字节开源 | 云工作负载保护平台Elkeid 社区版 v1.9.1 正式发布

阅读量314155

发布时间 : 2022-12-06 15:30:33

 

Elkeid (Bytedance Cloud Workload Protection Platform) 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践,Elkeid于2020年首次对外开源。

我们很高兴向大家宣布,Elkeid社区版 v1.9.1 于12月02 日正式发布。这是自Elkeid 社区版 v1.7 发布以来的第一个大版本。

本次更新不仅包含了性能优化和稳定性的提升,还新增了漏洞扫描、基线检测、应用运行时防护、云原生防护等许多重要功能,欢迎大家使用。

 

一、产品概述

Elkeid 具备以下主要能力:

  • · Elkeid 不仅具备传统的 HIDS(Host Intrusion Detection System) 的对于主机层入侵检测和恶意文件识别的能力,且对容器内的恶意行为也可以很好的识别,部署在宿主机即可以满足宿主机与其上容器内的反入侵安全需求,并且 Elkeid 底层强大的内核态数据采集能力可以满足大部分安全运营人员对于主机层数据的渴望。
  • · 对于运行的业务 Elkeid 具备 RASP 能力可以注入到业务进程内进行反入侵保护,不仅运维人员不需要再安装一个 Agent,业务也无需重启。
  • · 对于 K8s 本身 Elkeid 支持接入K8s Audit Log 对 K8s 系统进行入侵检测和风险识别。
  • · Elkeid 的规则引擎 Elkeid HUB 也可以很好的和外部多系统进行联动对接。

Ekeid 将这些能力都很好的融合在一个平台内,满足不同工作负载的复杂安全需求的同时,还能实现多组件能力关联,更难得的是每个组件均经过字节跳动海量数据和多年的实战检验。

 

二、重要更新

1、增加漏洞扫描、基线检测能力

如何能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题,一直是安全运营中重要工作之一。

Elkeid 本次开源的漏洞扫描和基线检测能力,旨在信息系统受到危害之前为管理员提供专业、有效的漏洞修补建议,帮助用户进行系统加固,这也是CWPP的核心能力之一。
社区版默认支持部分漏洞的检测和少量基线检查能力,可以开箱即用。另外还可以基于我们的开源版本进行二次开发,补全更多的漏洞数据和增加更多的插件检测能力。

2、增加应用运行时防护能力

RASP的端上能力此前我们已经完全开源,本次更新我们提供了RASP能力的完整接入和使用,可以灵活得配置注入规则和管理注入进程,支持Java、PHP、Golang、NodeJS、Python 五种运行时类型的注入。

此外社区版还默认提供了部分的RASP入侵检测规则,支持部分场景的检测能力,想要更强的检测能力可以自行基于 Elkeid HUB 进行策略构建。

3、增加容器集群保护能力

作为业界领先的容器编排系统之一,Kubernetes为企业容器环境带来了可扩展性,可靠性和简化管理,但同时也为攻击者提供了新的攻击面。

本次我们开源了Kubernetes容器集群防护能力,提供了完整的数据接入能力,并默认配置了部分检测规则。

4、增加端上病毒扫描能力

本次我们更新了端上病毒扫描能力,支持检测常见的Webshell,木马,后门,挖矿程序等恶意二进制静态文件。并且支持自定义扫描、快速扫描、全盘扫描等扫描方式。

5、更强的的资产可视能力

本次更新,我们增加容器集群、中间件、应用识别、服务器网卡、基础硬件信息、内核模块信息等的采集,具备了更强的资产采集和可视能力。

6、监控能力补齐,降低运维难度、提升运维效率

除了安全能力以外,Agent对业务机器的影响,后端系统本身的稳定性也是我们非常关注的。本次开源我们增加了对Agent以及后端服务的运行状况以及资源占用等的监控、告警能力。

可以在前端实时查看Agent所在主机的CPU,内存,磁盘和网络流量等使用情况。还可以在系统监控模块查看后端负载情况和相关的系统告警。

7、Elkeid HUB 增加完整的前端支持

Elkeid HUB 是一款由 Elkeid Team 维护的规则/事件处理引擎,支持流式/离线(社区版尚未支持)数据处理。 初衷是通过标准化的抽象语法/规则来解决复杂的数据/事件处理与外部系统联动需求。

本次我们发布了Elkeid HUB相对完整的前端能力,可以支持规则的可视化编辑,规则测试,规则发布,集群状态监控,以及用户管理。

其他更新

这里只列举了部分更新,更详细的细节请查看 Release Notes。

  • 提供钉钉,飞书,企业微信,邮件等告警消息推送能力,支持按告警等级维度进行告警推送。
  • 组件配置及策略优化,支持用户下发自定义客户端插件。
  • 增加文件完整性检测能力。
  • 首页重构,优化产品表达能力。
  • 告警整体展示能力完善,提供更加详尽的告警信息。
  • Elkeid HUB增加规则测试能力。
  • 性能优化和多个问题的修复,提升兼容性和稳定性。

 

三、社区版和企业版

与社区版相比,Elkeid企业版具备更完整的防入侵和风险感知能力,可以支持单独策略售卖,也支持完整能力售卖。

目前,Elkeid企业版不仅仅在字节跳动内部和火山引擎上使用,也得到了众多外部客户的信任和验证。如果对Elkeid企业版感兴趣请联系: elkeid@bytedance.com

Elkeid企业版与社区版能力差异:

Elkeid HUB 企业版与社区版能力差异:

 

四、开源地址及协议

开源地址:

开源协议:

  • 内核态驱动采用GPLv3协议
  • 用户态程序采用Apache-2.0协议
  • Elkeid HUB: Elkeid License(商业不友好)

 

五、后续计划

Elkeid 开源版本会长期维护和更新;

 

六、致谢及交流

非常感谢项目开发/推动过程中相关团队的支持与帮助。
欢迎大家通过GitHub或飞书群【 Elkeid 交流群】进行交流讨论和建议反馈。
飞书群二维码:

本文由火山引擎云安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/284075

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
火山引擎云安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66