产品概述

CWPP产品简介

随着企业业务云化、容器化、云原生化的推进，企业的基础架构与安全需求也在不断的复杂化，并且伴随着新的技术方案的出现，也通常会伴随着新的安全风险，在这样的大背景下，传统的服务器安全产品逐渐变得捉襟见肘：

• 多云、混合云架构带来的多云场景下服务器安全管理的需求；
• 容器化带来的新的攻防面，但传统的服务器安全产品通常不支持容器内入侵检测与响应；
• 云原生带来的k8s自身的攻击面问题也不容小觑，如容器集群内的不安全配置、恶意的资源创建与访问等问题；
• 随云原生化的推进，业务实例的生命周期与发布也越来越灵活，传统的业务安全问题如框架漏洞等带来的问题也愈发关键但也更为隐蔽；
• 业务工作负载往往是同时存在多种类型，从传统的物理机，虚拟机，云服务器到容器或容器集群环境往往会同时出现在企业内部满足不同需求，这时统一的工作负载保护平台就显得至关重要了；
• 随着基础架构的复杂度增高，合规与审计需求也变得更为困难。

火山引擎 CWPP 就是为了满足企业在复杂架构下安全需求的产品，该产品源于字节跳动(ByteDance)内部最佳实践，其原生集成了 服务器与容器反入侵，容器集群反入侵，RASP(即应用运行时保护)，威胁溯源与猎捕，工作负载资产盘点，工作负载漏洞发现，工作负载基线检查，暴露面分析，开放式策略引擎等能力，帮助企业在一体式的解决方案下更好的保障云上，云下工作负载安全。

能力概述

入侵检测

入侵检测是CWPP的核心功能，火山引擎 CWPP 具有优秀的入侵检测能力，不仅可以对抗常见的扫描等自动化攻击行为，面对类APT的威胁也有良好的发现能力。

告警溯源

针对各类安全事件，通过PB级的数据秒级查询、自动化可视化溯源，为用户还原事件现场。

资产盘点

火山引擎 CWPP 会收集端上的资产信息，用来辅助安全工程师进行资产盘点与风险评估，涵盖端口、进程、容器、应用、系统完整性等信息。

漏洞发现

火山引擎 CWPP 通过资产数据作为基础，可以对所采集的资产漏洞发现，帮助企业有效感知漏洞弱点，同时情报库更新频率为日更，可以满足企业对新爆发漏洞进行快速感知，同时我们也通过人工维护的“高可利用性漏洞”帮助企业关注最需要修复的安全问题。

合规基线

火山引擎 CWPP 提供基础的Linux环境合规基线能力，包括字节跳动内部最佳实践、等级保护二级、等级保护三级、SSH弱口令检测等，帮助企业有效了解潜在的安全风险。

行为审计

火山引擎 CWPP 端上采集的所有数据，如进程创建，网络连接，文件创建等十几种实时行为数据，或是如资产数据，登陆信息等数据用户都拥有全部访问权限，可以在不影响火山引擎 CWPP 后端稳定性的前提下通过消费 Kafka 获得，这部分数据可以通过存储在大数据套件中来满足审计的工作需求。

自定义端上插件能力

火山引擎 CWPP 的端上能力是插件式的，用户也可以根据自己的需求进行端上插件编写，然后借助火山引擎 CWPP 控制面进行下发与管理。

规则/事件引擎

火山引擎 CWPP 完全开放了规则与事件引擎：Elkeid HUB，Elkeid HUB 具备良好的数据处理能力，可以接入外部自定义数据，也可以自定义规则和插件来满足其他需求。