Kubernetes 云工作负载保护
编辑Kubernetes 云工作负载保护
编辑此功能为 Beta 版,可能会发生更改。其设计和代码不如官方 GA 功能成熟,按原样提供,不提供任何保证。Beta 版功能不受官方 GA 功能的支持 SLA 约束。
Elastic Kubernetes 云工作负载保护 (CWP) 通过识别并选择性阻止 Kubernetes 容器中意外的系统行为,为容器化环境提供云原生运行时保护。
用例
编辑威胁检测和威胁狩猎
编辑Kubernetes 的 CWP 将来自容器的系统事件发送到 Elasticsearch。Elastic Security 的预构建安全规则包含许多旨在检测容器运行时恶意行为的规则。这些可以帮助您检测容器中不应发生的事件,例如反向 shell 执行、权限提升、容器逃逸尝试等。
漂移检测和预防
编辑云原生容器应该是不可变的,这意味着它们的文件系统在正常操作期间不应更改。通过利用此原则,安全团队可以高精度地检测异常系统行为,而无需依赖内存扫描或攻击签名检测等资源密集型技术。Elastic 的漂移检测机制具有较低的误报率,因此您可以在大多数环境中部署它,而无需担心创建过多的警报。
工作负载保护策略
编辑Kubernetes 的 CWP 使用灵活的策略语言将容器工作负载限制为您选择的允许能力集。当与漂移和威胁检测一起使用时,这可以提供多层防御。
支持矩阵
编辑| EKS 1.24-1.27 (AL2022) | GKE 1.24-1.27 (COS) | |
|---|---|---|
进程事件导出 |
✓ |
✓ |
网络事件导出 |
✓ |
✓ |
文件事件导出 |
✓ |
✓ |
文件阻止 |
✓ |
✓ |
进程阻止 |
✓ |
✓ |
网络阻止 |
✗ |
✗ |
漂移预防 |
✓ |
✓ |
挂载点感知 |
✓ |
✓ |
Kubernetes 的 CWP 如何工作
编辑Kubernetes 的 CWP 使用轻量级集成,即容器防御 (D4C)。当您设置 D4C 集成时,它会由 Elastic Agent 部署。具体来说,Elastic Agent 作为 DaemonSet 安装在您的 Kubernetes 集群上,它使 D4C 能够使用 eBPF Linux 安全模块 (LSM) 和跟踪点探针来记录系统事件。事件会根据 LSM 钩子点进行评估,使 Elastic Agent 能够在允许系统活动继续之前根据您的策略对其进行评估。
您的 D4C 集成策略确定哪些系统行为(例如,进程执行或文件创建或删除)将导致哪些操作。选择器 和响应 定义每个策略。选择器定义导致关联响应运行的条件。响应与一个或多个选择器关联,并指定当满足关联选择器中定义的条件时将发生的一个或多个操作(例如 log、alert 或 block)。
默认的 D4C 策略将有关所有正在运行的进程的数据发送到您的 Elasticsearch 集群。Elastic Security 的预构建检测规则使用此数据来检测容器工作负载中的恶意行为。
要了解有关 D4C 策略的更多信息,包括如何创建您自己的策略,请参阅 D4C 策略指南。