筑牢云安全防线:《eBPF云原生安全》实战指南

IT阅读排行榜 2024-09-19 16:45

eBPF技术已经成为云原生社区近年来备受关注的技术话题之一。在云原生领域,越来越多的项目和产品开始使用eBPF技术来构建其核心能力,涉及可观测性、网络和安全等关键领域。


《eBPF云原生安全:原理与实践》内容涵盖eBPF的工作原理、eBPF在云原生安全领域的应用、知名eBPF云原生安全项目、使用eBPF技术开发安全相关功能等。



扫码了解 ↑


视频介绍






内容简介




这是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作,是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典,从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用,是作者多年构筑云原生安全纵深防御经验的总结。


本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值,并结合大量的代码案例分析,深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理,同时也讲述了可能引入的安全风险,帮助读者从零基础快速了解eBPF技术,开始eBPF安全编程。


通过阅读本书,你将了解:

  • 云原生安全面临的主要挑战,发展现状和理论基础;

  • eBPF技术的基本原理和云原生安全领域的典型应用;

  • 基于eBPF技术的云原生安全核心开源项目的安装、使用、基础架构和实现原理;

  • 如何使用eBPF技术实现典型的云原生安全需求及实现原理;

  • 如何将eBPF安全事件关联进程、容器和Pod等上下文信息;

  • 如何使用eBPF技术审计复杂的云原生攻击手段;

  • 恶意eBPF程序的典型实现方式以及如何防护和探测此类恶意程序。



目录



上拉下滑查看目录 ↓

Contents目  录

前 言

第一部分 eBPF助力云原生安全

第1章 云原生安全概述  3

1.1 云原生安全的挑战  3

1.1.1 云原生平台基础设施的安全

风险  4

1.1.2 DevOps软件供应链的安全

风险  4

1.1.3 云原生应用范式的安全风险  5

1.2 云原生安全的演进  5

1.3 云原生安全的理论基础  11

1.3.1 威胁建模  11

1.3.2 坚守安全准则  14

1.3.3 安全观测和事件响应  21

1.4 云原生安全的方法论  21

1.4.1 CNCF云原生安全架构  22

1.4.2 云原生应用保护平台  31

1.5 本章小结  35

第2章 初识eBPF  36

2.1 eBPF历史  36

2.2 eBPF的关键特性和应用场景  38

2.2.1 Linux内核  38

2.2.2 eBPF的关键特性  39

2.2.3 eBPF的应用场景  41

2.3 eBPF的架构  44

2.4 本章小结  47

第3章 eBPF技术原理详解  48

3.1 eBPF“Hello World”程序  48

3.2 eBPF技术原理  53

3.2.1 eBPF Map数据结构  53

3.2.2 eBPF虚拟机  56

3.2.3 eBPF验证器  60

3.2.4 bpf()系统调用  61

3.2.5 eBPF程序和附着类型  63

3.3 eBPF程序的开发模式  66

3.3.1 BCC模式  66

3.3.2 CO-RE+ libbpf模式  68

3.4 本章小结  75

第4章 eBPF技术在云原生安全领域

的应用  76

4.1 针对云原生应用的攻击  76

4.2 eBPF和云原生安全的契合点  78

4.2.1 容器中的基础隔离  78

4.2.2 传统安全架构  79

4.2.3 eBPF提升云原生应用运行时

安全  80

4.2.4 eBPF伴随云原生应用生命

周期  81

4.3 eBPF云原生安全开源项目  83

4.3.1 Falco  84

4.3.2 Tracee  85

4.3.3 Tetragon  86

4.4 双刃剑  87

4.5 本章小结  90

第二部分 云原生安全项目详解

第5章 云原生安全项目Falco详解  93

5.1 项目介绍  93

5.1.1 功能  93

5.1.2 使用场景  95

5.2 安装  95

5.2.1 使用包管理工具  95

5.2.2 下载二进制包  97

5.2.3 Kubernetes环境  98

5.3 使用示例  99

5.3.1 规则引擎  99

5.3.2 告警输出  104

5.3.3 事件源  104

5.4 架构和实现原理  105

5.4.1 架构  105

5.4.2 驱动  105

5.4.3 用户态模块  111

5.5 本章小结  113

第6章 云原生安全项目Tracee

详解  114

6.1 项目介绍  114

6.2 安装  115

6.3 使用示例  116

6.3.1 事件追踪  116

6.3.2 制品捕获  122

6.3.3 风险探测  124

6.3.4 外部集成  127

6.4 架构和实现原理  129

6.4.1 架构  129

6.4.2 tracee-ebpf实现原理  130

6.5 本章小结  141

第7章 云原生安全项目Tetragon

详解  142

7.1 项目介绍  142

7.2 安装  143

7.3 使用示例  144

7.3.1 事件观测  144

7.3.2 风险拦截  149

7.4 架构和实现原理  154

7.4.1 架构  154

7.4.2 事件观测  156

7.4.3 风险拦截  165

7.5 本章小结  166

第三部分 eBPF安全技术实战

第8章 使用eBPF技术审计和拦截

命令执行操作  169

8.1 审计命令执行操作  169

8.1.1 基于eBPF Kprobe和Kretprobe

实现  170

8.1.2 基于eBPF Fentry和Fexit

实现  173

8.1.3 基于eBPF Ksyscall和Kretsyscall

实现  174

8.1.4 基于eBPF Tracepoint实现  175

8.2 拦截命令执行操作  178

8.2.1 基于bpf_send_signal实现  178

8.2.2 基于bpf_override_return实现  179

8.3 本章小结  182

第9章 使用eBPF技术审计和拦截

文件读写操作  183

9.1 审计文件读写操作  183

9.1.1 基于eBPF Kprobe和Kretprobe

实现  184

9.1.2 基于eBPF Tracepoint实现  185

9.1.3 基于eBPF LSM实现  187

9.2 拦截文件读写操作  189

9.2.1 基于bpf_send_signal实现  190

9.2.2 基于bpf_override_return实现  191

9.2.3 基于eBPF LSM实现  191

9.3 本章小结  192

第10章 使用eBPF技术审计和拦截

权限提升操作  193

10.1 审计权限提升操作  193

10.1.1 基于eBPF LSM实现  194

10.1.2 基于eBPF Kprobe实现  195

10.2 拦截权限提升操作  196

10.3 本章小结  197

第11章 使用eBPF技术审计和拦截

网络流量  198

11.1 审计网络流量  198

11.1.1 基于eBPF套接字过滤器实现  198

11.1.2 基于eBPF TC实现  204

11.1.3 基于eBPF XDP实现  207

11.1.4 基于Kprobe实现  207

11.2 拦截网络流量  209

11.2.1 基于eBPF TC实现  209

11.2.2 基于eBPF XDP实现  210

11.3 本章小结  211

第12章 为事件关联上下文信息  212

12.1 进程信息  212

12.1.1 进程操作事件  212

12.1.2 网络事件  216

12.2 容器和Pod信息  221

12.2.1 进程操作事件  221

12.2.2 网络事件  225

12.3 本章小结  226

第四部分 eBPF安全进阶

第13章 使用eBPF技术审计复杂的

攻击手段  229

13.1 审计使用无文件攻击技术实现的

命令执行操作  229

13.2 审计反弹Shell操作  232

13.3 本章小结  236

第14章 使用eBPF技术探测恶意

eBPF程序  237

14.1 恶意eBPF程序  237

14.1.1 常规程序  237

14.1.2 网络程序  250

14.2 防护恶意eBPF程序  260

14.3 探测和审计恶意eBPF程序  261

14.3.1 文件分析  261

14.3.2 bpftool  262

14.3.3 内核探测  265

14.4 本章小结  268



了解更多







  • 本文来源:原创,图片来源:原创

  • 责任编辑:王莹,部门领导:宁姗

  • 发布人:白钰

IT阅读排行榜 技术圈的风向标,有趣,有料,有货,有品又有用
评论
  • RK3506单板机(卡片电脑)是一款高性能三核Cortex-A7处理器,内部集成Cortex-M0核心,RK3506单板机具有接口丰富、实时性高、显示开发简单、低功耗及多系统支持等特点,非常适合于工业控制、工业通信、人机交互等应用场景。 多核异构3xCortex-A7+Cortex-M0 外设接口丰富,板载网络、串口、CAN总线 支持Buildroot、Yocto系统,支持AMP混合部署 支持2D硬件加速,适用于轻量级HMI目前RK3506主要分为3种型号
    万象奥科 2024-12-05 16:59 52浏览
  • 热电偶是zui常用的温度传感器类型。它们用于工业、汽车和消费应用。热电偶是自供电的,可以在很宽的温度范围内工作,并且具有快速的响应时间。热电偶是通过将两条不同的金属线连接在一起制成的。这会导致塞贝克效应。塞贝克效应是两种不同导体的温差在两种物质之间产生电压差的现象。正是这种电压差可以测量并用于计算温度。有几种类型的热电偶由各种不同的材料制成,允许不同的温度范围和不同的灵敏度。不同的类型由zhi定的字母区分。zui常用的是K型。热电偶的一些缺点包括测量温度可能具有挑战性,因为它们的输出电压小,需要
    锦正茂科技 2024-12-05 14:22 25浏览
  • DT640系列硅二极管温度传感器选用了专门适用于低温温度测量的硅二极管。相比普通硅二极管,具有重复性好、离散性小、精度更高温度范围更宽、低温下电压相对高而易于测量等特点。所有此款温度计都较好地遵循一个电压-温度(V-T)曲线,因而具有更好的可互换性。很多应用中都不需要单独的标定。DT640-BC型裸片温度计,相比市场上的其它温度计,具有尺寸更小、热容更小、响应时间更短的特点。在尺寸、热容以及响应时间有特殊要求的应用中具有du特的优势。   以下是二极管温度传感器的测
    锦正茂科技 2024-12-05 13:57 23浏览
  • CS5466AUUSB-C  (2lanes)to HDMI2.1 8K@30HZ(4K@144) +PD3.1  CS5563DP  (4lanes) to HDMI2.1 10k@60Hz CS5565USB-C  (4lanes) to HDMI2.1 10k@60Hz CS5569USB-C (4lanes) to HDMI2.1 10k@60Hz +PD3.1CS5228ANDP++ to HDMI(4K
    QQ1540182856 2024-12-05 15:56 80浏览
  • 在阅读了《高速PCB设计经验规则应用实践》后,对于PCB设计的布局经验有了更为深入和系统的理解。该书不仅详细阐述了高速PCB设计中的经验法则,还通过实际案例和理论分析,让读者能够更好地掌握这些法则并将其应用于实际工作中。布局是走线的基础,预先的规划再到叠层的选择,电源和地的分配,信号网络的走线等等,对布局方面也是非常的关注。布局规划的重要性: 在PCB设计中,布局规划是至关重要的一步。它直接影响到后续布线的难易程度、信号完整性以及电磁兼容性等方面。因此,在进行元件布局之前,我们必须对PCB的平
    戈壁滩上绽放 2024-12-05 19:43 56浏览
  • 本文介绍RK3566/RK3568开发板Android11系统,编译ROOT权限固件的方法。触觉智能Purple Pi OH鸿蒙开发板演示,搭载了瑞芯微RK3566四核处理器,Laval鸿蒙社区推荐开发板,已适配全新OpenHarmony5.0 Release系统,SDK源码全开放!关闭Selinux修改以下路径文件:adevice/rockchip/common/BoardConfig.mk修改代码如下:BOARD_BOOT_HEADER_VERSION ?= 2BOARD_MKBOOTIMG
    Industio_触觉智能 2024-12-05 10:27 16浏览
  • 延续前一篇「抢搭智慧家庭生态圈热潮(一) 充满陷阱的产品介绍」系列文章,购买智能家电时需留意是否标有Works With Alexa (WWA)标章,然而,即使有了WWA标章后,产品难道就不会发生问题了吗?本篇由百佳泰将重点探讨在Alexa智能家居设备应用的实验中所遭遇到的问题。智能家庭隐忧浮现:智能家电APP使用状态不同步在先前的文章中,我们有提过建构Alexa智能家庭的三个主要元素:Alexa Built-in Devices(ABI)、Alexa Connected Device,以及Al
    百佳泰测试实验室 2024-12-05 15:26 37浏览
  • 现在最热门的AI PC,泛指配备了人工智能AI的个人电脑,虽然目前的AI功能大多仅运用于增加个人电脑的运算力及用户使用体验。然而,各家AI PC厂商/品牌商却不约而同针对Webcam的AI功能大作文章,毕竟这是目前可以直接让消费者感受到、最显著、也是最有感觉的应用情境!目前各家推出Webcam 的AI功能包括有:● 背景虚化● 面部识别和追踪。● 自动调节● 虚拟化和滤镜● 安全和隐私面临的困境:惊吓大于惊喜的AI优化调校由于每款AI PC的相机都有自己的设定偏好及市场定位,一旦经过AI的优化调
    百佳泰测试实验室 2024-12-05 15:30 39浏览
  • 应用环境与客户需求蓝牙设备越来越普及,但在高密度使用环境下,你知道里面潜藏的风险吗?用户在使用蓝牙配件(如键盘、鼠标和耳机)时,经常面临干扰问题,这主要是因为蓝牙设备使用的2.4GHz频段与许多其他无线设备(如Wi-Fi、Thread等)重迭,导致频段拥挤,进而增加干扰的可能性。【常见干扰情境】客服中心:客服中心通常有大量的工作站,每个工作站可能都配备有蓝牙键盘、鼠标和耳机。由于这些设备都使用4GHz频段,客服中心内部的频段拥挤会增加讯号干扰的可能性。再加上中心内部可能有多个无线网络设备和其他电
    百佳泰测试实验室 2024-12-05 16:17 55浏览
  • 2024年12月3日至5日,中国电信2024数字科技生态大会在广州举行,通过主题峰会、多场分论坛、重要签约及合作发布等环节,与合作伙伴共绘数字科技发展新愿景。紫光展锐作为中国电信的战略合作伙伴受邀参会,全面呈现了技术、产品创新进展,以及双方在多领域的合作成果。紫光展锐董事长马道杰受邀出席大会主论坛,并在大会期间发表视频致辞。  深化战略合作,共建数字未来马道杰董事长在视频致辞中指出,紫光展锐作为世界一流芯片设计企业,依托在芯片、通信和软硬件集成领域的深厚积累,与中国电信密切合
    紫光展锐 2024-12-05 14:04 36浏览
  • ~同等额定功率产品尺寸小一号,并保证长期稳定供应~全球知名半导体制造商ROHM(总部位于日本京都市)在其通用贴片电阻器“MCR系列”产品阵容中又新增了助力应用产品实现小型化和更高性能的“MCRx系列”。新产品包括大功率型“MCRS系列”和低阻值大功率型“MCRL系列”两个系列。在电子设备日益多功能化和电动化的当今世界,电子元器件的小型化和性能提升已成为重要课题。尤其是在汽车市场,随着电动汽车(xEV)的普及,电子元器件的使用量迅速增加。另外,在工业设备市场,随着设备的功能越来越多,效率越来越高,
    电子资讯报 2024-12-05 17:03 51浏览
  • 车前大灯总成是一个集成了多种灯光功能的复杂系统,由于功能需求不同,其内部的灯珠串联或并联的数量也会有所差异。通过采用BOOST CV+BUCK CC两级供电方式,大灯控制器能够更好地适应智能大灯系统的需求,确保在各种负载瞬态变化下,大灯都能获得稳定、合适的电力供应。在汽车上,电池提供的电压通常是12V或24V,但是车大灯可能需要一个更稳定、更适合它工作的电压。这时候,DC/DC Converter就派上用场了。它可以把电池提供的电压转换成车大灯需要的电压,确保车大灯能够稳定、明亮地发光。此时就需
    时源芯微 2024-12-04 17:46 24浏览
  • ①辐射发射测试(RE):评估电子、电气产品或系统在工作状态下产生的电磁辐射干扰程度,确保其不会干扰其他电子设备,同时可以确保产品的电磁辐射水平在安全范围内,从而保护用户免受电磁辐射的危害。消费类常见测试标准:EN55032 (RE&CE)、 CLASS A和CLASS B ②传导发射测试(CE):评估电子、电气产品或系统在工作状态下传导电磁骚扰的水平,是确保产品符合电磁兼容性(EMC)要求的重要步骤,保护其他设备免受干扰。常见测试标准:国标18655(RE&CE) 分为5个等级,常规的是过3等级
    时源芯微 2024-12-05 15:16 38浏览
  • 在电子工程领域,高速PCB设计是一项极具挑战性和重要性的工作。随着集成电路的迅猛发展,电路系统的复杂度和运行速度不断提升,对PCB设计的要求也越来越高。在这样的背景下,我有幸阅读了田学军老师所著的《高速PCB设计经验规则应用实践》一书,深感受益匪浅。以下是我从本书中学习到的新知识和经验分享,重点涵盖特殊应用电路的PCB设计、高速PCB设计经验等方面。一、高速PCB设计的基础知识回顾与深化 在阅读本书之前,我对高速PCB设计的基础知识已有一定的了解,但通过阅读,我对这些知识的认识得到了进一步的深
    金玉其中 2024-12-05 10:01 163浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦