雖然大多數組織目前無法直接訪問 EBPF 專業知識,但今年可以選擇配置配置了 EBPF 和功能擴充套件層的工具,這將更有幫助。
翻譯自 ebpf: meaner hooks, more webassembly and observability due, by bCameron Gain是Revecom Media的創始人兼首席分析師。 他對電腦的痴迷始於 20 世紀 80 年代初,當時他入侵了 Space Invaders 遊戲機,以每天 25 美分的價格在當地街機廳連續玩。 EBPF無疑在2023年取得了推廣效果,2024年我們將看到更多有趣的發展。 這主要是因為 EBPF 已經證明了它的適用性,它在監控、可觀察性、網路和安全方面的持續採用,以及開源社群的不懈努力。 這一切都始於 2010 年伯克利資料包過濾器與 Linux 核心的合併,然後在 2014 年成為“擴充套件”並稱為 EBPF。 如今,EBPF 已經證明了它可以通過鉤子提供的各種日誌、指標、跟蹤和其他資訊的價值。 這些鉤子來自底層應用程式、基礎架構工具、CI CD 以及支援開發人員、運營團隊和 SRE 的已部署 Linux 核心。 也就是說,它要充分發揮其潛力仍然存在一些挑戰。
讓我們看看 2024 年會發生什麼。
去年或 2023 年,開源工作取得了很大進展。 亮點包括 Kubernetes 和雲原生 EBPF 專案(如 Cilium)從 CNCF 畢業。 此外,通過Kubescape、Inspektor Gadget、Hubble、Tetragon和Falco等工具,EBPF的適用性和採用率繼續提高。 而且,正如 Gartner 所指出的,值得注意的是,這些開源開發利用了 EBPF,這些工具正在幫助組織滿足其業務和安全可觀測性需求。 Gartner 建議,大多數企業缺乏直接利用 EBPF 的專業知識,應選擇配置了 EBPF 和功能擴充套件層的工具。
Gartner 分析師 Tony Harvey 和 Jason Donham 在《2023 年計算能力炒作週期》中寫道:“雖然這對技術供應商和超大規模企業來說是現實的,但大多數企業缺乏構建和整合基於 EBPF 的能力所需的專業知識和技能。 換句話說,在沙盒環境中使用 EBPF 可能很有趣,但不要在沒有信任已建立的 EBPF 工具和流程來確保組織的安全策略的情況下嘗試它。
同時,解決方案將取決於如何不斷改進和交付主要支援EBPF開發的開源專案。
企業管理協會(EMA)分析師Torsten Volk表示:“目前,EBPF主要是一種'被動'技術,它直接從作業系統核心監聽相關系統資料。 例如,這種被動性質限制了基於 EBPF 的可觀測性平台可以提供的自動檢測程度。 “如果 EBPF 允許這些可觀測性平台通過系統呼叫和網路請求自動檢測過程傳遞上下文資料,那麼自動檢測可以變得更加開箱即用,因為它可用於關聯核心和應用程式。 根據 Volk 的說法,這種自動檢測可以自動編譯到應用程式中,而無需應用程式開發團隊進行任何更改。 “然而,雖然我將這種級別的自動檢測描述為'可觀測性的聖杯',但允許應用程式在核心級別對系統資料進行更改可能成為乙個非常棘手的問題,因為這些更改對系統安全性、穩定性和整體效能的潛在影響。 沃爾克說。 “另一方面,核心級別的自動檢測甚至可以提高應用程式效能,因為 EBPF 的編譯和執行速度比解釋更快。 ”
EBPF 很大程度上歸功於其獨特的能力,它不僅為漏洞和攻擊檢測提供可觀測性,而且還可以識別和修復漏洞。 此外,它在區分漏洞和提供漏洞上下文方面發揮著關鍵作用,這些漏洞可以與需要立即修復的攻擊或 CI CD 過程中發生的輕微錯誤配置區分開來。
正如 Isovalent 首席開源官 Liz Rice 在《學習 EBPF:對 Linux 核心進行程式設計以增強可觀測性、網路和安全性》一書中所寫的那樣,“安全工具和可觀察報告事件之間的區別在於,安全工具需要區分在正常情況下預期的事件和指示潛在惡意活動的事件。 賴斯強調,EBPF作為一項核心技術,可以建立“建立在事件檢測之上的工具,從而產生基於EBPF的安全工具,可以檢測甚至防止惡意活動。 通過這種方式,Liz 得出結論,EBPF 將安全性與其他形式的可觀察性區分開來。 我們預計會與EBPF工具和專案進行更多整合。 例如,Isovalent 創造的纖毛將與各種工具和工藝廣泛整合。 例如,擴充套件了 CILIUM 的邊界閘道器協議 (BGP) 功能,允許 Kubernetes 工作負載與傳統服務工作負載無縫連線。 Rice在接受The New Stack採訪時表示,並將Tetragon的安全事件報告與SIEM整合,為安全團隊提供詳細的取證,以調查惡意事件。 此外,還將新增與其他技術的整合,例如 WebAssembly,這是有前途的,儘管不如 EBPF 穩定。 這種整合將利用 WebAssembly 將應用程式分發到連線端點的通道中的能力,EBPF 有助於維持閉環。 “我們可以把 WebAssembly 看作是乙個使用者空間沙箱,把 EBPF 看作是乙個核心沙箱,每個沙箱都允許在各自的領域進行定製,”Rice 說。 “因此,可以合理地預期基礎設施工具可以以互補的方式將兩者的功能結合起來。 這種整合的乙個例子是 Wasm Envoy 外掛程式中的自定義高階 L7 處理,結合 EBPF 實現的 Cilium 網路,“Rice 說,”以建立滿足組織定製需求的高階動態網路功能。 ”
最終,EBPF可以被編譯成WebAssembly,自動將可觀測性注入應用程式容器,並可能自動檢測,“無論它們正在執行什麼,”Volk說。 “EBPF 與 WebAssembly 的整合非常令人興奮,”Volk 說。 “從安全角度來看,由於 EBPF 執行在核心中,而 WebAssembly 執行在 Linux 作業系統的使用者空間中,因此將兩者結合起來可以為整個應用程式堆疊提供增強的隔離。 ”
毫無疑問,人工智慧不僅將在未來幾個月和幾年內對社會產生深遠的影響。 看看人工智慧如何與EBPF一起應用或使用,這將是非常有趣的。 這仍然是乙個非常籠統的想法,因為實際應用尚不清楚。 關於EBPF將如何表現或AI將如何與EBPF整合的猜測純粹是猜測。
與此同時,有趣的是,網路如何與 EBPF 結合使用,而不僅僅是依賴像 ChatGPT 這樣的 LLM 來實現網路安全。 看看這種動態在 2024 年如何發展將很有趣。 “我所期望的乙個例子是由人工智慧建立並由CILIUM執行的網路策略,”賴斯說。 “我們已經看到這方面的一些實驗,就像大多數 ChatGPT 應用程式一樣,它們不夠可靠,無法依賴它,但我希望這種情況會有所改善。 ”
此外,Volk說,使用EBPF將核心級資料從作業系統的使用者空間新增到當前的遙測流中,為LLM提供了重要的背景,以便做出更好的決策,並向人類安全工程師推薦更具體的補救措施。 “此外,EBPF與LLM的整合使LLM能夠根據其在系統級別的影響來實施和評估安全策略,”Volk說。 “這就是事情變得非常技術化的地方。 ”
EBPF 旨在提供網路範圍的定製功能,從核心或跨執行時擴充套件,尤其是對於 Kubernetes。 但是,由於 EBPF 與 Linux 核心整合,這對某些人來說可能是乙個安全問題。 畢竟,除了攻擊者之外,沒有人想要乙個可以直接訪問作業系統和 CPU 的惡意 **。
為了解決此 EBPF 安全問題,EBPF 驗證器會檢查**,並且僅當驗證器根據 GPL 獲得許可時才授予 EBPF 寫入許可權。 當然,沒有什麼是完全可以預防的。 正如 Rice 所指出的,驗證者會檢查程式是否安全執行,但不能保證程式不是惡意的。 “例如,我可能會編寫乙個EBPF程式,將資料包丟棄到乙個位址,因為它是第乙個惡意流量,或者我可能會編寫乙個程式作為黑客來阻止某個位址,以達到某種不良目的,”賴斯說。 “驗證者無法分辨兩者之間的區別。 如上所述,同樣重要的是,不要在內部定製自己的 eBPF 工具,而是要依賴經過適當審查的供應商。 “這就是為什麼只載入和執行你信任的最佳供應商的EBPF程式很重要的原因,”賴斯說。 核心中正在進行工作,以幫助使用者驗證 ebpf 程式(很像應用程式的鏈安全檢查)。
我實際上參與這些事情是為了好玩,當它帶來善意時。 因此,我期待並希望在 2024 年披露乙個漏洞,不僅是為了好玩,也是為了進一步加強 EBPF 的網路加密。
然而,正如 Rice 所指出的,“EBPF 可以廣泛地定製網路功能,但更典型的是依賴其他核心加密實現(如 Wireguard),而不是在自定義 EBPF 程式中加密。 ”
此外,根據定義,當你增加應用層與核心層互動的能力時,系統的攻擊面也會增加,Volk指出。 “這很直觀,因為這就是為什麼Linux最初是為了將核心與應用程式分開而建立的,”Volk說。 “然而,自 Linux 首次建立以來已經過去了這麼多年,我們現在可能有一種方法可以允許應用程式有條件地訪問核心,而不會冒著整個農場受到損害的風險。 ”