« Kubernetes 云工作负载保护 容器工作负载保护策略 »
Elastic 文档 Elastic 安全解决方案 [8.17] 云安全 Kubernetes 云工作负载保护

开始使用 Kubernetes 的 CWP

编辑

开始使用 Kubernetes 的 CWP

编辑

此功能为测试版,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。

本页介绍了如何为 Kubernetes 设置云工作负载保护 (CWP)。

要求

  • Kubernetes 节点操作系统必须具有 5.10.16 或更高版本的 Linux 内核。
  • Elastic Stack 版本 8.8 或更高版本。

初始设置

编辑

首先,您需要将 Elastic 的 Defend for Containers 集成部署到您希望监控的 Kubernetes 集群。

  1. 在导航菜单中找到容器工作负载安全,或者使用全局搜索字段。单击添加 D4C 集成
  2. 命名集成。默认名称(您可以更改)为cloud_defend-1
  3. 可选 - 通过调整选择器响应部分,对集成的策略进行任何所需的更改。(有关更多信息,请参阅Defend for Containers 策略指南)。您也可以稍后更改这些设置。
  4. 在哪里添加此集成下,选择现有或新的代理策略。
  5. 单击保存并继续,然后单击将 Elastic Agent 添加到您的主机
  6. 在 Elastic Agent 策略页面上,单击添加代理以打开“添加代理”弹出窗口。
  7. 在弹出窗口中,转到步骤 3(在主机上安装 Elastic Agent),然后选择Kubernetes选项卡。
  8. 下载或复制清单 (elastic-agent-managed-kubernetes.yml)。

  9. 使用您喜欢的编辑器打开清单,并取消注释 #capabilities 部分

    #capabilities:
#  add:
#    - BPF # (since Linux 5.8) allows loading of BPF programs, create most map types, load BTF, iterate programs and maps.
#    - PERFMON # (since Linux 5.8) allows attaching of BPF programs used for performance metrics and observability operations.
#    - SYS_RESOURCE # Allow use of special resources or raising of resource limits. Used by 'Defend for Containers' to modify 'rlimit_memlock'
  10. 从保存清单的目录中,运行命令 kubectl apply -f elastic-agent-managed-kubernetes.yml
  11. 等待确认代理注册对话框显示数据已开始从新安装的代理流入,然后单击关闭

开始使用威胁检测

编辑

默认 D4C 策略之一会将进程遥测事件(forkexec)发送到 Elasticsearch。

为了使用此数据检测威胁,您需要激活的检测规则。Elastic 具有为此数据设计的预构建检测规则。(您还可以创建自己的自定义规则。)

要安装并启用预构建规则

  1. 在导航菜单中找到检测规则 (SIEM),或者使用全局搜索字段。单击添加 Elastic 规则
  2. 单击搜索栏旁边的标签过滤器,然后搜索 Data Source: Elastic Defend for Containers 标签。
  3. 选择所有显示的规则,然后单击安装 x 个选定的规则
  4. 返回到规则页面。单击搜索栏旁边的标签过滤器,然后搜索 Data Source: Elastic Defend for Containers 标签。
  5. 选择具有该标签的所有规则,然后单击批量操作 > 启用

开始使用漂移检测和预防

编辑

Elastic Security 将容器漂移定义为在容器内创建或修改可执行文件。阻止漂移通过禁止不良行为者使用外部工具来限制不良行为者可用的攻击向量数量。

要启用漂移检测,您可以使用默认的 D4C 策略

  1. 确保默认 D4C 策略处于活动状态。
  2. 确保您至少启用了“容器工作负载保护”规则,方法是按照上述步骤安装预构建规则。

要启用漂移预防,请创建一个新策略

  1. 在导航菜单中找到容器工作负载安全,或者使用全局搜索字段,然后选择您的集成。
  2. 选择器下,单击添加选择器 > 文件选择器。默认情况下,它选择操作 createExecutablemodifyExecutable
  3. 命名选择器,例如:blockDrift
  4. 向下滚动到响应部分,然后单击添加响应 > 文件响应
  5. 匹配选择器下,添加新选择器的名称,例如:blockDrift
  6. 选择警报阻止操作。
  7. 单击保存集成

在启用阻止之前,我们强烈建议您观察使用默认 D4C 策略的生产工作负载,以确保该工作负载不会在其正常操作过程中创建或修改可执行文件。

策略验证

编辑

为了确保生产工作负载的稳定性,您应该在生产工作负载中实施策略更改之前对其进行测试。我们还建议您在具有与生产类似的工作负载的模拟环境中测试策略更改。这种方法允许您测试策略更改是否可以阻止不良行为,而不会中断您的生产工作负载。

« Kubernetes 云工作负载保护 容器工作负载保护策略 »