隨著企業(yè)業(yè)務云化�、容器化、云原生化的推進��,企業(yè)的基礎架構與安全需求也在不斷的復雜化�����,并且伴隨著新的技術方案的出現(xiàn)��,也通常會伴隨著新的安全風險��。在這樣的大背景下��,字節(jié)跳動安全與風控部門希望能夠有一套解決方案�����,能夠滿足不同工作負載下的安全需求��,于是Elkeid誕生了���,并對外開源(項目地址:https://github.com/bytedance/Elkeid)�����。
Elkeid的整體架構
Ekeid將多個能力整合到一個平臺中�����,以滿足不同工作負載復雜的安全需求���,同時也實現(xiàn)了多組件能力的關聯(lián):
· Elkeid 具有出色的內核態(tài)Runtime行為采集能力,這意味著對于部署的宿主機與其上的容器內的惡意行為均具有識別檢測能力����。
· Elkeid 在用戶態(tài)支持多維度的資產采集、日志采集�����、惡意文件識別�、風險發(fā)現(xiàn)等功能。
· 對于正在運行的業(yè)務Elkeid具有RASP能力���,可以注入到業(yè)務進程中進行反入侵保護�,不僅運維人員不需要再安裝Agent�����,業(yè)務也不需要重啟。
· 對于K8s本身�,Elkeid支持采集到K8s Audit Log,對K8s系統(tǒng)進行入侵檢測和風險識別����。
· Elkeid的規(guī)則引擎Elkeid HUB也可以很好的與外部多系統(tǒng)對接。
據(jù)了解�,Elkeid 完整版本在字節(jié)跳動部署規(guī)模已達到百萬級,覆蓋了包括今日頭條�����、抖音�����、西瓜視頻等多個業(yè)務線���,其穩(wěn)定性�����、性能�����、數(shù)據(jù)采集能力����、檢測能力、溯源能力等得到了實戰(zhàn)驗證�����,均有不俗表現(xiàn)�。比如�����,Elkeid 在字節(jié)跳動內部的整體策略ATT&CK覆蓋率目前已達到56%�;用戶態(tài)Agent在內部使用平均CPU占用小于1%單核;內存小于30MB���。
開源版本之外�����,字節(jié)跳動安全與風控部門也通過火山引擎對外提供Elkeid 的商業(yè)化版本���,目前已上線火山引擎官網(wǎng)��,產品名為火山引擎CWPP���。火山引擎CWPP從設計之初便遵循為物理機��、虛擬機�、容器和無服務器工作負載提供一致的保護和可見性的原則,將主機安全�����、RASP����、阻斷與響應能力、追溯能力通過插件的方式整合在一個agent上�,同時對多云和混合云下也有很好的支持。
