eBPF-безопасность
Что такое eBPF-безопасность?
eBPF-безопасностьИспользование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
eBPF (extended Berkeley Packet Filter) — технология ядра Linux, позволяющая безопасно исполнять верифицированный песочный байткод в тысячах точек подключения ядра: kprobes, tracepoints, XDP, tc, сокеты, LSM-хуки. В области безопасности eBPF стал основой современных инструментов наблюдаемости и enforcement: Falco, Tetragon (проект Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security, а также самого Cilium для сетевых политик L3/L4/L7. Поскольку программы eBPF видят системные вызовы и пакеты на скорости провода без kernel-модулей, они обеспечивают runtime-детект контейнеров, анализ дрифта, EDR на eBPF и митигацию DDoS. Экосистему ведёт eBPF Foundation в составе Linux Foundation.
● Примеры
- 01
С помощью Cilium Tetragon завершать процесс сразу после выполнения чувствительной цепочки syscalls (execve /bin/sh внутри контейнера).
- 02
Применение в Cilium identity-aware L7 HTTP-политик между подами Kubernetes без sidecar-ов.
● Частые вопросы
Что такое eBPF-безопасность?
Использование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам. Относится к категории Защита и операции в кибербезопасности.
Что означает eBPF-безопасность?
Использование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
Как защититься от eBPF-безопасность?
Защита от eBPF-безопасность обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия eBPF-безопасность?
Распространённые альтернативные названия: eBPF-runtime безопасность, наблюдаемость ядра.