Seguranca com eBPF
O que é Seguranca com eBPF?
Seguranca com eBPFUtilizacao de programas eBPF (extended Berkeley Packet Filter) executados no kernel Linux para oferecer observabilidade profunda e aplicacao de politicas em processos, rede e syscalls.
O eBPF (extended Berkeley Packet Filter) e uma tecnologia do kernel Linux que permite executar de forma segura bytecode verificado e em sandbox em milhares de pontos de hook — kprobes, tracepoints, XDP, tc, sockets, hooks LSM. Em seguranca, o eBPF e a base de ferramentas modernas de observabilidade e enforcement: Falco, Tetragon (projeto Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security e o proprio Cilium para politicas L3/L4/L7. Como os programas eBPF veem syscalls e pacotes a velocidade de linha sem modulos de kernel, viabilizam detecao em runtime, analise de drift, EDR baseado em eBPF e mitigacao DDoS. O ecossistema e governado pela eBPF Foundation, sob a Linux Foundation.
● Exemplos
- 01
Com Cilium Tetragon, terminar um processo assim que executa uma sequencia sensivel de syscalls (execve de /bin/sh dentro de um contentor).
- 02
Aplicar politicas HTTP L7 baseadas em identidade entre pods Kubernetes via Cilium, sem sidecars.
● Perguntas frequentes
O que é Seguranca com eBPF?
Utilizacao de programas eBPF (extended Berkeley Packet Filter) executados no kernel Linux para oferecer observabilidade profunda e aplicacao de politicas em processos, rede e syscalls. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Seguranca com eBPF?
Utilizacao de programas eBPF (extended Berkeley Packet Filter) executados no kernel Linux para oferecer observabilidade profunda e aplicacao de politicas em processos, rede e syscalls.
Como funciona Seguranca com eBPF?
O eBPF (extended Berkeley Packet Filter) e uma tecnologia do kernel Linux que permite executar de forma segura bytecode verificado e em sandbox em milhares de pontos de hook — kprobes, tracepoints, XDP, tc, sockets, hooks LSM. Em seguranca, o eBPF e a base de ferramentas modernas de observabilidade e enforcement: Falco, Tetragon (projeto Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security e o proprio Cilium para politicas L3/L4/L7. Como os programas eBPF veem syscalls e pacotes a velocidade de linha sem modulos de kernel, viabilizam detecao em runtime, analise de drift, EDR baseado em eBPF e mitigacao DDoS. O ecossistema e governado pela eBPF Foundation, sob a Linux Foundation.
Como se defender contra Seguranca com eBPF?
As defesas contra Seguranca com eBPF costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Seguranca com eBPF?
Nomes alternativos comuns: seguranca eBPF em runtime, observabilidade do kernel.
● Termos relacionados
- defense-ops№ 403
Falco
Motor open source de seguranca em tempo de execucao cloud-native que deteta comportamento anomalo em contentores, hosts e Kubernetes, enviando syscalls e eventos de auditoria para um motor de regras.
- identity-access№ 120
BPF LSM
Modulo de Seguranca do Linux que permite a programas eBPF verificados ligar-se a hooks LSM e aplicar decisoes personalizadas de controlo de acesso obrigatorio sobre syscalls, ficheiros, sockets e capabilities.
- identity-access№ 585
Modo Kernel vs Modo Utilizador
Os dois niveis de privilegio de CPU aplicados pelos sistemas operativos modernos: modo kernel (supervisor, ring 0) com acesso completo ao hardware, e modo utilizador (ring 3) restrito ao seu espaco de enderecos e a instrucoes limitadas.
- identity-access№ 615
Capabilities do Linux
Funcionalidade do kernel Linux baseada no rascunho POSIX.1e que divide o privilegio omnipotente do root em mais de 40 capabilities discretas, atribuiveis de forma independente a processos e ficheiros.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.