深信服技术专家在云栖大会“龙蜥操作系统峰会”分享:eBPF的安全特性及未来趋势发展
深信服技术专家在云栖大会“龙蜥操作系统峰会”分享:eBPF的安全特性及未来趋势发展
2022-11-04 10:12:42 来源:
抢沙发
2022-11-04 10:12:42 来源:
摘要:2022年11月3日,云栖大会在杭州云栖小镇如期举办。大会以“计算·进化·未来”为主题,汇聚上千位重磅嘉宾,包括二十多名两院院士、众多知名学者、企业和行业领军人等,共同分享顶尖科技趋势和探讨数字产业最新实践。
关键词:
云栖大会
2022年11月3日,云栖大会在杭州云栖小镇如期举办。大会以“计算·进化·未来”为主题,汇聚上千位重磅嘉宾,包括二十多名两院院士、众多知名学者、企业和行业领军人等,共同分享顶尖科技趋势和探讨数字产业最新实践。
今年云栖大会期间,龙蜥社区首次举办“龙蜥操作系统峰会”,1个产业论坛,4 大技术专场—— OS 安全、云原生、RISC-V、 eBPF技术 & Linux稳定性。
深信服创新研究院高级Linux内核技术专家许庆伟特此受邀参加「龙蜥峰会eBPF技术 & Linux稳定性专场」,为线上直播以及会场近百名各公司技术专家分享了《eBPF安全特性解析》议题。
“随着云网边端的急速发展,人们的目光越发的聚焦在目前最火热的云原生场景上。基于eBPF做安全管控策略的方案也越来越多,这些方案主要是基于eBPF挂载内核函数并编写过滤策略,以预防的方式在整个操作系统中执行安全策略。除了能够为多个层级的访问控制指定允许列表外,还能够自动检测特权和 Capabilities 升级或命名空间提权(容器逃逸),并自动终止受影响的进程。”
据此,许庆伟从eBPF的安全原理出发,针对云原生容器场景下的eBPF使用场景,以安全的视角对eBPF进行剖析,并对相关技术的未来发展趋势做出了相关的分析和总结。
许庆伟从eBPF的五大安全特性以及阐述eBPF Verifier为什么更安全。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor是现阶段云原生场景下比较流行的几款运行时防护方案。在云原生场景中,eBPF安全方案有着它独有的特点,
这样的方案优点是可以自定义乃至自动化配置策略,修改检测、阻断规则文件更快速,更新灵活性高、过滤条件丰富(进程、网络、文件等),安全策略可以通过 Kubernetes(CRD)、JSON API 或 Open Policy Agent(OPA)等系统注入。
许庆伟认为,由于目前基于eBPF的方案多为应用态的方案,管控的是进程级别,当发生误报时,阻断进程的运行会影响到客户的正常业务。所以从业务安全以及发展趋势的角度来看,实现阻断函数调用级别的运行、不影响正常业务,是防御更细粒度,也更合理的方案。
许庆伟总结道,系统安全不是单一维度,我们要建立起从应用态到内核态的多层级防御矩阵,并从多角度的视角来看待和解决安全问题,会达到更好的效果。
深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究,推动技术创新变革与落地,拥有安全和云计算领域500+ 专利,实现攻击和检测技术的相互赋能,并及时把能力输入到业务线中,实现自身产品的迭代优化。未来,深信服千里目安全技术中心也将不断提高专业技术造诣,深度洞察网络安全威胁,持续为网络安全赋能。
第三十七届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baxuedong
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
