ویژگیهای جدید نسخه 2.5
Kaspersky Container Security 2.5 شامل قابلیتها و بهبودهای جدید زیر است:
ایجاد سیاستهای سفارشی
این راهکار اکنون از سفارشیسازی سیاستها برای Assurance Policies و Admission Controller Policies و همچنین چارچوبهای بنچمارک سفارشی پشتیبانی میکند. امکان افزودن سیاستها و چارچوبهای بنچمارک جدید، متناسب با نیازهای سازمان، به کاهش بار کاری تیم امنیت سایبری کمک میکند و فرآیند یکپارچهسازی این راهکار با زیرساخت امنیتی سازمان را سرعت میبخشد. در نتیجه، سطح کلی محافظت از زیرساخت افزایش پیدا میکند.
علاوه بر این، امکان ایجاد چارچوبهای بنچمارک سفارشی به کاربران کمک میکند تا سریعتر نسبت به تغییرات محلی و الزامات قانونی جدید واکنش نشان دهند و خود را با آنها تطبیق دهند.
سیاستهای سفارشی را میتوان با استفاده از زبان CEL ایجاد کرد؛ زبانی که در راهکارهای مشابه نیز استفاده میشود و مهاجرت به Kaspersky Container Security را آسانتر میکند.
خروجی گرفتن و وارد کردن پیکربندیها
اکنون میتوان کل پیکربندی راهکار، شامل سیاستها، گروههای Agent، پروفایلها و سایر تنظیمات را خروجی گرفت و به نمونههای دیگر Kaspersky Container Security منتقل کرد یا بهعنوان نسخه پشتیبان نگه داشت.
فایل خروجی میتواند بهصورت رمزنگاریشده یا در قالب باز تولید شود؛ قالب باز این امکان را میدهد که پیش از وارد کردن فایل، آن را ویرایش کنید. این قابلیت بهصورت یک ابزار کمکی پیادهسازی شده که روی ایستگاه کاری Linux، Windows یا macOS مدیر راهکار اجرا میشود.
قابلیت خروجی و ورودی گرفتن از پیکربندیها، ایجاد نسخه پشتیبان را برای مدیران Kaspersky Container Security سادهتر میکند و به متخصصان امنیت سایبری اجازه میدهد هنگام مدیریت زیرساختهای بزرگ، پیکربندی آماده را بهآسانی بین نمونههای مختلف راهکار منتقل کنند.
بهروزرسانی پویای پیکربندی Agent بدون نصب مجدد
اکنون میتوانید تنظیمات گروههای Agent را بدون نصب کامل مجدد node-agent podها تغییر دهید. تنظیمات تغییریافته بلافاصله اعمال میشوند؛ موضوعی که به جلوگیری از توقف سرویس و سادهتر شدن مدیریت زیرساختهای بزرگ کمک میکند.
این قابلیت همچنین امکان مدیریت سریع node-agent را فراهم میکند تا در دورههای اوج مصرف، استفاده از منابع کاهش یابد. در نتیجه، هنگام بهروزرسانی پیکربندیها در محیط عملیاتی، خطر اختلال در فرآیندهای حیاتی کمتر میشود.
SBOM در جزئیات تحلیل Image
Imageهای کانتینری اسکنشده اکنون میتوانند بهصورت SBOM یا Software Bill of Materials در قالبهای استاندارد SPDX و CycloneDX خروجی گرفته شوند.
SBOM را میتوان در یک تب جداگانه در صفحه جزئیات اسکن مشاهده و دانلود کرد. همچنین این قابلیت از طریق یک API endpoint با امکان انتخاب فرمت نیز در دسترس است.
این ویژگی، یکپارچهسازی با سیستمهای مدیریت آسیبپذیری، ابزارهای پیگیری خطا و رجیستریهای متمرکز اجزا را سادهتر میکند و باعث ردیابی کاملتر زنجیره تأمین نرمافزار میشود.
بهینهسازی عملکرد node-agent
با مصرف منابع مشابه، مؤلفه node-agent در این نسخه اکنون نسبت به Kaspersky Container Security 2.4 حدود دو و نیم برابر رویدادهای کانتینری بیشتری را پردازش میکند.
همچنین عملکرد node-agent دیگر بهطور مستقیم به تعداد سیاستهای runtime وابسته نیست. پیادهسازی جدید امکان پردازش صدها قانون را بدون تأثیر بر مصرف منابع محاسباتی node-agent pod فراهم میکند.
پوشش اشیای زیرساخت کانتینری کنترلشده
اکنون Agentها میتوانند روی control node نصب شوند تا امکان ممیزی عمیقتر مؤلفههای control node کلاستر فراهم شود.
این قابلیت به شناسایی تنظیمات آسیبپذیر مؤلفههای control node و احتمال compromise در حساسترین سطح کلاستر کمک میکند و کنترل امنیتی متمرکز کل زیرساخت را از طریق یک کنسول مشترک فراهم میسازد.
پیکربندی واکنش به خطا یا قطع اتصال Agent
اکنون اگر هسته راهکار اتصال خود را با Agentهای موجود در کلاسترهای تحت پوشش از دست بدهد، میتوانید از طریق سیاستهای واکنش و سیستمهای SIEM اعلان دریافت کنید.
کنترل دسترسی برای نتایج CI
اکنون کاربران میتوانند دسترسی به نتایج اسکن در CI را مطابق با منطق visibility پروژه در سازمان پیکربندی کنند.
برای مثال، این قابلیت به توسعهدهندگان بخشهای دیگر اجازه میدهد فقط به نتایج اسکن buildهای خودشان دسترسی داشته باشند، بدون اینکه نتایج مربوط به سایر بخشهای زیرساخت برای آنها قابل مشاهده باشد.
اصلاح منطق Dashboard
نمایش اطلاعات در Dashboard اکنون منطق کلی scopeها را در نظر میگیرد. در نتیجه، کاربر فقط اطلاعاتی را مشاهده میکند که به آنها دسترسی دارد.
بهبودهای API
Kaspersky Container Security قابلیتهای API جدیدی برای دریافت اطلاعات مربوط به اسکنها ارائه کرده است؛ برای مثال، دریافت معیارهای عملکرد scannerها و دریافت دادههای مربوط به اسکن imageها در یک کلاستر در یک بازه زمانی مشخص.
فیلدهای جدید مربوط به تعداد queryها نیز به کاربران اجازه میدهد اطلاعاتی مانند نوع سیستمعامل و تاریخ آخرین اسکن را دریافت کنند.
شناسایی آسیبپذیریها در برنامههای Platform V
پایگاهدادههای Kaspersky Container Security اکنون شامل دادههای مربوط به برنامههای Platform V هستند تا آسیبپذیریها در نرمافزارهای توسعهیافته توسط یک فروشنده خارجی با دقت بیشتری شناسایی شوند.
این نخستین دیتاست شریک تجاری است که با هدف شناسایی آسیبپذیریها نهتنها در بستههای سیستمعامل و زبانهای برنامهنویسی، بلکه در برنامههای نرمافزاری پیچیده یک فروشنده ارائه شده است.
بهینهسازی عملکرد پردازش درخواستها برای Dynamic Admission Controller
برای بهبود عملکرد DAC در سمت kube-agent، اکنون میتوان نتایج اسکن را cache کرد. این کار از ارسال درخواستهای اضافی به هسته راهکار جلوگیری میکند و پردازش درخواستهای DAC را تا ۱۰ برابر سریعتر میسازد؛ یعنی تا حدود ۳۰۰ میلیثانیه.
در سیستمهای پرترافیک، این قابلیت امکان استفاده از Kaspersky Container Security را بدون تأثیر قابلتوجه بر عملکرد فرآیندهای داخلی orchestrator فراهم میکند.
این بهینهسازی برای سازمانهایی که عملکرد و سرعت اعمال سیاستها در زیرساختهای بزرگ برای آنها اهمیت حیاتی دارد، بیشترین مزیت را خواهد داشت.
دریافت رویدادهای خام از طریق API
این قابلیت یک سازوکار قابلاعتماد، کارآمد و جامع برای دریافت روزانه همه دادههای امنیتی خام از زیرساخت کانتینری فراهم میکند. این دادهها سپس میتوانند در سیستمهای خارجی، برای مثال جهت تحلیل یا ذخیرهسازی، بارگذاری شوند.
ارسال Image برای اسکن با مسیر مستقیم
این قابلیت به شما اجازه میدهد بدون جستوجوی image در image registry، فقط با مشخص کردن مسیر کامل آن، image را برای اسکن ارسال کنید.
این موضوع میتواند برای معماریهای بزرگمقیاس مهم باشد؛ بهخصوص در مواردی که درخواستها به image registryها باید بهینهسازی شوند.
منطق اضافی برای ساخت و اعمال autoprofileها
اکنون هنگام ساخت autoprofileها میتوان runtime policyهای اعمالشده را نادیده گرفت.
این قابلیت اجازه میدهد در صورت نیاز، منطق autoprofile تغییر کند و پروفایلهای کامل podها بدون در نظر گرفتن runtime policyهای اعمالشده تولید شوند. در نتیجه، سناریوهای بیشتری برای runtime monitoring قابل پیادهسازی خواهد بود.
مهاجرت دادههای ذخیرهسازی S3 از MinIO به SeaweedFS
از اکتبر ۲۰۲۵، پروژه متنباز MinIO که در بسته ارائهشده این راهکار وجود داشت، دیگر توسط جامعه توسعه داده نمیشود. به همین دلیل، از Kaspersky Container Security 2.5 به بعد، این راهکار از SeaweedFS نیز استفاده میکند و این موضوع نیازمند اقدام مدیران راهکار است.
MinIO و SeaweedFS هر دو ذخیرهسازهای سازگار با S3 هستند که راهکار، از طریق kcs-s3 pod، برای ذخیره گزارشهای تولیدشده از آنها استفاده میکند.
هنگام ارتقای راهکار، باید دستورالعملهای مهاجرت دادههای ذخیرهسازی S3 از MinIO به SeaweedFS را مطالعه کنید. این دستورالعملها فرآیند مهاجرتی را توضیح میدهند که باید پیش از ارتقا انجام شود. همچنین مراحل بازیابی دادهها را نیز توضیح میدهند؛ مراحلی که در صورت نادیده گرفتن مهاجرت در مرحله نصب Kaspersky Container Security به آنها نیاز خواهید داشت.
مهاجرت نتایج بررسیهای قبلی برای انطباق با چارچوبهای بنچمارک صنعتی
هنگام ارتقای راهکار به Kaspersky Container Security 2.5، نتایج بررسیهای قبلی مربوط به انطباق با Kubernetes benchmarks از بین خواهند رفت.
در Kaspersky Container Security 2.5، منطق بررسی انطباق Benchmark بازنگری شده است. بررسی انطباق برای Kubernetes benchmarks با بررسی انطباق برای cluster benchmarks ترکیب شده است. به همین دلیل، مهاجرت نتایج بررسیهای قبلی مربوط به Kubernetes benchmarks امکانپذیر نیست.
بررسیهای سفارشی انطباق با بنچمارکهای صنعتی بر اساس کنترلهای سفارشی انجام میشوند. این کنترلها با استفاده از زبان CEL ایجاد میشوند و به Agentهای Kaspersky Container Security 2.5 نیاز دارند.
تغییر فرمت پیامهای ارسالشده به سیستم SIEM
در Kaspersky Container Security 2.5، فرمت پیامهای ارسالشده به سیستم SIEM تغییر کرده است. برای سازگاری با فرمت CEF، هدرهای syslog حذف شدهاند.
منبع: https://support.kaspersky.com/
