14. Настройка защиты от файловых угроз

Модуль защиты от файловых угроз позволяет обнаруживать вредоносные объекты внутри контейнеров.

Для минимизации риска ложных срабатываний рекомендуется:

  • использовать режим обнаружения на этапе внедрения;
  • анализировать выявленные события.

Для обеспечения бесперебойной работы control plane VK Private Cloud рекомендуется использовать режим мониторинга без блокирующих действий.

15. Настройка автопрофилирования

Функция автопрофилирования позволяет автоматически формировать профиль допустимого поведения контейнера.

После накопления данных система создаст набор разрешенных действий, который может использоваться для построения Runtime-политик.

Рекомендуемый порядок:

  1. Включите автопрофилирование.
  2. Соберите данные в течение нескольких недель эксплуатации.
  3. Проверьте сформированные профили.
  4. Примените профили в политике безопасности.

16. Формирование отчетов

KCS позволяет формировать отчеты по:

  • обнаруженным уязвимостям;
  • результатам проверок Kubernetes;
  • нарушениям политик;
  • событиям безопасности;
  • состоянию защищаемой инфраструктуры.

Рекомендуется настроить регулярное формирование отчетности для служб эксплуатации и информационной безопасности.

17. Принятие рисков

При невозможности оперативного устранения выявленных проблем допускается использование механизма принятия риска.

Функция позволяет:

  • документировать обоснование;
  • ограничивать срок действия исключения;
  • сохранять историю принятых решений.

Использование механизма должно регулироваться внутренними процедурами управления уязвимостями.

18. Использование REST API

KCS предоставляет REST API для автоматизации операций. Перед использованием рекомендуется создать отдельную сервисную учетную запись с минимально необходимыми привилегиями.

Через API можно:

  • получать информацию об уязвимостях;
  • управлять политиками;
  • извлекать результаты сканирования;
  • интегрировать решение с внешними системами.

19. Контроль состояния компонентов

Для мониторинга работоспособности решения используйте встроенный механизм Health Check.

Регулярно контролируйте:

  • доступность компонентов;
  • состояние подключенных агентов;
  • статус интеграций;
  • наличие ошибок обработки событий;
  • состояние внутренних сервисов KCS.

Периодический контроль позволяет своевременно выявлять проблемы и предотвращать снижение уровня защиты контейнерной платформы.