前言:
非常荣幸受云栖大会和龙蜥操作系统峰会的邀请,参加了eBPF论坛的现场分享。从可观测到安全、从平台到基础架构,今天的云栖大会eBPF会场的各位嘉宾从多维度多角度,分析和分享了各自领域应用eBPF的经验和展望,收获颇多,具体内容如下~
11 月 3 日, 云栖大会 eBPF & Linux 稳定性专场于杭州云栖小镇圆满结束。本次专场论坛是龙蜥 3 大 workshop 系列,特别邀请了高校师生、手机和安全大厂,一起探讨 eBPF 在安全和网络的最佳应用和实践,以及 Linux 在手机和服务器上的运维经验分享。
“随着云网边端的急速发展,人们的目光越发的聚焦在目前最火热的云原生场景上。基于eBPF做安全管控策略的方案也越来越多,这些方案主要是基于eBPF挂载内核函数并编写过滤策略,以预防的方式在整个操作系统中执行安全策略。除了能够为多个层级的访问控制指定允许列表外,还能够自动检测特权和 Capabilities 升级或命名空间提权(容器逃逸),并自动终止受影响的进程。”
据此,以eBPF的安全原理为出发点,针对云原生容器场景下的eBPF使用场景,以安全的视角对eBPF进行剖析,并对相关技术的未来发展趋势做出了相关的分析和总结。
eBPF的五大安全特性
1、程序沙箱化:通过eBPF验证器保护内核稳定运行。
2、侵入性低:无须修改内核代码,且无须停止程序运行。
3、透明化:从内核中透明搜集数据,保证企业最重要的数据资产。
4、可配置:Cilium等自定义乃至自动化配置策略,更新灵活性高,过滤条件丰富。
5、快速检测:在内核中直接处理各种事件,不需要回传用户态,使得异常检测方便和快速。
eBPF Verifier为何更安全?
1、拥有加载eBPF程序的流程所需的特权;
2、无crash或其他异常导致系统崩溃的情况;
3、程序可以正常结束,无死循环;
4、检查内存越界;
5、检查寄存器溢出;
云原生容器场景下,eBPF安全方案特点
建立从应用态到内核态的多层级防御矩阵
随着几何倍数增长的智能设备以其高频次的使用,各种黑客攻击以及数据泄露事件也在全球范围内频繁发生,这也让设备安全和信息安全成了绝大多数公司最为关注和人力财力投入的领域。安全的基座在芯片,芯片的基座在操作系统,操作系统的核心是内核。
当我们谈及运行时防护产品或方案时,人们的目光主要集中在主机、终端和目前最火热的云原生场景上。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor是现阶段云原生场景下比较流行的几款运行时防护方案。
这样的方案优点是可以自定义乃至自动化配置策略,修改检测、阻断规则文件更快速,更新灵活性高、过滤条件丰富(进程、网络、文件等),安全策略可以通过 Kubernetes(CRD)、JSON API 或 Open Policy Agent(OPA)等系统注入。
由于目前基于eBPF的方案多为应用态的方案,管控的是进程级别,当发生误报时,阻断进程的运行会影响到客户的正常业务。
所以从业务安全以及发展趋势的角度来看,实现阻断函数调用级别的运行、不影响正常业务,是防御更细粒度,也更合理的方案。
目前如KRSI(Kernel Runtime Security Instrumentation)等相关LSM + eBPF方案在国内外各大公司,正在被逐步使用,并达到了很好的防御效果。这类方案主要是基于eBPF挂载内核函数并编写过滤策略,在内核层出现异常攻击时触发预置的策略,无需再返回用户层而直接发出告警甚至阻断。
更加重要的是在内核直接处理各种事件,节省了数据传输和上下文切换带来的性能损耗,对于网络或者Tracing等短时间大量数据处理的场景,性能方面提升更高,在内核Livepatch、漏洞检测以及防御提权等相关攻击手段上,也有着进一步的发展空间。
系统安全不是单一维度,我们要建立起从应用态到内核态的多层级防御矩阵,并从多角度的视角来看待和解决安全问题,会达到更好的效果。
