适用于 Kubernetes 的云工作负载保护
编辑适用于 Kubernetes 的云工作负载保护
编辑此功能处于 Beta 阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不附带任何担保。Beta 功能不受正式 GA 功能的支持服务等级协议 (SLA) 的约束。
Elastic Cloud Workload Protection (CWP) for Kubernetes 通过识别并选择性地阻止 Kubernetes 容器中意外的系统行为,为容器化环境提供云原生运行时保护。
使用案例
编辑威胁检测和威胁狩猎
编辑适用于 Kubernetes 的 CWP 将来自容器的系统事件发送到 Elasticsearch。Elastic Security 的预构建安全规则包含许多旨在检测容器运行时恶意行为的规则。这些规则可以帮助您检测容器中永远不应该发生的事件,例如反向 shell 执行、权限提升、容器逃逸尝试等等。
漂移检测和预防
编辑云原生容器应该是不可变的,这意味着在正常操作期间其文件系统不应更改。通过利用此原则,安全团队可以高度准确地检测异常的系统行为,而无需依赖内存扫描或攻击特征检测等更占用资源的技术。Elastic 的漂移检测机制误报率低,因此您可以在大多数环境中部署它,而无需担心产生过多的警报。
工作负载保护策略
编辑适用于 Kubernetes 的 CWP 使用灵活的策略语言将容器工作负载限制为由您选择的一组允许的权限。与漂移和威胁检测一起使用时,这可以提供多层防御。
支持矩阵
编辑| EKS 1.24-1.27 (AL2022) | GKE 1.24-1.27 (COS) | |
|---|---|---|
进程事件导出 |
✓ |
✓ |
网络事件导出 |
✓ |
✓ |
文件事件导出 |
✓ |
✓ |
文件阻止 |
✓ |
✓ |
进程阻止 |
✓ |
✓ |
网络阻止 |
✗ |
✗ |
漂移预防 |
✓ |
✓ |
挂载点感知 |
✓ |
✓ |
适用于 Kubernetes 的 CWP 的工作原理
编辑适用于 Kubernetes 的 CWP 使用轻量级集成 Defend for Containers (D4C)。当您设置 D4C 集成时,它将由 Elastic Agent 部署。具体来说,Elastic Agent 作为 DaemonSet 安装在您的 Kubernetes 集群上,它使 D4C 能够使用 eBPF Linux 安全模块 (LSM) 和跟踪点探针来记录系统事件。事件根据 LSM 挂钩点进行评估,使 Elastic Agent 能够在允许系统活动继续之前根据您的策略对其进行评估。
您的 D4C 集成策略确定哪些系统行为(例如,进程执行或文件创建或删除)将导致哪些操作。选择器和响应定义每个策略。选择器定义导致关联响应运行的条件。响应与一个或多个选择器相关联,并指定一个或多个操作(例如log、alert或block),当满足关联选择器中定义的条件时,这些操作将发生。
默认的 D4C 策略将有关所有正在运行的进程的数据发送到您的 Elasticsearch 集群。Elastic Security 的预构建检测规则使用此数据来检测容器工作负载中的恶意行为。
要了解有关 D4C 策略的更多信息,包括如何创建自己的策略,请参阅D4C 策略指南。