eBPF-безопасность
Что такое eBPF-безопасность?
eBPF-безопасностьИспользование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
eBPF (extended Berkeley Packet Filter) — технология ядра Linux, позволяющая безопасно исполнять верифицированный песочный байткод в тысячах точек подключения ядра: kprobes, tracepoints, XDP, tc, сокеты, LSM-хуки. В области безопасности eBPF стал основой современных инструментов наблюдаемости и enforcement: Falco, Tetragon (проект Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security, а также самого Cilium для сетевых политик L3/L4/L7. Поскольку программы eBPF видят системные вызовы и пакеты на скорости провода без kernel-модулей, они обеспечивают runtime-детект контейнеров, анализ дрифта, EDR на eBPF и митигацию DDoS. Экосистему ведёт eBPF Foundation в составе Linux Foundation.
● Примеры
- 01
С помощью Cilium Tetragon завершать процесс сразу после выполнения чувствительной цепочки syscalls (execve /bin/sh внутри контейнера).
- 02
Применение в Cilium identity-aware L7 HTTP-политик между подами Kubernetes без sidecar-ов.
● Частые вопросы
Что такое eBPF-безопасность?
Использование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам. Относится к категории Защита и операции в кибербезопасности.
Что означает eBPF-безопасность?
Использование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
Как работает eBPF-безопасность?
eBPF (extended Berkeley Packet Filter) — технология ядра Linux, позволяющая безопасно исполнять верифицированный песочный байткод в тысячах точек подключения ядра: kprobes, tracepoints, XDP, tc, сокеты, LSM-хуки. В области безопасности eBPF стал основой современных инструментов наблюдаемости и enforcement: Falco, Tetragon (проект Cilium), Tracee (Aqua Security), Kubescape, Sysdig, Datadog Cloud Workload Security, а также самого Cilium для сетевых политик L3/L4/L7. Поскольку программы eBPF видят системные вызовы и пакеты на скорости провода без kernel-модулей, они обеспечивают runtime-детект контейнеров, анализ дрифта, EDR на eBPF и митигацию DDoS. Экосистему ведёт eBPF Foundation в составе Linux Foundation.
Как защититься от eBPF-безопасность?
Защита от eBPF-безопасность обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия eBPF-безопасность?
Распространённые альтернативные названия: eBPF-runtime безопасность, наблюдаемость ядра.
● Связанные термины
- defense-ops№ 403
Falco
Открытый облачно-нативный движок защиты времени исполнения, который выявляет аномалии в контейнерах, хостах и Kubernetes, передавая системные вызовы и события аудита в правиловый движок.
- identity-access№ 120
BPF LSM
Модуль безопасности Linux, позволяющий верифицированным eBPF-программам подключаться к LSM-хукам и применять пользовательские правила обязательного контроля доступа к системным вызовам, файлам, сокетам и capability.
- identity-access№ 585
Режимы ядра и пользователя
Два уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями.
- identity-access№ 615
Linux Capabilities
Функция ядра Linux на базе черновика POSIX.1e, разбивающая всемогущие права root на более чем 40 дискретных привилегий, выдаваемых процессам и файлам по отдельности.
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.