Seguridad con eBPF
¿Qué es Seguridad con eBPF?
Seguridad con eBPFUso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
eBPF (extended Berkeley Packet Filter) es una tecnologia del kernel Linux que permite ejecutar de forma segura bytecode verificado y aislado en miles de puntos de enganche del kernel: kprobes, tracepoints, XDP, tc, sockets y hooks LSM. En seguridad es la base de herramientas modernas de observabilidad y enforcement: Falco, Tetragon (proyecto Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security y el propio Cilium para politica de red L3/L4/L7. Al ver syscalls y paquetes a velocidad de linea sin modulos de kernel, eBPF habilita deteccion en tiempo de ejecucion, analisis de drift, EDR basado en eBPF y mitigacion DDoS. La eBPF Foundation, bajo la Linux Foundation, gobierna el ecosistema.
● Ejemplos
- 01
Usar Cilium Tetragon para matar un proceso en cuanto ejecuta una secuencia sensible de syscalls (execve de /bin/sh dentro de un contenedor).
- 02
Aplicar politicas HTTP L7 basadas en identidad entre pods Kubernetes con Cilium y sin sidecars.
● Preguntas frecuentes
¿Qué es Seguridad con eBPF?
Uso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Seguridad con eBPF?
Uso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
¿Cómo defenderse de Seguridad con eBPF?
Las defensas contra Seguridad con eBPF combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Seguridad con eBPF?
Nombres alternativos comunes: seguridad eBPF en runtime, observabilidad de kernel.