Kubernetes 云工作负载保护

Elastic Cloud Workload Protection (CWP) for Kubernetes 通过识别并可选地阻止 Kubernetes 容器中意外的系统行为，为容器化环境提供云原生运行时保护。

用例edit

威胁检测和威胁狩猎edit

CWP for Kubernetes 将您的容器中的系统事件发送到 Elasticsearch。Elastic Security 的预构建安全规则包含许多旨在检测容器运行时中的恶意行为的规则。这些规则可以帮助您检测容器中永远不应该发生的事件，例如反向 shell 执行、权限提升、容器逃逸尝试等等。

漂移检测和预防edit

云原生容器应该是不可变的，这意味着它们的 文件系统在正常操作期间不应该更改。通过利用这一原则，安全团队可以以很高的精度检测异常系统行为，而无需依赖更资源密集的技术（如内存扫描或攻击特征检测）。Elastic 的漂移检测机制具有较低的误报率，因此您可以在大多数环境中部署它，而不必担心产生过多的警报。

工作负载保护策略edit

CWP for Kubernetes 使用灵活的策略语言将容器工作负载限制为由您选择的允许的功能集。当与漂移和威胁检测一起使用时，这可以提供多层防御。

支持矩阵：edit

CWP for Kubernetes 的工作原理edit

CWP for Kubernetes 使用轻量级集成 Defend for Containers (D4C)。当您设置 D4C 集成时，它将由 Elastic Agent 部署。具体来说，Elastic Agent 作为 DaemonSet 安装在您的 Kubernetes 集群上，它使 D4C 能够使用 eBPF Linux 安全模块 (LSM) 和跟踪点探测器来记录系统事件。事件根据 LSM 钩子点进行评估，使 Elastic Agent 能够在允许系统活动继续之前根据您的策略评估系统活动。

您的 D4C 集成策略决定哪些系统行为（例如，进程执行或文件创建或删除）会导致哪些操作。选择器 和 响应 定义每个策略。选择器定义导致关联响应运行的条件。响应与一个或多个选择器相关联，并指定一个或多个操作（例如 log、alert 或 block），这些操作将在满足关联选择器中定义的条件时发生。

默认的 D4C 策略将所有正在运行的进程的数据发送到您的 Elasticsearch 集群。Elastic Security 的预构建检测规则使用此数据来检测容器工作负载中的恶意行为。