eBPF 安全
eBPF 安全 是什么?
eBPF 安全在 Linux 内核中运行扩展 BPF(eBPF)程序,为进程、网络和系统调用提供深度可观测性与策略执行的安全技术。
eBPF(extended Berkeley Packet Filter)是 Linux 内核技术,可以在 kprobes、tracepoints、XDP、tc、套接字、LSM 钩子等数千个挂载点安全运行经过验证的沙盒字节码。在安全领域,eBPF 已成为现代可观测性与策略执行工具的基础,如 Falco、Tetragon(Cilium 项目)、Tracee(Aqua Security)、Kubescape、Sysdig、Datadog Cloud Workload Security,以及 Cilium 本身提供的 L3/L4/L7 网络策略。由于 eBPF 无需内核模块即可以线速观察系统调用与网络包,因此能够实现容器运行时检测、漂移分析、基于 eBPF 的 EDR 与 DDoS 缓解。生态由 Linux 基金会下的 eBPF Foundation 管理。
● 示例
- 01
使用 Cilium Tetragon,当容器中出现 execve /bin/sh 等敏感系统调用序列时立即终止该进程。
- 02
通过 Cilium 在 Kubernetes Pod 之间施加基于身份的 L7 HTTP 策略,无需 sidecar。
● 常见问题
eBPF 安全 是什么?
在 Linux 内核中运行扩展 BPF(eBPF)程序,为进程、网络和系统调用提供深度可观测性与策略执行的安全技术。 它属于网络安全的 防御与运营 分类。
eBPF 安全 是什么意思?
在 Linux 内核中运行扩展 BPF(eBPF)程序,为进程、网络和系统调用提供深度可观测性与策略执行的安全技术。
eBPF 安全 是如何工作的?
eBPF(extended Berkeley Packet Filter)是 Linux 内核技术,可以在 kprobes、tracepoints、XDP、tc、套接字、LSM 钩子等数千个挂载点安全运行经过验证的沙盒字节码。在安全领域,eBPF 已成为现代可观测性与策略执行工具的基础,如 Falco、Tetragon(Cilium 项目)、Tracee(Aqua Security)、Kubescape、Sysdig、Datadog Cloud Workload Security,以及 Cilium 本身提供的 L3/L4/L7 网络策略。由于 eBPF 无需内核模块即可以线速观察系统调用与网络包,因此能够实现容器运行时检测、漂移分析、基于 eBPF 的 EDR 与 DDoS 缓解。生态由 Linux 基金会下的 eBPF Foundation 管理。
如何防御 eBPF 安全?
针对 eBPF 安全 的防御通常结合技术控制与运营实践,详见上方完整定义。
eBPF 安全 还有哪些其他名称?
常见的别称包括: eBPF 运行时安全, 内核可观测性。
● 相关术语
- defense-ops№ 403
Falco
面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
- identity-access№ 120
BPF LSM
Linux 安全模块,允许经过验证的 eBPF 程序挂载到 LSM 钩子,对系统调用、文件、套接字与 capability 实施自定义的强制访问控制。
- identity-access№ 585
内核态与用户态
现代操作系统强制实施的两种 CPU 特权级别:内核态(管理员级、Ring 0)拥有完整硬件访问权限,用户态(Ring 3)被限制在自己的地址空间并只能执行有限指令。
- identity-access№ 615
Linux Capabilities
由 POSIX.1e 草案定义的 Linux 内核机制,将无所不能的 root 权限拆分为 40 多种独立的能力,可分别授予进程和文件。
- cloud-security№ 600
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。