« Kubernetes 云工作负载保护 容器工作负载保护策略 »
Elastic 文档 Elastic 安全解决方案 [8.16] 云原生安全 Kubernetes 云工作负载保护

Kubernetes CWP 入门指南

编辑

Kubernetes CWP 入门指南

编辑

此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不附带任何担保。测试版功能不受正式 GA 功能支持服务水平协议的约束。

此页面介绍如何设置 Kubernetes 的云工作负载保护 (CWP)。

要求

  • Kubernetes 节点操作系统必须使用 Linux 内核 5.10.16 或更高版本。
  • Elastic Stack 版本 8.8 或更高版本。

初始设置

编辑

首先,您需要将 Elastic 的 Defend for Containers 集成部署到您希望监控的 Kubernetes 集群中。

  1. 在导航菜单中找到容器工作负载安全,或使用全局搜索字段。点击添加 D4C 集成
  2. 为集成命名。默认名称(您可以更改)为cloud_defend-1
  3. 可选 - 通过调整选择器响应部分,对集成的策略进行任何所需的更改。(有关更多信息,请参阅Defend for Containers 策略指南)。您也可以稍后更改这些设置。
  4. 添加此集成的位置下,选择一个现有的或新的代理策略。
  5. 点击保存并继续,然后点击将 Elastic Agent 添加到您的主机
  6. 在 Elastic Agent 策略页面上,点击添加代理以打开“添加代理”浮层。
  7. 在浮层中,转到步骤 3(在您的主机上安装 Elastic Agent)并选择Kubernetes选项卡。
  8. 下载或复制清单文件(elastic-agent-managed-kubernetes.yml)。

  9. 使用您喜欢的编辑器打开清单文件,并取消注释#capabilities部分。

    #capabilities:
#  add:
#    - BPF # (since Linux 5.8) allows loading of BPF programs, create most map types, load BTF, iterate programs and maps.
#    - PERFMON # (since Linux 5.8) allows attaching of BPF programs used for performance metrics and observability operations.
#    - SYS_RESOURCE # Allow use of special resources or raising of resource limits. Used by 'Defend for Containers' to modify 'rlimit_memlock'
  10. 在您保存清单文件的目录中,运行命令kubectl apply -f elastic-agent-managed-kubernetes.yml
  11. 等待确认代理注册对话框显示数据已开始从您新安装的代理流入,然后点击关闭

威胁检测入门

编辑

默认 D4C 策略之一会将进程遥测事件(forkexec)发送到 Elasticsearch。

为了使用此数据检测威胁,您需要激活的检测规则。Elastic 提供了为这些数据设计的预构建检测规则。(您也可以创建自己的自定义规则)。

安装并启用预构建规则

  1. 在导航菜单中找到检测规则 (SIEM),或使用全局搜索字段。点击添加 Elastic 规则
  2. 点击搜索栏旁边的标签过滤器,并搜索Data Source: Elastic Defend for Containers标签。
  3. 选择所有显示的规则,然后点击安装 x 个选定的规则
  4. 返回到规则页面。点击搜索栏旁边的标签过滤器,并搜索Data Source: Elastic Defend for Containers标签。
  5. 选择所有带有该标签的规则,然后点击批量操作 > 启用

漂移检测和预防入门

编辑

Elastic Security 将容器漂移定义为在容器内创建或修改可执行文件。阻止漂移通过禁止攻击者使用外部工具来限制可用的攻击媒介。

要启用漂移检测,您可以使用默认的 D4C 策略

  1. 确保默认 D4C 策略处于活动状态。
  2. 确保您已启用至少“容器工作负载保护”规则,方法是按照上述安装预构建规则的步骤操作。

要启用漂移预防,请创建一个新的策略

  1. 在导航菜单中找到容器工作负载安全,或使用全局搜索字段,然后选择您的集成。
  2. 选择器下,点击添加选择器 > 文件选择器。默认情况下,它会选择操作createExecutablemodifyExecutable
  3. 为选择器命名,例如:blockDrift
  4. 向下滚动到响应部分,然后点击添加响应 > 文件响应
  5. 匹配选择器下,添加新选择器的名称,例如:blockDrift
  6. 选择警报阻止操作。
  7. 点击保存集成

在启用阻止之前,我们强烈建议您观察使用默认 D4C 策略的生产工作负载,以确保工作负载在正常运行过程中不会创建或修改可执行文件。

策略验证

编辑

为了确保生产工作负载的稳定性,您应该在将策略更改实施到生产工作负载之前对其进行测试。我们还建议您在具有与生产环境类似工作负载的模拟环境中测试策略更改。这种方法允许您测试策略更改是否可以防止不希望的行为,而不会中断您的生产工作负载。

« Kubernetes 云工作负载保护 容器工作负载保护策略 »