Cilium
¿Qué es Cilium?
CiliumCNI basado en eBPF que proporciona red, observabilidad y seguridad para cargas de Kubernetes a velocidad de kernel.
Cilium es un plugin CNI de código abierto que utiliza eBPF de Linux para programar el kernel y gestionar la red pod a pod, el balanceo de carga, la observabilidad y la aplicación de políticas de seguridad sin recurrir a iptables. Implementa las Network Policies de Kubernetes y una CRD más rica, CiliumNetworkPolicy, con reglas basadas en identidad, en L7 (HTTP/Kafka/gRPC) y conscientes de DNS. Cilium es un proyecto CNCF Graduated —el nivel de madurez más alto, anunciado en octubre de 2023— y soporta plataformas en producción de los principales hyperscalers y grandes empresas. Sus proyectos hermanos son Hubble (observabilidad de flujos) y Tetragon (aplicación en runtime). Cilium se usa para red de pods zero-trust, service mesh cifrado y tráfico de clúster de alto rendimiento.
● Ejemplos
- 01
Sustituir kube-proxy por el balanceador eBPF de Cilium para reducir latencia.
- 02
Definir una CiliumNetworkPolicy que solo permita HTTP GET /api/* entre dos namespaces.
● Preguntas frecuentes
¿Qué es Cilium?
CNI basado en eBPF que proporciona red, observabilidad y seguridad para cargas de Kubernetes a velocidad de kernel. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Cilium?
CNI basado en eBPF que proporciona red, observabilidad y seguridad para cargas de Kubernetes a velocidad de kernel.
¿Cómo funciona Cilium?
Cilium es un plugin CNI de código abierto que utiliza eBPF de Linux para programar el kernel y gestionar la red pod a pod, el balanceo de carga, la observabilidad y la aplicación de políticas de seguridad sin recurrir a iptables. Implementa las Network Policies de Kubernetes y una CRD más rica, CiliumNetworkPolicy, con reglas basadas en identidad, en L7 (HTTP/Kafka/gRPC) y conscientes de DNS. Cilium es un proyecto CNCF Graduated —el nivel de madurez más alto, anunciado en octubre de 2023— y soporta plataformas en producción de los principales hyperscalers y grandes empresas. Sus proyectos hermanos son Hubble (observabilidad de flujos) y Tetragon (aplicación en runtime). Cilium se usa para red de pods zero-trust, service mesh cifrado y tráfico de clúster de alto rendimiento.
¿Cómo defenderse de Cilium?
Las defensas contra Cilium combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cilium?
Nombres alternativos comunes: Cilium CNI, Cilium eBPF.
● Términos relacionados
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- cloud-security№ 1141
Tetragon
Herramienta de seguridad en runtime para Kubernetes, basada en eBPF y procedente del proyecto Cilium, que observa y aplica políticas de forma síncrona sobre procesos, ficheros y red.
- cloud-security№ 601
Kubescape
Plataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
● Véase también
- № 596kube-bench