Контейнер – это изолированная среда, где приложение может работать без прямого взаимодействия с операционной системой. Использование контейнеров включает в себя следующие риски:
Уязвимости в процессе контейнеризации могут быть использованы злоумышленниками для компрометации приложений внутри контейнера.
Небезопасная конфигурация контейнерной среды может быть использована злоумышленниками для получения несанкционированного доступа к данным компьютера или нарушения целостности системы.
Взлом контейнера может позволить злоумышленнику получить доступ к данным компьютера.
Сетевые уязвимости могут быть использованы злоумышленниками для перехвата сетевого трафика.
Kaspersky Industrial CyberSecurity for Nodes является внешним инструментом для обнаружения вредоносной активности внутри контейнеров. Это позволяет сохранить производительность контейнеров и избежать конфликтов с другими приложениями внутри контейнера. Установка Kaspersky Industrial CyberSecurity for Nodes внутрь контейнера не поддерживается.
Кроме обеспечения безопасности контейнеров, Kaspersky Industrial CyberSecurity for Nodes позволяет управлять работой приложений внутри контейнеров с помощью Контроля запуска программ. Настройка Контроля запуска программ для контейнеров не отличается от настройки компонента для приложений, установленных на компьютере. Контроль целостности системы также поддерживает контейнеры.
Требования к контейнерам
Контейнер создан на платформе Docker. Другие средства контейнеризации не поддерживаются.
Контейнер запущен в режиме изоляции процессов. Режим изоляции Hyper-V не поддерживается.
Контейнер расположен на сервере под управлением Windows Server 2016, 2019 или 2022 (Docker Host).
Контейнер включает в себя образ Windows (Docker Image). ОС Windows 10 и 11 не поддерживаются. Образы Linux не поддерживаются.
Не поддерживается проверка контейнеров, запущенных в режиме WSL2 – Windows Subsystem for Linux v2 (Docker Wine).
Действие при обнаружении угрозы
При обнаружении угрозы внутри контейнера, приложение применяет действие, выбранное для компонента Постоянная защита файлов. Также проверка контейнеров имеет дополнительные параметры (см. инструкцию ниже). При обнаружении угрозы, приложение блокирует вредоносную активность и выполняет выбранное действие (например, пытается вылечить объект). Kaspersky Industrial CyberSecurity for Nodes может остановить контейнер, если вылечить обнаруженный объект не удалось. По умолчанию функция остановки контейнеров включена.
В дереве Консоли администрирования Kaspersky Security Center выберите папку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне свойств политики выберите Постоянная защита компьютера.
В разделе Постоянная защита файлов нажмите Настройка.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.
В главном окне Web Console выберите Активы (Устройства) → Политики и профили политик.
Нажмите на название политики Kaspersky Industrial CyberSecurity for Nodes.
Откроется окно свойств политики.
Выберите вкладку Параметры приложения.
Перейдите в раздел Постоянная защита компьютера → Постоянная защита файлов и нажмите на кнопку Настроить.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.
В дереве Консоли Kaspersky Industrial CyberSecurity for Nodes выберите Постоянная защита компьютера → Постоянная защита файлов.
В панели результатов узла Постоянная защита файлов нажмите Свойства.
Откроется окно Свойства:Постоянная защита файлов.
В блоке Проверка файловых операций, исполняемых в контейнерах Windows настройте параметры проверки контейнеров:
Останавливать контейнер, если лечение невозможно. У приложения может не быть прав на чтение и запись обнаруженного объекта. В этом случае вылечить или удалить обнаруженный объект невозможно. Если флажок установлен, приложение блокирует обнаруженный объект и останавливает контейнер. Если флажок снят, приложение только блокирует обнаруженный объект.
Не проверять файловые операции, исполняемые в контейнерах Windows. Если флажок установлен, приложение проверяет контейнер только при запуске контейнера. Если флажок снят, приложение проверяет контейнер постоянно в режиме реального времени.