eBPF セキュリティ
eBPF セキュリティ とは何ですか?
eBPF セキュリティLinux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。
eBPF(extended Berkeley Packet Filter)は、検証済みのサンドボックスバイトコードをカーネル内で安全に実行できる Linux カーネル技術で、kprobes、tracepoints、XDP、tc、ソケット、LSM フックなど何千ものフックポイントに装着できます。セキュリティ分野では Falco、Tetragon(Cilium プロジェクト)、Tracee(Aqua Security)、Kubescape、Sysdig、Datadog Cloud Workload Security、そして L3/L4/L7 のネットワークポリシーを担う Cilium 自身など、現代のオブザーバビリティ・エンフォースメントツールの基盤となっています。eBPF はカーネルモジュールを使わずにシステムコールやパケットをワイヤースピードで観測できるため、コンテナランタイム検知、ドリフト解析、eBPF ベース EDR、DDoS 対策などに活用できます。エコシステムは Linux Foundation 配下の eBPF Foundation が運営しています。
● 例
- 01
Cilium Tetragon を用いて、コンテナ内で /bin/sh の execve など機微なシステムコール列が現れた瞬間にプロセスを終了させる。
- 02
Cilium により Kubernetes Pod 間でサイドカーなしに ID 認識型 L7 HTTP ポリシーを適用する。
● よくある質問
eBPF セキュリティ とは何ですか?
Linux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。 サイバーセキュリティの 防御と運用 カテゴリに属します。
eBPF セキュリティ とはどういう意味ですか?
Linux カーネル内で動作する eBPF(extended Berkeley Packet Filter)プログラムを用い、プロセス、ネットワーク、システムコールに対する深いオブザーバビリティとポリシー実施を実現するセキュリティ技術。
eBPF セキュリティ からどのように防御しますか?
eBPF セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
eBPF セキュリティ の別名は何ですか?
一般的な別名: eBPF ランタイムセキュリティ, カーネルオブザーバビリティ。