Elkeid (Bytedance Cloud Workload Protection Platform) 是一款可以满足主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践,Elkeid于2020年首次对外开源。
我们很高兴向大家宣布,Elkeid社区版v1.9.1 于 xx 月 xx 日正式发布。这是自Elkeid 社区版v1.7 发布以来的第一个大版本。
本次更新不仅包含了性能优化和稳定性的提升,还新增了漏洞扫描、 基线 检测、应用运行时防护、 云原生 防护等许多重要功能,欢迎大家使用。
一、产品概述
Elkeid (Bytedance Cloud Workload Protection Platform) 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践。
Elkeid 具备以下主要能力:
- Elkeid 不仅具备传统的 HIDS(Host Intrusion Detection System) 的对于主机层入侵检测和恶意文件识别的能力,且对容器内的恶意行为也可以很好的识别,部署在宿主机即可以满足宿主机与其上容器内的反入侵安全需求,并且 Elkeid 底层强大的内核态数据采集能力可以满足大部分安全运营人员对于主机层数据的渴望。
- 对于运行的业务 Elkeid 具备 RASP 能力可以注入到业务进程内进行反入侵保护,不仅运维人员不需要再安装一个 Agent,业务也无需重启。
- 对于 K8 s 本身 Elkeid 支持接入K8 s Audit Log 对 K8s 系统进行入侵检测和风险识别。
- Elkeid 的规则引擎 Elkeid HUB 也可以很好的和外部多系统进行联动对接。
Ekeid 将这些能力都很好的融合在一个平台内,满足不同工作负载的复杂安全需求的同时,还能实现多组件能力关联,更难得的是每个组件均经过字节跳动海量数据和多年的实战检验。
二、重要更新
1、增加漏洞扫描、基线检测能力
如何能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题,一直是安全运营中重要工作之一。
Elkeid 本次开源的漏洞扫描和基线检测能力,旨在信息系统受到危害之前为管理员提供专业、有效的漏洞修补建议,帮助用户进行系统加固,这也是CWPP的核心能力之一。
社区版默认支持部分漏洞的检测和少量基线检查能力,可以开箱即用。另外还可以基于我们的开源版本进行二次开发,补全更多的漏洞数据和增加更多的插件检测能力。
2、增加应用运行时防护能力
RASP的端上能力此前我们已经完全开源,本次更新我们提供了RASP能力的完整接入和使用,可以灵活得配置注入规则和管理注入进程,支持Java、PHP、Golang、NodeJS、Python 五种运行时类型的注入。
此外社区版还默认提供了部分的RASP入侵检测规则,支持部分场景的检测能力,想要更强的检测能力可以自行基于 Elkeid HUB 进行策略构建。
3、增加容器集群保护能力
作为业界领先的容器编排系统之一,Kubernetes为企业容器环境带来了可扩展性,可靠性和简化管理,但同时也为攻击者提供了新的攻击面。
本次我们开源了Kubernetes容器集群防护能力,提供了完整的数据接入能力,并默认配置了部分检测规则。
4、增加端上病毒扫描能力
本次我们更新了端上病毒扫描能力,支持检测常见的Webshell,木马,后门,挖矿程序等恶意二进制静态文件。并且支持自定义扫描、快速扫描、全盘扫描等扫描方式。
5、更强的的资产可视能力
本次更新,我们增加容器集群、中间件、应用识别、服务器网卡、基础硬件信息、内核模块信息等的采集,具备了更强的资产采集和可视能力。
6、监控能力补齐,降低运维难度、提升运维效率
除了安全能力以外,Agent对业务机器的影响,后端系统本身的稳定性也是我们非常关注的。本次开源我们增加了对Agent以及后端服务的运行状况以及资源占用等的监控、告警能力。
可以在前端实时查看Agent所在主机的CPU,内存,磁盘和网络流量等使用情况。还可以在系统监控模块查看后端负载情况和相关的系统告警。
7、Elkeid HUB 增加完整的前端支持
Elkeid HUB 是一款由 Elkeid Team 维护的规则/事件处理引擎,支持流式/离线(社区版尚未支持)数据处理。 初衷是通过标准化的抽象语法/规则来解决复杂的数据/事件处理与外部系统联动需求。
本次我们发布了Elkeid HUB相对完整的前端能力,可以支持规则的可视化编辑,规则测试,规则发布,集群状态监控,以及用户管理。
其他更新
这里只列举了部分更新,更详细的细节请查看 Release Notes。
- 提供钉钉,飞书,企业微信,邮件等告警消息推送能力,支持按告警等级维度进行告警推送。
- 组件配置及策略优化,支持用户下发自定义客户端插件。
- 增加文件完整性检测能力。
- 首页重构,优化产品表达能力。
- 告警整体展示能力完善,提供更加详尽的告警信息。
- Elkeid HUB增加规则测试能力。
- 性能优化和多个问题的修复,提升兼容性和稳定性。
三、社区版和企业版
与社区版相比,Elkeid企业版具备更完整的防入侵和风险感知能力,可以支持单独策略售卖,也支持完整能力售卖。
目前,Elkeid企业版不仅仅在字节跳动内部和火山引擎上使用,也得到了众多外部客户的信任和验证。如果对Elkeid企业版感兴趣请联系: elkeid@bytedance.com。
- Elkeid企业版与社区版能力差异:
| 功能 | Elkeid Community Edition | Elkeid Enterprise Edition |
|---|---|---|
| Linux 数据采集能力 | ✅ | ✅ |
| RASP 探针能力 | ✅ | ✅ |
| K8s Audit Log 采集能力 | ✅ | ✅ |
| Agent 控制面 | ✅ | ✅ |
| 主机状态与详情 | ✅ | ✅ |
| 勒索诱饵 | 🙅♂️ | ✅ |
| 资产采集 | ✅ | ✅ |
| 高级资产采集 | 🙅♂️ | ✅ |
| 容器集群资产采集 | ✅ | ✅ |
| 暴露面与脆弱性分析 | 🙅♂️ | ✅ |
| 主机/容器 基础入侵检测 | 少量样例 | ✅ |
| 主机/容器 行为序列入侵检测 | 🙅♂️ | ✅ |
| RASP 基础入侵检测 | 少量样例 | ✅ |
| RASP 行为序列入侵检测 | 🙅♂️ | ✅ |
| K8s 基础入侵检测 | 少量样例 | ✅ |
| K8s 行为序列入侵检测 | 🙅♂️ | ✅ |
| K8s 威胁分析 | 🙅♂️ | ✅ |
| 告警溯源(行为溯源) | 🙅♂️ | ✅ |
| 告警溯源(驻留溯源) | 🙅♂️ | ✅ |
| 告警白名单 | ✅ | ✅ |
| 多告警聚合能力 | 🙅♂️ | ✅ |
| 威胁处置(进程) | 🙅♂️ | ✅ |
| 威胁处置(网络) | 🙅♂️ | ✅ |
| 威胁处置(文件) | 🙅♂️ | ✅ |
| 文件隔离箱 | 🙅♂️ | ✅ |
| 漏洞检测 | 少量情报 | ✅ |
| 漏洞情报热更新 | 🙅♂️ | ✅ |
| 基线检查 | 少量基线 | ✅ |
| RASP 热补丁 | 🙅♂️ | ✅ |
| 病毒扫描 | ✅ | ✅ |
| 用户行为日志分析 | 🙅♂️ | ✅ |
| 插件管理 | ✅ | ✅ |
| 系统监控 | ✅ | ✅ |
| 系统管理 | ✅ | ✅ |
| Windows 支持 | 🙅♂️ | ✅ |
| 蜜罐 | 🙅♂️ | 🚘 |
| 主动防御 | 🙅♂️ | 🚘 |
| 云查杀 | 🙅♂️ | 🚘 |
| 防篡改 | 🙅♂️ | 🚘 |
- Elkeid HUB 企业版与社区版能力差异:
| Ability List | Elkeid HUB Community Edition | Elkeid HUB Enterprise Edition |
|---|---|---|
| 流式数据处理 | ✅ | ✅ |
| 数据输入输出能力 | ✅ | ✅ |
| 完整前端支持 | ✅ | ✅ |
| 监控能力 | ✅ | ✅ |
| 插件支持 | ✅ | ✅ |
| Debug支持 | ✅ | ✅ |
| 离线数据处理 | 🙅♂️ | ✅ |
| 持久化能力 | 🙅♂️ | ✅ |
| Workspace | 🙅♂️ | ✅ |
| 集群模式 | 🙅♂️ | ✅ |
四、开源地址及协议
开源地址:
开源协议:
- 内核态驱动采用GPLv3协议
- 用户态程序采用Apache-2.0协议
- Elkeid HUB: Elkeid License(商业不友好)
五、后续计划
Elkeid 开源版本会长期维护和更新;
六、致谢及交流
非常感谢项目开发/推动过程中相关团队的支持与帮助。
欢迎大家通过GitHub或飞书群【 Elkeid 交流群】进行交流讨论和建议反馈。
飞书群二维码:
