隨著企業(yè)業(yè)務(wù)云化、容器化���、云原生化的推進(jìn)��,企業(yè)的基礎(chǔ)架構(gòu)與安全需求也在不斷的復(fù)雜化��,并且伴隨著新的技術(shù)方案的出現(xiàn)����,也通常會(huì)伴隨著新的安全風(fēng)險(xiǎn)。在這樣的大背景下��,字節(jié)跳動(dòng)安全與風(fēng)控部門希望能夠有一套解決方案�����,能夠滿足不同工作負(fù)載下的安全需求���,于是Elkeid誕生了,并對(duì)外開源(項(xiàng)目地址:https://github.com/bytedance/Elkeid)���。
Elkeid的整體架構(gòu)
Ekeid將多個(gè)能力整合到一個(gè)平臺(tái)中�����,以滿足不同工作負(fù)載復(fù)雜的安全需求����,同時(shí)也實(shí)現(xiàn)了多組件能力的關(guān)聯(lián):
· Elkeid 具有出色的內(nèi)核態(tài)Runtime行為采集能力,這意味著對(duì)于部署的宿主機(jī)與其上的容器內(nèi)的惡意行為均具有識(shí)別檢測(cè)能力�����。
· Elkeid 在用戶態(tài)支持多維度的資產(chǎn)采集�����、日志采集�����、惡意文件識(shí)別���、風(fēng)險(xiǎn)發(fā)現(xiàn)等功能��。
· 對(duì)于正在運(yùn)行的業(yè)務(wù)Elkeid具有RASP能力�,可以注入到業(yè)務(wù)進(jìn)程中進(jìn)行反入侵保護(hù)�,不僅運(yùn)維人員不需要再安裝Agent,業(yè)務(wù)也不需要重啟�。
· 對(duì)于K8s本身��,Elkeid支持采集到K8s Audit Log,對(duì)K8s系統(tǒng)進(jìn)行入侵檢測(cè)和風(fēng)險(xiǎn)識(shí)別��。
· Elkeid的規(guī)則引擎Elkeid HUB也可以很好的與外部多系統(tǒng)對(duì)接���。
據(jù)了解,Elkeid 完整版本在字節(jié)跳動(dòng)部署規(guī)模已達(dá)到百萬(wàn)級(jí)����,覆蓋了包括今日頭條��、抖音�、西瓜視頻等多個(gè)業(yè)務(wù)線��,其穩(wěn)定性�、性能、數(shù)據(jù)采集能力���、檢測(cè)能力、溯源能力等得到了實(shí)戰(zhàn)驗(yàn)證�,均有不俗表現(xiàn)�。比如,Elkeid 在字節(jié)跳動(dòng)內(nèi)部的整體策略ATT&CK覆蓋率目前已達(dá)到56%�����;用戶態(tài)Agent在內(nèi)部使用平均CPU占用小于1%單核;內(nèi)存小于30MB���。
開源版本之外���,字節(jié)跳動(dòng)安全與風(fēng)控部門也通過(guò)火山引擎對(duì)外提供Elkeid 的商業(yè)化版本����,目前已上線火山引擎官網(wǎng)�,產(chǎn)品名為火山引擎CWPP�����。火山引擎CWPP從設(shè)計(jì)之初便遵循為物理機(jī)���、虛擬機(jī)、容器和無(wú)服務(wù)器工作負(fù)載提供一致的保護(hù)和可見性的原則,將主機(jī)安全��、RASP、阻斷與響應(yīng)能力��、追溯能力通過(guò)插件的方式整合在一個(gè)agent上����,同時(shí)對(duì)多云和混合云下也有很好的支持��。
比.jpg)
