Активировать модуль KSPM

Модуль KSPM позволяет гибко выбирать и настраивать правила безопасности под специфические требования вашей организации, а также создавать исключения из правил.

Чтобы начать работу с модулем KSPM:

1. Создайте сервисный аккаунт, от имени которого модуль KSPM будет просматривать информацию о кластерах Managed Service for Kubernetes, устанавливать в них необходимые компоненты и выполняться проверки.

2. Назначьте сервисному аккаунту роль security-deck.worker на организацию, облако или каталог.

   Примечание

   KSPM будет иметь доступ только к тем кластерам Managed Service for Kubernetes, которые размещены в соответствующих организации, облаке или каталоге.

   Если вы назначили роль на конкретный каталог, выдайте сервисному аккаунту также роль auditor на облако.

3. Создайте окружение Security Deck со следующими особенностями:

   • В разделе Ресурсы в настройках коннектора:

     • Выберите сервисный аккаунт, созданный ранее.

     • Укажите облака и каталоги, в которых вы хотите контролировать безопасность кластеров Managed Service for Kubernetes.

       Совет

       В дальнейшем в настройках KSPM можно будет дополнительно сузить область контроля.

   • В разделе Соответствие требованиям выберите отраслевые стандарты и нормативные акты, на соответствие которым будут проверяться выбранные на предыдущем шаге ресурсы:

     • Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
     • Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
     • Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.

     Вы можете выбрать одновременно несколько стандартов. При этом в блоке Модули контроля будут отображаться модули Security Deck, которые будут активированы в создаваемом окружении для проверки ресурсов на соответствие выбранным стандартам и нормативным актам.

4. Завершите настройку KSPM:

   1. На странице созданного окружения нажмите Параметры окружения.

   2. Перейдите на вкладку Контроль Kubernetes®.

   3. В блоке Область действия контроля выберите облака, каталоги или кластеры в пределах ресурсов окружения, в которых будет производиться контроль за соблюдением правил безопасности Kubernetes.

      Важно

      Один кластер может входить только в одно окружение Security Deck. В противном случае будут возникать конфликты.

   4. Нажмите Сохранить и подтвердите действие.

      После этого в кластерах Managed Service for Kubernetes, которые находятся в области действия контроля, будут автоматически установлены необходимые компоненты в пространстве имен yc-security.

      В зависимости от размера кластера установка компонентов может занять от 1 до 10 минут.