随着企业数字化转型不断深入,企业核心运用的安全愈发主要。运用层凑集外部、内部和供应链三种攻击来源的各种威胁,常常成为业务架构中被攻击的入口,单一的防护方案很难实现全面防御。如何有效实现运用安全?这一问题是火山引擎云安全团队长期关注与重视的,并结合字节跳动运用安全积累了丰富的实战履历。
生产环境常见的各种威胁
在刚刚结束的2022 CCS 成都网络安全大会上,来自火山引擎的信息安全工程师潘玺廷,进行《字节跳动运用运行时如何防护》的主题分享。
生产环境主机威胁
生产环境攻击来源可以归类为外部、内部和供应链。对付一台主机,这三种攻击来源会履行在不同的浸染域:对付 Linux 内核与用户态会有常见的恶意软件或是 Linux 漏洞风险,对付容器层会有更难以约束的镜像问题或是集群配置问题。本次分享的重点在运用层防护,这是一台主机最紧张的攻击入口,这里凑集了三种攻击来源的各种威胁。
为了应对运用层不同浸染域、不同来源、不同办法的威胁,火山引擎结合字节跳动多年的实践运用履历,研发了针对不用浸染域的 Elkeid 办理方案。
Elkeid 办理方案包含端上统一的 Agent 以及各个能力插件,为客户供应内核信息与事宜采集、用户态查杀与基线、容器与集群审计、RASP 防御等安全能力,帮助客户应对在运用层不同浸染域、不同来源、不同办法的威胁。火山引擎 Elkeid 办理方案能够知足企业做事器真个入侵检测,合规,审计等需求,同时实现对运用层的全面防御。
火山引擎 CWPP端上与容器集群安全能力一览
个中火山引擎 Elkeid RASP 是火山引擎云安全团队自研的一种运用安全防御技能,通过对运用运行时植入探针来采集运行时的关键信息,并剖析运行时行为产生及时告警。
潘玺廷先容了火山引擎 Elkeid 如何通过 RASP 技能,确保对业务生产环境和运用层实现有效的安全防护。
Elkeid RASP 兼容适配
火山引擎在自研 Elkeid RASP 技能前,就对该运用安全防御技能的适配兼容和快速支配进行了高哀求,希望 RASP 能在采集、检测外具备旁路支配的能力,并且同时支持在多种措辞环境下的利用。
Elkeid RASP 技能对多种措辞均可兼容支持
因此,火山引擎 Elkeid RASP 技能对付 Node.JS/JVM/PHP/CPython/Golang 措辞都是利用措辞特性或干系接口来完成旁路支配的,并且在支配指令与上报信息的过程中,都能通过 Elkeid 技能栈与 Server 交互。
Elkeid RASP 防护策略
为了实现对业务运行过程中信息的全面采集,并对识别出的告警信息进行及时推送,火山引擎 Elkeid RASP 采取以下防护策略:
RASP 的数据采集会覆盖目标运用的进程、网络与文件,并基于最小 Hook 原则,实现最小的资源占用;通过 Elkeid-HUB 技能的强大流式编排打算能力,确保 RASP 能够对上报数据完成快速策略打算;RASP 探针原始上报的数据将会持续经由 HUB 的打算,天生的告警可以直接推送到安全工程师的通讯工具或是 CWPP 事情台中。火山引擎 CWPP 是为了知足企业在繁芜架构下安全需求的产品,帮助企业在一体式的办理方案下更好保障云上、云下事情负载安全。
火山引擎 CWPP 掌握台告警展示
通过构建 Elkeid-HIDS 与 Elkeid-RASP 共同监控的沙箱,同时对上游 package 及时订阅并剖析,可以得出更早期的上游恶意包信息。构建 Elkeid 沙箱对供应链软件进行剖析
Elkeid 联动与溯源
当确认创造入侵行为后,安全工程师紧张的事情便是要办理这些问题:
入侵者是哪里进入的?入侵发生了多久?多少资产受到影响?入侵者的完全路径与操作是什么?火山引擎Elkeid可以通过与 CWPP 实现快速联动,将创造到的安全告警实时发送给 CWPP 进行快速处置,通过告警溯源能力有效办理以上问题。
火山引擎 CWPP 通过自研存储层实现对原始数据存储的低本钱存储和高效查询,该方案可以支持PB级原始数据的秒级查询,当产生安全告警后,CWPP 溯源引擎会考试测验通过将告警与原始数据关联查询以达到还原现场的能力。
CWPP 的多个安全功能溯源
CWPP是为物理机、虚拟机、容器和无做事器事情负载供应同等的保护和可见性的安全产品。火山引擎 CWPP,脱胎于字节跳动主机安全团队,该项目在字节跳动内部办理了千万级容器的反入侵与溯源需求。欢迎点击阅读原文,试用火山引擎 CWPP。
目前火山引擎 Elkeid 已将完全采集能力开源——
Github: https://github.com/bytedance/Elkeid
Home Page: https://elkeid.bytedance.com
在未来,火山引擎 Elkeid 将持续结合整体网络环境,和字节跳动内部实践、技能创新,为企业用户供应更为全面的主机安全办理方案。
