Seguridad con eBPF
¿Qué es Seguridad con eBPF?
Seguridad con eBPFUso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
eBPF (extended Berkeley Packet Filter) es una tecnologia del kernel Linux que permite ejecutar de forma segura bytecode verificado y aislado en miles de puntos de enganche del kernel: kprobes, tracepoints, XDP, tc, sockets y hooks LSM. En seguridad es la base de herramientas modernas de observabilidad y enforcement: Falco, Tetragon (proyecto Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security y el propio Cilium para politica de red L3/L4/L7. Al ver syscalls y paquetes a velocidad de linea sin modulos de kernel, eBPF habilita deteccion en tiempo de ejecucion, analisis de drift, EDR basado en eBPF y mitigacion DDoS. La eBPF Foundation, bajo la Linux Foundation, gobierna el ecosistema.
● Ejemplos
- 01
Usar Cilium Tetragon para matar un proceso en cuanto ejecuta una secuencia sensible de syscalls (execve de /bin/sh dentro de un contenedor).
- 02
Aplicar politicas HTTP L7 basadas en identidad entre pods Kubernetes con Cilium y sin sidecars.
● Preguntas frecuentes
¿Qué es Seguridad con eBPF?
Uso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Seguridad con eBPF?
Uso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
¿Cómo funciona Seguridad con eBPF?
eBPF (extended Berkeley Packet Filter) es una tecnologia del kernel Linux que permite ejecutar de forma segura bytecode verificado y aislado en miles de puntos de enganche del kernel: kprobes, tracepoints, XDP, tc, sockets y hooks LSM. En seguridad es la base de herramientas modernas de observabilidad y enforcement: Falco, Tetragon (proyecto Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security y el propio Cilium para politica de red L3/L4/L7. Al ver syscalls y paquetes a velocidad de linea sin modulos de kernel, eBPF habilita deteccion en tiempo de ejecucion, analisis de drift, EDR basado en eBPF y mitigacion DDoS. La eBPF Foundation, bajo la Linux Foundation, gobierna el ecosistema.
¿Cómo defenderse de Seguridad con eBPF?
Las defensas contra Seguridad con eBPF combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Seguridad con eBPF?
Nombres alternativos comunes: seguridad eBPF en runtime, observabilidad de kernel.
● Términos relacionados
- defense-ops№ 403
Falco
Motor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas.
- identity-access№ 120
BPF LSM
Modulo de Seguridad de Linux que permite a programas eBPF verificados engancharse a hooks LSM y aplicar decisiones de control de acceso obligatorio sobre syscalls, ficheros, sockets y capabilities.
- identity-access№ 585
Modo Kernel vs Modo Usuario
Los dos niveles de privilegio de CPU que aplican los sistemas operativos modernos: modo kernel (supervisor, anillo 0) con acceso completo al hardware, y modo usuario (anillo 3) limitado a su espacio de direcciones y a instrucciones no privilegiadas.
- identity-access№ 615
Capacidades de Linux
Funcionalidad del kernel Linux basada en el borrador POSIX.1e que divide el privilegio total de root en mas de 40 capacidades discretas asignables de forma independiente a procesos y ficheros.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.