« Kubernetes 的云工作负载保护 容器工作负载保护策略 »
Elastic 文档 Elastic Security Solution [8.14] 云原生安全 Kubernetes 的云工作负载保护

开始使用 Kubernetes 的 CWP

编辑

开始使用 Kubernetes 的 CWP编辑

此功能处于测试阶段,可能会发生更改。其设计和代码不如正式 GA 功能成熟,并且按原样提供,不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。

此页面介绍如何为 Kubernetes 设置云工作负载保护 (CWP)。

要求

  • Kubernetes 节点操作系统必须具有 Linux 内核 5.10.16 或更高版本。
  • Elastic Stack 版本 8.8 或更高版本。

初始设置编辑

首先,您需要将 Elastic 的 Defend for Containers 集成部署到您希望监控的 Kubernetes 集群。

  1. 转到 管理 > 容器工作负载安全 > 添加 D4C 集成
  2. 为集成命名。默认名称(您可以更改)为 cloud_defend-1
  3. 可选 — 通过调整 选择器响应 部分来对集成的策略进行所需的任何更改。(有关更多信息,请参阅 Defend for Containers 策略指南)。您也可以稍后更改这些设置。
  4. 在此处添加此集成 下,选择现有或新的代理策略。
  5. 单击 保存并继续,然后单击 将 Elastic Agent 添加到您的主机
  6. 在 Elastic Agent 策略页面上,单击 添加代理 以打开“添加代理”弹出窗口。
  7. 在弹出窗口中,转到步骤 3 (在主机上安装 Elastic Agent),然后选择 Kubernetes 选项卡。
  8. 下载或复制清单 (elastic-agent-managed-kubernetes.yml)。

  9. 使用您最喜欢的编辑器打开清单,并取消注释 #capabilities 部分

    #capabilities:
#  add:
#    - BPF # (since Linux 5.8) allows loading of BPF programs, create most map types, load BTF, iterate programs and maps.
#    - PERFMON # (since Linux 5.8) allows attaching of BPF programs used for performance metrics and observability operations.
#    - SYS_RESOURCE # Allow use of special resources or raising of resource limits. Used by 'Defend for Containers' to modify 'rlimit_memlock'
  10. 从您保存清单的目录中,运行命令 kubectl apply -f elastic-agent-managed-kubernetes.yml
  11. 等待 确认代理注册 对话框显示数据已从您新安装的代理开始流入,然后单击 关闭

开始威胁检测编辑

默认 D4C 策略 之一将进程遥测事件 (forkexec) 发送到 Elasticsearch。

为了使用此数据检测威胁,您需要激活的 检测规则。Elastic 为此数据设计了预构建的检测规则。(您还可以创建您自己的 自定义规则。)

要安装并启用预构建的规则

  1. 转到 安全 > 规则 > 检测规则 (SIEM),然后单击 添加 Elastic 规则
  2. 单击搜索栏旁边的 标签 过滤器,然后搜索 数据源:Elastic Defend for Containers 标签。
  3. 选择所有显示的规则,然后单击 安装 x 个选定的规则
  4. 返回 规则 页面。单击搜索栏旁边的 标签 过滤器,然后搜索 数据源:Elastic Defend for Containers 标签。
  5. 选择带有该标签的所有规则,然后单击 批量操作 > 启用

开始使用漂移检测和预防编辑

Elastic Security 将容器漂移定义为在容器内创建或修改可执行文件。阻止漂移通过禁止攻击者使用外部工具来限制可供其使用的攻击媒介数量。

要启用漂移检测,可以使用默认 D4C 策略

  1. 确保默认 D4C 策略处于活动状态。
  2. 确保至少启用了“容器工作负载保护”规则,方法是按照上述步骤安装预构建规则。

要启用漂移预防,请创建新策略

  1. 添加一个名为 blockDrift 的新选择器。
  2. 转到 安全 > 管理 > 容器工作负载安全 > 您的集成名称
  3. 选择器 下,单击 添加选择器 > 文件选择器。默认情况下,它选择操作 createExecutablemodifyExecutable
  4. 为选择器命名,例如:blockDrift
  5. 向下滚动到 响应 部分,然后单击 添加响应 > 文件响应
  6. 匹配选择器 下,添加新选择器的名称,例如:blockDrift
  7. 选择 警报阻止 操作。
  8. 单击 保存集成

在启用阻止之前,我们强烈建议您观察使用默认 D4C 策略的生产工作负载,以确保工作负载不会在其正常操作中创建或修改可执行文件。

策略验证编辑

为确保生产工作负载的稳定性,您应在生产工作负载中实施策略更改之前对其进行测试。我们还建议您在模拟环境中对策略更改进行测试,其中工作负载与生产类似。此方法允许您测试策略更改是否可以防止不良行为,而不会中断生产工作负载。

« Kubernetes 的云工作负载保护 容器工作负载保护策略 »