Архитектура облачного обнаружения угроз Alibaba Cloud Security Center для рабочих нагрузок

Alibaba Cloud Security Center описал архитектуру облачного обнаружения угроз для рабочих нагрузок: ключевые компоненты — лёгкий агент в гостевой ОС, серверные движки обнаружения (сигнатурные и поведенческие), контейнерный компонент и интерфейс для ответных действий. Система охватывает экземпляры Elastic Compute Service (ECS), кластеры Container Service for Kubernetes (ACK) и хосты вне платформы, собирая телеметрию изнутри рабочих нагрузок и выдавая готовые находки вместо «сырых» логов. Это ускоряет обнаружение и упрощает корреляцию с разведданными в условиях динамичных и оркеструемых развёртываний.

Агент разворачивается как лёгкий процесс: на Linux-через shell‑скрипт под выделенной учётной записью сервиса, на Windows — как системная служба. Он выполняет три основные задачи: периодические базовые сканирования (список пакетов и состояние патчей, версии ядра и ОС, прослушиваемые порты и процессы, планировщики задач, учётные записи и контрольные суммы файлов), непрерывный сбор событий (линейность процессов, сетевые соединения с контекстом процессов, изменения файлов, попытки аутентификации) и исполнение команд по запросу из консоли управления. Технически серверная часть сочетает сигнатурные и поведенческие движки. Сигнатурные механизмы сопоставляют хэши файлов, шаблоны командной строки, ключи реестра и сетевые конечные точки с поступающей телеметрией; поведенческие движки анализируют последовательности событий в скользящих временных окнах для выявления аномалий. секунд.

Для контейнерных рабочих нагрузок в каждом кластере разворачивается дополнительный компонент в виде DaemonSet. Он собирает runtime‑события, изменения жизненного цикла подов из API‑сервера Kubernetes и результаты сканирования образов из настроенного реестра. DaemonSet работает в привилегированном неймспейсе, но использует ограниченные учётные данные сервис‑аккаунта с правами только для чтения за пределами неймспейса, что снижает риск избыточных привилегий. Операционно события буферизуются локально, нормализуются и пересылаются по TLS в региональные конечные точки приёма; бюджеты CPU и памяти агента настраиваются по группам хостов для узких по ресурсам рабочих нагрузок. Базовый вывод сканирования загружается в бэкенд для оценки по актуальным наборам правил уязвимостей и конфигураций, а сигнатуры и правила обновляются из канала разведданных без необходимости перезапуска агента.