2026-03-04 11:15:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Elkeid是字节跳动开源的云工作负载保护平台，集HIDS、RASP与K8s审计于一体。文中对比了社区版与企业版在入侵检测、响应处置等维度的能力差异，解析了微服务架构与内核级采集设计，并提供了详细的部署指南。此外展示了容器逃逸检测等典型场景，文末附带了安全证书出售及社群推广等商业引流信息。 综合评分： 78 文章分类： 云安全,安全工具,终端安全,产品介绍,安全建设

cover_image

字节跳动开源云原生安全平台

原创

菜狗菜狗

只会看监控的实习生

2026年3月2日 08:01 广东

⚡ 一句话定位

Elkeid 是字节跳动内部实践的开源版云工作负载保护平台（CWPP），集 HIDS + RASP + K8s 审计于一体，单平台解决多云、云原生场景下的入侵检测、风险感知、资产收集需求。

🎯 核心能力（社区版 vs 企业版）

🏗️ 架构总览（微服务 + 内核级采集）

┌──────────────────────────────────────────────────────────────┐
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Elkeid Console (Vue) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
└──────────────────────────────┬───────────────────────────────┘
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
┌──────────────────────────────▼───────────────────────────────┐
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Elkeid Backend (Go) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; │
├──────────────────┬──────────────────┬────────────────────────┤
│ Agent Center &nbsp; &nbsp; │ Service Discovery│ Elkeid HUB (规则引擎) │
│ (Agent 管理) &nbsp; &nbsp; &nbsp;│ (服务注册) &nbsp; &nbsp; &nbsp; &nbsp;│ (社区版示例策略) &nbsp; &nbsp; &nbsp; &nbsp; │
└─────────┬────────┴──────────┬───────┴──────────┬─────────────┘
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
┌─────────▼─────────┐ &nbsp;┌─────▼──────┐ &nbsp;┌─────▼─────┐
│ &nbsp;Kafka / Pulsar &nbsp; &nbsp;│ &nbsp;│ MongoDB &nbsp; &nbsp;│ &nbsp;│ Redis &nbsp; &nbsp; │
│ &nbsp;(消息队列) &nbsp; &nbsp; &nbsp; &nbsp; │ &nbsp;│ (数据存储) &nbsp;│ &nbsp;│ (缓存) &nbsp; &nbsp; │
└─────────┬─────────┘ &nbsp;└────────────┘ &nbsp;└───────────┘
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; │
┌─────────▼──────────────────────────────────────────────┐
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Elkeid Agent (Linux / Windows) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
├──────────┬──────────┬──────────┬──────────┬───────────┤
│ Driver &nbsp; │ Collector│ RASP &nbsp; &nbsp; │ Scanner &nbsp;│ Baseline &nbsp;│
│ (内核采集)│ (资产采集)│ (运行时注入)│ (Yara 扫描)│ (基线检查) │
└──────────┴──────────┴──────────┴──────────┴───────────┘

🚀 快速开始（5 分钟部署）

环境要求

OS: Linux (内核 ≥ 4.4) / Windows (企业版支持)
K8s: 1.18+
数据库: MongoDB 4.4+ / Redis 6.0+
消息队列: Kafka 2.8+ 或 Pulsar 2.8+

下载与安装

# 方式一：Docker Compose 一键部署（推荐）
git&nbsp;clone&nbsp;https://github.com/bytedance/Elkeid.git
cd&nbsp;Elkeid/deploy/docker-compose
docker-compose up -d
# 访问 http://localhost:8080 (默认账号 admin/admin)

# 方式二：Helm Chart (K8s)
helm repo add elkeid https://bytedance.github.io/Elkeid
helm install elkeid elkeid/elkeid -n elkeid --create-namespace

# 方式三：二进制部署
# 各组件二进制在 GitHub Releases
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.3/elkeid-agent-linux-amd64
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.3/elkeid-console-linux-amd64

3. Agent 部署（ DaemonSet 方式）

apiVersion: apps/v1
kind: DaemonSet
metadata:
&nbsp; name: elkeid-agent
&nbsp; namespace: elkeid
spec:
&nbsp; template:
&nbsp; &nbsp; spec:
&nbsp; &nbsp; &nbsp; containers:
&nbsp; &nbsp; &nbsp; - name: agent
&nbsp; &nbsp; &nbsp; &nbsp; image: hub.byted.org/elkeid/agent:v1.9.3
&nbsp; &nbsp; &nbsp; &nbsp; imagePullPolicy: IfNotPresent
&nbsp; &nbsp; &nbsp; &nbsp; securityContext:
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; privileged:&nbsp;true# 内核采集需要特权模式
&nbsp; &nbsp; &nbsp; &nbsp; volumeMounts:
&nbsp; &nbsp; &nbsp; &nbsp; - name: dev
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; mountPath: /dev
&nbsp; &nbsp; &nbsp; &nbsp; - name: var-run
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; mountPath: /var/run
&nbsp; &nbsp; &nbsp; volumes:
&nbsp; &nbsp; &nbsp; - name: dev
&nbsp; &nbsp; &nbsp; &nbsp; hostPath:
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; path: /dev
&nbsp; &nbsp; &nbsp; - name: var-run
&nbsp; &nbsp; &nbsp; &nbsp; hostPath:
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; path: /var/run

📈 典型使用场景

场景 1：容器逃逸检测与告警

# 在 K8s Pod 中执行逃逸尝试
kubectl&nbsp;exec&nbsp;-it victim-pod -- ./cdk run mount-disk

# Elkeid Console 实时告警：
# [CRITICAL] Container Escape Detected
# Pod: victim-pod, Namespace: default
# Action: mount /dev/sda1 to /mnt
# Mitigation: Kill Pod & Notify

场景 2：RASP 动态注入防 SQL 注入

// 无需重启 Java 应用，Elkeid RASP 自动注入
// 拦截恶意 SQL:&nbsp;' OR 1=1 --
[ALERT] SQL Injection Blocked
PID: 12345, App: order-service
SQL: SELECT * FROM users WHERE id='' OR 1=1 --'
Action: Block & Log

场景 3：K8s 审计日志分析

# 可疑操作：ServiceAccount 越权创建 Pod
cat /var/log/kubernetes/audit.log | jq&nbsp;'. | select(.verb=="create" and .objectRef.resource=="pods")'

# Elkeid HUB 规则检测：
# [HIGH] Unauthorized Pod Creation
# User: system:serviceaccount:default:malicious-sa
# Violation: PSP Policy

🔌 Elkeid HUB 规则引擎（社区版）

# 示例：检测容器内执行 curl 下载恶意脚本
rule_id: 1001
rule_name: Suspicious Curl Download
severity: HIGH
detection:
&nbsp; process_name: curl
&nbsp; command_line:&nbsp;"*sh*"
&nbsp; container_id:&nbsp;"docker://*"
response:
&nbsp; action: alert
&nbsp; message:&nbsp;"Potential reverse shell download in container"

📊 监控大盘（前端预览）

安全总览：实时告警趋势、资产拓扑、风险评分
K8s 安全：Pod 安全策略违规、Secret 越权访问、异常网络连接
主机监控：进程异常、文件篡改、内核模块加载
病毒扫描：Yara 检出、隔离状态、感染路径
基线检查：CIS 合规项、风险项、修复建议

关注回复elkeid获取

#

低价出售安全证书不限于cisp、pte等cnvd请Vme～建了一个项目群，想进群的请回复进群即可

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生菜狗菜狗《字节跳动开源云原生安全平台》