Tetragon
Tetragon とは何ですか?
TetragonCilium プロジェクトの eBPF ベース Kubernetes ランタイムセキュリティツール。プロセス・ファイル・通信を観測し、ポリシーを同期的に強制できる。
Tetragon は eBPF を用いて Kubernetes ノードのカーネル層でポリシーの観測と強制を行う OSS のランタイムセキュリティ基盤です。監査専用ツールと異なり、システムコールを同期的にブロックしたり、プロセスを kill したり、戻り値を上書きしたりできるため、たとえば /etc/shadow を読み取ろうとしたり、想定外のアウトバウンド接続を張ろうとしたワークロードをその場で停止させることが可能です。ポリシーは TracingPolicy カスタムリソースとして記述します。Isovalent(現在は Cisco 傘下)が OSS 化し、CNCF Cilium エコシステムの一部として開発されています。アドミッション制御やイメージスキャンを補完し、従来の EDR がコンテナ内で苦手としていた領域に対して、低オーバーヘッドで高精度なランタイム可視化と強制を提供します。
● 例
- 01
決済サービス Pod 内で curl が実行されたら即座に kill する TracingPolicy。
- 02
数千ノードにわたって /var/log 下のファイル書き込みを eBPF で観測する。
● よくある質問
Tetragon とは何ですか?
Cilium プロジェクトの eBPF ベース Kubernetes ランタイムセキュリティツール。プロセス・ファイル・通信を観測し、ポリシーを同期的に強制できる。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
Tetragon とはどういう意味ですか?
Cilium プロジェクトの eBPF ベース Kubernetes ランタイムセキュリティツール。プロセス・ファイル・通信を観測し、ポリシーを同期的に強制できる。
Tetragon はどのように機能しますか?
Tetragon は eBPF を用いて Kubernetes ノードのカーネル層でポリシーの観測と強制を行う OSS のランタイムセキュリティ基盤です。監査専用ツールと異なり、システムコールを同期的にブロックしたり、プロセスを kill したり、戻り値を上書きしたりできるため、たとえば /etc/shadow を読み取ろうとしたり、想定外のアウトバウンド接続を張ろうとしたワークロードをその場で停止させることが可能です。ポリシーは TracingPolicy カスタムリソースとして記述します。Isovalent(現在は Cisco 傘下)が OSS 化し、CNCF Cilium エコシステムの一部として開発されています。アドミッション制御やイメージスキャンを補完し、従来の EDR がコンテナ内で苦手としていた領域に対して、低オーバーヘッドで高精度なランタイム可視化と強制を提供します。
Tetragon からどのように防御しますか?
Tetragon に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Tetragon の別名は何ですか?
一般的な別名: Cilium Tetragon。
● 関連用語
- cloud-security№ 170
Cilium
eBPF をベースとしたコンテナネットワークインターフェース(CNI)。Kubernetes ワークロードにカーネル速度でネットワーク・可観測性・セキュリティを提供する。
- cloud-security№ 600
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
- cloud-security№ 213
コンテナセキュリティ
コンテナイメージ・レジストリ・オーケストレーター、およびコンテナが実行されるランタイムを保護する一連の実践。
● 関連項目
- № 601Kubescape