筑牢云安全防线:《eBPF云原生安全》实战指南

IT阅读排行榜 2024-09-19 16:45

eBPF技术已经成为云原生社区近年来备受关注的技术话题之一。在云原生领域,越来越多的项目和产品开始使用eBPF技术来构建其核心能力,涉及可观测性、网络和安全等关键领域。


《eBPF云原生安全:原理与实践》内容涵盖eBPF的工作原理、eBPF在云原生安全领域的应用、知名eBPF云原生安全项目、使用eBPF技术开发安全相关功能等。



扫码了解 ↑


视频介绍






内容简介




这是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作,是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典,从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用,是作者多年构筑云原生安全纵深防御经验的总结。


本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值,并结合大量的代码案例分析,深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理,同时也讲述了可能引入的安全风险,帮助读者从零基础快速了解eBPF技术,开始eBPF安全编程。


通过阅读本书,你将了解:

  • 云原生安全面临的主要挑战,发展现状和理论基础;

  • eBPF技术的基本原理和云原生安全领域的典型应用;

  • 基于eBPF技术的云原生安全核心开源项目的安装、使用、基础架构和实现原理;

  • 如何使用eBPF技术实现典型的云原生安全需求及实现原理;

  • 如何将eBPF安全事件关联进程、容器和Pod等上下文信息;

  • 如何使用eBPF技术审计复杂的云原生攻击手段;

  • 恶意eBPF程序的典型实现方式以及如何防护和探测此类恶意程序。



目录



上拉下滑查看目录 ↓

Contents目  录

前 言

第一部分 eBPF助力云原生安全

第1章 云原生安全概述  3

1.1 云原生安全的挑战  3

1.1.1 云原生平台基础设施的安全

风险  4

1.1.2 DevOps软件供应链的安全

风险  4

1.1.3 云原生应用范式的安全风险  5

1.2 云原生安全的演进  5

1.3 云原生安全的理论基础  11

1.3.1 威胁建模  11

1.3.2 坚守安全准则  14

1.3.3 安全观测和事件响应  21

1.4 云原生安全的方法论  21

1.4.1 CNCF云原生安全架构  22

1.4.2 云原生应用保护平台  31

1.5 本章小结  35

第2章 初识eBPF  36

2.1 eBPF历史  36

2.2 eBPF的关键特性和应用场景  38

2.2.1 Linux内核  38

2.2.2 eBPF的关键特性  39

2.2.3 eBPF的应用场景  41

2.3 eBPF的架构  44

2.4 本章小结  47

第3章 eBPF技术原理详解  48

3.1 eBPF“Hello World”程序  48

3.2 eBPF技术原理  53

3.2.1 eBPF Map数据结构  53

3.2.2 eBPF虚拟机  56

3.2.3 eBPF验证器  60

3.2.4 bpf()系统调用  61

3.2.5 eBPF程序和附着类型  63

3.3 eBPF程序的开发模式  66

3.3.1 BCC模式  66

3.3.2 CO-RE+ libbpf模式  68

3.4 本章小结  75

第4章 eBPF技术在云原生安全领域

的应用  76

4.1 针对云原生应用的攻击  76

4.2 eBPF和云原生安全的契合点  78

4.2.1 容器中的基础隔离  78

4.2.2 传统安全架构  79

4.2.3 eBPF提升云原生应用运行时

安全  80

4.2.4 eBPF伴随云原生应用生命

周期  81

4.3 eBPF云原生安全开源项目  83

4.3.1 Falco  84

4.3.2 Tracee  85

4.3.3 Tetragon  86

4.4 双刃剑  87

4.5 本章小结  90

第二部分 云原生安全项目详解

第5章 云原生安全项目Falco详解  93

5.1 项目介绍  93

5.1.1 功能  93

5.1.2 使用场景  95

5.2 安装  95

5.2.1 使用包管理工具  95

5.2.2 下载二进制包  97

5.2.3 Kubernetes环境  98

5.3 使用示例  99

5.3.1 规则引擎  99

5.3.2 告警输出  104

5.3.3 事件源  104

5.4 架构和实现原理  105

5.4.1 架构  105

5.4.2 驱动  105

5.4.3 用户态模块  111

5.5 本章小结  113

第6章 云原生安全项目Tracee

详解  114

6.1 项目介绍  114

6.2 安装  115

6.3 使用示例  116

6.3.1 事件追踪  116

6.3.2 制品捕获  122

6.3.3 风险探测  124

6.3.4 外部集成  127

6.4 架构和实现原理  129

6.4.1 架构  129

6.4.2 tracee-ebpf实现原理  130

6.5 本章小结  141

第7章 云原生安全项目Tetragon

详解  142

7.1 项目介绍  142

7.2 安装  143

7.3 使用示例  144

7.3.1 事件观测  144

7.3.2 风险拦截  149

7.4 架构和实现原理  154

7.4.1 架构  154

7.4.2 事件观测  156

7.4.3 风险拦截  165

7.5 本章小结  166

第三部分 eBPF安全技术实战

第8章 使用eBPF技术审计和拦截

命令执行操作  169

8.1 审计命令执行操作  169

8.1.1 基于eBPF Kprobe和Kretprobe

实现  170

8.1.2 基于eBPF Fentry和Fexit

实现  173

8.1.3 基于eBPF Ksyscall和Kretsyscall

实现  174

8.1.4 基于eBPF Tracepoint实现  175

8.2 拦截命令执行操作  178

8.2.1 基于bpf_send_signal实现  178

8.2.2 基于bpf_override_return实现  179

8.3 本章小结  182

第9章 使用eBPF技术审计和拦截

文件读写操作  183

9.1 审计文件读写操作  183

9.1.1 基于eBPF Kprobe和Kretprobe

实现  184

9.1.2 基于eBPF Tracepoint实现  185

9.1.3 基于eBPF LSM实现  187

9.2 拦截文件读写操作  189

9.2.1 基于bpf_send_signal实现  190

9.2.2 基于bpf_override_return实现  191

9.2.3 基于eBPF LSM实现  191

9.3 本章小结  192

第10章 使用eBPF技术审计和拦截

权限提升操作  193

10.1 审计权限提升操作  193

10.1.1 基于eBPF LSM实现  194

10.1.2 基于eBPF Kprobe实现  195

10.2 拦截权限提升操作  196

10.3 本章小结  197

第11章 使用eBPF技术审计和拦截

网络流量  198

11.1 审计网络流量  198

11.1.1 基于eBPF套接字过滤器实现  198

11.1.2 基于eBPF TC实现  204

11.1.3 基于eBPF XDP实现  207

11.1.4 基于Kprobe实现  207

11.2 拦截网络流量  209

11.2.1 基于eBPF TC实现  209

11.2.2 基于eBPF XDP实现  210

11.3 本章小结  211

第12章 为事件关联上下文信息  212

12.1 进程信息  212

12.1.1 进程操作事件  212

12.1.2 网络事件  216

12.2 容器和Pod信息  221

12.2.1 进程操作事件  221

12.2.2 网络事件  225

12.3 本章小结  226

第四部分 eBPF安全进阶

第13章 使用eBPF技术审计复杂的

攻击手段  229

13.1 审计使用无文件攻击技术实现的

命令执行操作  229

13.2 审计反弹Shell操作  232

13.3 本章小结  236

第14章 使用eBPF技术探测恶意

eBPF程序  237

14.1 恶意eBPF程序  237

14.1.1 常规程序  237

14.1.2 网络程序  250

14.2 防护恶意eBPF程序  260

14.3 探测和审计恶意eBPF程序  261

14.3.1 文件分析  261

14.3.2 bpftool  262

14.3.3 内核探测  265

14.4 本章小结  268



了解更多







  • 本文来源:原创,图片来源:原创

  • 责任编辑:王莹,部门领导:宁姗

  • 发布人:白钰

IT阅读排行榜 技术圈的风向标,有趣,有料,有货,有品又有用
评论
  • 在驾驶培训与考试的严谨流程中,EST580驾培驾考系统扮演着至关重要的数据角色。它不仅集成了转速监控、车速管理、转向角度测量、转向灯光控制以及手刹与安全带状态检测等多项功能,还通过高精度的OBD数据采集器实时捕捉车辆运行状态,确保学员在模拟及实际驾驶中的每一步操作都精准无误。EST580驾培驾考转速车速转向角转向灯光手刹安全带OBD数据采集器系统的重要性及其功能:1、提高评判效率:通过原车CAN协议兼容,不同车型通过刷写固件覆盖,不仅提高了考试的数字化、自动化程度,还减少了人为干预的安装需要,从
    lauguo2013 2024-12-09 16:51 59浏览
  • 光耦合器对于确保不同电路部分之间的电气隔离和信号传输至关重要。通过防止高压干扰敏感元件,它们可以提高安全性和可靠性。本指南将指导您使用光耦合器创建一个简单的电路,介绍其操作的基本原理和实际实施。光耦合器的工作原理光耦合器包含一个LED和一个光电晶体管。当LED接收到信号时,它会发光,激活光电晶体管,在保持隔离的同时传输信号。这使其成为保护低功耗控制电路免受高压波动影响的理想选择。组件和电路设置对于这个项目,我们将使用晶体管输出光耦合器(例如KLV2002)。收集以下组件:光耦合器、1kΩ电阻(输
    克里雅半导体科技 2024-12-06 16:34 240浏览
  • 随着各行各业对可靠、高效电子元件的需求不断增长,国产光耦合器正成为全球半导体市场的重要参与者。这些元件利用先进的制造工艺和研究驱动的创新,弥补了高性能和可负担性之间的差距。本文探讨了国产光耦合器日益突出的地位,重点介绍了其应用和技术进步。 关键技术进步国产光耦合器制造商在提高性能和多功能性方面取得了重大进展。高速光耦合器现在能够处理快速数据传输,使其成为电信和工业自动化中不可或缺的一部分。专为电力电子设计的栅极驱动器光耦合器可确保电动汽车和可再生能源逆变器等高压系统的精确控制。采用碳化
    克里雅半导体科技 2024-12-06 16:34 166浏览
  • 自20世纪60年代问世以来,光耦合器彻底改变了电子系统实现电气隔离和信号传输的方式。通过使用光作为传输信号的媒介,光耦合器消除了直接电气连接的需求,确保了安全性和可靠性。本文记录了光耦合器技术的发展,重点介绍了关键创新、挑战以及这一不可或缺组件的未来发展。 过去:起源和早期应用光耦合器的发明源于处理高压或嘈杂环境的系统对安全电气隔离的需求。早期的光耦合器由LED和光电晶体管的简单组合组成,可提供可靠的隔离,但具有明显的局限性:低速:早期的光耦合器速度慢,频率响应有限,不适合高速数字通信
    腾恩科技-彭工 2024-12-06 16:28 146浏览
  • 进入11月中下旬,智能手机圈再度热闹起来。包括华为、小米、OPPO、vivo等诸多手机厂商,都在陆续预热发布新机,其中就包括华为Mate 70、小米Redmi K80、vivo的S20,IQOO Neo10等热门新机,这些热门新机的集中上市迅速吸引了全行业的目光。而在诸多手机厂商集体发布新机的背后,是智能手机行业的“触底反弹”。据机构数据显示,2024年第三季度,中国智能手机市场出货量约为6878万台,同比增长3.2%,连续四个季度保持同比增长,显然新一轮手机换机潮已在加速到来。憋了三年,国内智
    刘旷 2024-12-09 10:43 82浏览
  • “SPI转CAN-FD”是嵌入式开发领域的常用方法,它极大地促进了不同通信接口之间的无缝连接,并显著降低了系统设计的复杂性。飞凌嵌入式依托瑞芯微RK3562J处理器打造的OK3562J-C开发板因为内置了SPI转CAN-FD驱动,从而原生支持这一功能。该开发板特别设计了一组SPI引脚【P8】,专为SPI转CAN-FD应用而引出,为用户提供了极大的便利。MCP2518FD是一款在各行业中都有着广泛应用的CAN-FD控制器芯片,本文就将为大家介绍如何在飞凌嵌入式RK3562J开发板上适配MCP251
    飞凌嵌入式 2024-12-07 14:30 98浏览
  • 学习如何在 MYIR 的 ZU3EG FPGA 开发板上部署 Tiny YOLO v4,对比 FPGA、GPU、CPU 的性能,助力 AIoT 边缘计算应用。(文末有彩蛋)一、 为什么选择 FPGA:应对 7nm 制程与 AI 限制在全球半导体制程限制和高端 GPU 受限的大环境下,FPGA 成为了中国企业发展的重要路径之一。它可支持灵活的 AIoT 应用,其灵活性与可编程性使其可以在国内成熟的 28nm 工艺甚至更低节点的制程下实现高效的硬件加速。米尔的 ZU3EG 开发板凭借其可重
    米尔电子嵌入式 2024-12-06 15:53 172浏览
  • 开发板在默认情况下,OpenHarmony系统开机后 30 秒会自动息屏,自动息屏会让不少用户感到麻烦,触觉智能教大家两招轻松取消自动息屏。使用触觉智能Purple Pi OH鸿蒙开发板演示,搭载了瑞芯微RK3566四核处理器,Laval鸿蒙社区推荐开发板,已适配全新OpenHarmony5.0 Release系统,SDK源码全开放!SDK源码中修改修改以下文件参数:base/powermgr/power_manager/services/native/profile/power_mode_co
    Industio_触觉智能 2024-12-09 11:39 80浏览
  • 2024年12月09日 环洋市场咨询机构出版了一份详细的、综合性的调研分析报告【全球电机控制系统芯片 (SoC)行业总体规模、主要厂商及IPO上市调研报告,2024-2030】。本报告研究全球电机控制系统芯片 (SoC)总体规模,包括产量、产值、消费量、主要生产地区、主要生产商及市场份额,同时分析电机控制系统芯片 (SoC)市场主要驱动因素、阻碍因素、市场机遇、挑战、新产品发布等。报告从电机控制系统芯片 (SoC)产品类型细分、应用细分、企业、地区等角度,进行定量和定性分析,包括产量、产值、均价
    GIRtina 2024-12-09 11:32 101浏览
  • 习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记
    youyeye 2024-12-09 08:53 82浏览
  •   在外地五年,回家就是大清洁、大清理,忙活了一个多月,废旧物品实在太多太多!除了老旧或出故障了的家具家电外,就是以前职业生涯养成的研究分析习惯而收留和拆解下的电子电器电脑整机、部件、零件、材料、辅料等等。  家具家电不说了,说说保留的各种各样机械、电器、电气、电子类的吧!有好有坏,扔又舍不得,满满的回忆,历史的烙印。留又没有用,拆解做分析和学习是忙不过来的了,加之,到如今个人做拆解的学习目的已经淡化了,也是因为用不着了。以前是研究学习和促进废物利用,理想也梦想能唤起循环使用产业链,结论是根本不
    自做自受 2024-12-08 22:59 161浏览
  • 光耦合器以其提供电气隔离的能力而闻名,广泛应用于从电源到通信系统的各种应用。尽管光耦合器非常普遍,但人们对其特性和用途存在一些常见的误解。本文将揭穿一些最常见的误解,以帮助工程师和爱好者做出更明智的决策。 误解1:光耦合器的使用寿命较短事实:虽然光耦合器内部的LED会随着时间的推移而退化,但LED材料和制造工艺的进步已显著提高了其使用寿命。现代光耦合器的设计使用寿命为正常工作条件下的数十年。适当的热管理和在推荐的电流水平内工作可以进一步延长其使用寿命。误解2:光耦合器对于现代应用来说太
    腾恩科技-彭工 2024-12-06 16:29 191浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦