Включение AppArmor для повышения безопасности: различия между версиями

Включение AppArmor для Ключ-АСТРОМ Operator

Вы можете повысить безопасность Ключ-АСТРОМ Operator, включив AppArmor. В зависимости от того, настраиваете ли вы мониторинг с помощью Manifest или Helm, выберите один из вариантов ниже.

Включите пользовательский профиль AppArmor для ЕдиногоАгента

Вы можете ограничить доступ ЕдиногоАгента к желаемому набору функций. Ниже описано, как включить настраиваемый профиль AppArmor и применить его к модулям ЕдиногоАгента.

Создайте собственный профиль ЕдиногоАгента AppArmor

Подробную информацию о создании пользовательского профиля AppArmor см. в разделе Запуск ЕдиногоАгента как контейнера Docker.

Установить профиль на все рабочие узлы

ЕдиныйАгент по умолчанию развёртывается как daemonset, что означает, что модули, использующие профиль AppArmor, будут использоваться на каждой ноде. Поэтому необходимо установить профиль ЕдиногоАгента AppArmor на всех нодах.

В зависимости от среды это можно сделать несколькими способами, например, с помощью kube-apparmor-manager или security-profiles-operator. Чтобы узнать, как применять эти инструменты в вашем кластере, обратитесь к официальной документации по ним.

Применение профиля ко всем подам ЕдиногоАгента

Чтобы включить AppArmor для всех подов ЕдиногоАгента, добавьте аннотацию container.apparmor.security.beta.kubernetes.io/astromkey-oneagent: localhost/oneagent в одно из следующих полей в зависимости от вашего развертывания:

• oneAgent.classicFullStack.annotations
• oneAgent.cloudNativeFullStack.annotations
• oneAgent.hostMonitoring.annotations

Пример развертывания cloudNativeFullStack: