筑牢云安全防线:《eBPF云原生安全》实战指南

IT阅读排行榜 2024-09-19 16:45

eBPF技术已经成为云原生社区近年来备受关注的技术话题之一。在云原生领域,越来越多的项目和产品开始使用eBPF技术来构建其核心能力,涉及可观测性、网络和安全等关键领域。


《eBPF云原生安全:原理与实践》内容涵盖eBPF的工作原理、eBPF在云原生安全领域的应用、知名eBPF云原生安全项目、使用eBPF技术开发安全相关功能等。



扫码了解 ↑


视频介绍






内容简介




这是一本系统讲解如何使用eBPF技术构建云原生安全防线的著作,是一本面向eBPF技术爱好者和云安全领域从业者的实战宝典,从原理与实践角度详述了eBPF技术在云原生安全领域正在发生的关键作用,是作者多年构筑云原生安全纵深防御经验的总结。


本书详细阐述了eBPF技术的核心原理以及在云原生安全领域的应用价值,并结合大量的代码案例分析,深入探讨了在典型的云原生安全需求场景下使用eBPF技术可以帮助实现的安全功能和实践原理,同时也讲述了可能引入的安全风险,帮助读者从零基础快速了解eBPF技术,开始eBPF安全编程。


通过阅读本书,你将了解:

  • 云原生安全面临的主要挑战,发展现状和理论基础;

  • eBPF技术的基本原理和云原生安全领域的典型应用;

  • 基于eBPF技术的云原生安全核心开源项目的安装、使用、基础架构和实现原理;

  • 如何使用eBPF技术实现典型的云原生安全需求及实现原理;

  • 如何将eBPF安全事件关联进程、容器和Pod等上下文信息;

  • 如何使用eBPF技术审计复杂的云原生攻击手段;

  • 恶意eBPF程序的典型实现方式以及如何防护和探测此类恶意程序。



目录



上拉下滑查看目录 ↓

Contents目  录

前 言

第一部分 eBPF助力云原生安全

第1章 云原生安全概述  3

1.1 云原生安全的挑战  3

1.1.1 云原生平台基础设施的安全

风险  4

1.1.2 DevOps软件供应链的安全

风险  4

1.1.3 云原生应用范式的安全风险  5

1.2 云原生安全的演进  5

1.3 云原生安全的理论基础  11

1.3.1 威胁建模  11

1.3.2 坚守安全准则  14

1.3.3 安全观测和事件响应  21

1.4 云原生安全的方法论  21

1.4.1 CNCF云原生安全架构  22

1.4.2 云原生应用保护平台  31

1.5 本章小结  35

第2章 初识eBPF  36

2.1 eBPF历史  36

2.2 eBPF的关键特性和应用场景  38

2.2.1 Linux内核  38

2.2.2 eBPF的关键特性  39

2.2.3 eBPF的应用场景  41

2.3 eBPF的架构  44

2.4 本章小结  47

第3章 eBPF技术原理详解  48

3.1 eBPF“Hello World”程序  48

3.2 eBPF技术原理  53

3.2.1 eBPF Map数据结构  53

3.2.2 eBPF虚拟机  56

3.2.3 eBPF验证器  60

3.2.4 bpf()系统调用  61

3.2.5 eBPF程序和附着类型  63

3.3 eBPF程序的开发模式  66

3.3.1 BCC模式  66

3.3.2 CO-RE+ libbpf模式  68

3.4 本章小结  75

第4章 eBPF技术在云原生安全领域

的应用  76

4.1 针对云原生应用的攻击  76

4.2 eBPF和云原生安全的契合点  78

4.2.1 容器中的基础隔离  78

4.2.2 传统安全架构  79

4.2.3 eBPF提升云原生应用运行时

安全  80

4.2.4 eBPF伴随云原生应用生命

周期  81

4.3 eBPF云原生安全开源项目  83

4.3.1 Falco  84

4.3.2 Tracee  85

4.3.3 Tetragon  86

4.4 双刃剑  87

4.5 本章小结  90

第二部分 云原生安全项目详解

第5章 云原生安全项目Falco详解  93

5.1 项目介绍  93

5.1.1 功能  93

5.1.2 使用场景  95

5.2 安装  95

5.2.1 使用包管理工具  95

5.2.2 下载二进制包  97

5.2.3 Kubernetes环境  98

5.3 使用示例  99

5.3.1 规则引擎  99

5.3.2 告警输出  104

5.3.3 事件源  104

5.4 架构和实现原理  105

5.4.1 架构  105

5.4.2 驱动  105

5.4.3 用户态模块  111

5.5 本章小结  113

第6章 云原生安全项目Tracee

详解  114

6.1 项目介绍  114

6.2 安装  115

6.3 使用示例  116

6.3.1 事件追踪  116

6.3.2 制品捕获  122

6.3.3 风险探测  124

6.3.4 外部集成  127

6.4 架构和实现原理  129

6.4.1 架构  129

6.4.2 tracee-ebpf实现原理  130

6.5 本章小结  141

第7章 云原生安全项目Tetragon

详解  142

7.1 项目介绍  142

7.2 安装  143

7.3 使用示例  144

7.3.1 事件观测  144

7.3.2 风险拦截  149

7.4 架构和实现原理  154

7.4.1 架构  154

7.4.2 事件观测  156

7.4.3 风险拦截  165

7.5 本章小结  166

第三部分 eBPF安全技术实战

第8章 使用eBPF技术审计和拦截

命令执行操作  169

8.1 审计命令执行操作  169

8.1.1 基于eBPF Kprobe和Kretprobe

实现  170

8.1.2 基于eBPF Fentry和Fexit

实现  173

8.1.3 基于eBPF Ksyscall和Kretsyscall

实现  174

8.1.4 基于eBPF Tracepoint实现  175

8.2 拦截命令执行操作  178

8.2.1 基于bpf_send_signal实现  178

8.2.2 基于bpf_override_return实现  179

8.3 本章小结  182

第9章 使用eBPF技术审计和拦截

文件读写操作  183

9.1 审计文件读写操作  183

9.1.1 基于eBPF Kprobe和Kretprobe

实现  184

9.1.2 基于eBPF Tracepoint实现  185

9.1.3 基于eBPF LSM实现  187

9.2 拦截文件读写操作  189

9.2.1 基于bpf_send_signal实现  190

9.2.2 基于bpf_override_return实现  191

9.2.3 基于eBPF LSM实现  191

9.3 本章小结  192

第10章 使用eBPF技术审计和拦截

权限提升操作  193

10.1 审计权限提升操作  193

10.1.1 基于eBPF LSM实现  194

10.1.2 基于eBPF Kprobe实现  195

10.2 拦截权限提升操作  196

10.3 本章小结  197

第11章 使用eBPF技术审计和拦截

网络流量  198

11.1 审计网络流量  198

11.1.1 基于eBPF套接字过滤器实现  198

11.1.2 基于eBPF TC实现  204

11.1.3 基于eBPF XDP实现  207

11.1.4 基于Kprobe实现  207

11.2 拦截网络流量  209

11.2.1 基于eBPF TC实现  209

11.2.2 基于eBPF XDP实现  210

11.3 本章小结  211

第12章 为事件关联上下文信息  212

12.1 进程信息  212

12.1.1 进程操作事件  212

12.1.2 网络事件  216

12.2 容器和Pod信息  221

12.2.1 进程操作事件  221

12.2.2 网络事件  225

12.3 本章小结  226

第四部分 eBPF安全进阶

第13章 使用eBPF技术审计复杂的

攻击手段  229

13.1 审计使用无文件攻击技术实现的

命令执行操作  229

13.2 审计反弹Shell操作  232

13.3 本章小结  236

第14章 使用eBPF技术探测恶意

eBPF程序  237

14.1 恶意eBPF程序  237

14.1.1 常规程序  237

14.1.2 网络程序  250

14.2 防护恶意eBPF程序  260

14.3 探测和审计恶意eBPF程序  261

14.3.1 文件分析  261

14.3.2 bpftool  262

14.3.3 内核探测  265

14.4 本章小结  268



了解更多







  • 本文来源:原创,图片来源:原创

  • 责任编辑:王莹,部门领导:宁姗

  • 发布人:白钰

IT阅读排行榜 技术圈的风向标,有趣,有料,有货,有品又有用
评论
  • CS5466AUUSB-C  (2lanes)to HDMI2.1 8K@30HZ(4K@144) +PD3.1  CS5563DP  (4lanes) to HDMI2.1 10k@60Hz CS5565USB-C  (4lanes) to HDMI2.1 10k@60Hz CS5569USB-C (4lanes) to HDMI2.1 10k@60Hz +PD3.1CS5228ANDP++ to HDMI(4K
    QQ1540182856 2024-12-05 15:56 65浏览
  • 遇到部分串口工具不支持1500000波特率,这时候就需要进行修改,本文以触觉智能RK3562开发板修改系统波特率为115200为例,介绍瑞芯微方案主板Linux修改系统串口波特率教程。温馨提示:瑞芯微方案主板/开发板串口波特率只支持115200或1500000。修改Loader打印波特率查看对应芯片的MINIALL.ini确定要修改的bin文件#查看对应芯片的MINIALL.ini cat rkbin/RKBOOT/RK3562MINIALL.ini修改uart baudrate参数修改以下目
    Industio_触觉智能 2024-12-03 11:28 133浏览
  • 概述 说明(三)探讨的是比较器一般带有滞回(Hysteresis)功能,为了解决输入信号转换速率不够的问题。前文还提到,即便使能滞回(Hysteresis)功能,还是无法解决SiPM读出测试系统需要解决的问题。本文在说明(三)的基础上,继续探讨为SiPM读出测试系统寻求合适的模拟脉冲检出方案。前四代SiPM使用的高速比较器指标缺陷 由于前端模拟信号属于典型的指数脉冲,所以下降沿转换速率(Slew Rate)过慢,导致比较器检出出现不必要的问题。尽管比较器可以使能滞回(Hysteresis)模块功
    coyoo 2024-12-03 12:20 198浏览
  • 11-29学习笔记11-29学习笔记习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习笔记&记录学习习笔记&记学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&记录学习学习笔记&学习学习笔记&记录学习学习笔记&记录学习学习笔记&记
    youyeye 2024-12-02 23:58 110浏览
  • 当前,智能汽车产业迎来重大变局,随着人工智能、5G、大数据等新一代信息技术的迅猛发展,智能网联汽车正呈现强劲发展势头。11月26日,在2024紫光展锐全球合作伙伴大会汽车电子生态论坛上,紫光展锐与上汽海外出行联合发布搭载紫光展锐A7870的上汽海外MG量产车型,并发布A7710系列UWB数字钥匙解决方案平台,可应用于数字钥匙、活体检测、脚踢雷达、自动泊车等多种智能汽车场景。 联合发布量产车型,推动汽车智能化出海紫光展锐与上汽海外出行达成战略合作,联合发布搭载紫光展锐A7870的量产车型
    紫光展锐 2024-12-03 11:38 142浏览
  • 光伏逆变器是一种高效的能量转换设备,它能够将光伏太阳能板(PV)产生的不稳定的直流电压转换成与市电频率同步的交流电。这种转换后的电能不仅可以回馈至商用输电网络,还能供独立电网系统使用。光伏逆变器在商业光伏储能电站和家庭独立储能系统等应用领域中得到了广泛的应用。光耦合器,以其高速信号传输、出色的共模抑制比以及单向信号传输和光电隔离的特性,在光伏逆变器中扮演着至关重要的角色。它确保了系统的安全隔离、干扰的有效隔离以及通信信号的精准传输。光耦合器的使用不仅提高了系统的稳定性和安全性,而且由于其低功耗的
    晶台光耦 2024-12-02 10:40 156浏览
  • RDDI-DAP错误通常与调试接口相关,特别是在使用CMSIS-DAP协议进行嵌入式系统开发时。以下是一些可能的原因和解决方法: 1. 硬件连接问题:     检查调试器(如ST-Link)与目标板之间的连接是否牢固。     确保所有必要的引脚都已正确连接,没有松动或短路。 2. 电源问题:     确保目标板和调试器都有足够的电源供应。     检查电源电压是否符合目标板的规格要求。 3. 固件问题: &n
    丙丁先生 2024-12-01 17:37 114浏览
  • 最近几年,新能源汽车愈发受到消费者的青睐,其销量也是一路走高。据中汽协公布的数据显示,2024年10月,新能源汽车产销分别完成146.3万辆和143万辆,同比分别增长48%和49.6%。而结合各家新能源车企所公布的销量数据来看,比亚迪再度夺得了销冠宝座,其10月新能源汽车销量达到了502657辆,同比增长66.53%。众所周知,比亚迪是新能源汽车领域的重要参与者,其一举一动向来为外界所关注。日前,比亚迪汽车旗下品牌方程豹汽车推出了新车方程豹豹8,该款车型一上市就迅速吸引了消费者的目光,成为SUV
    刘旷 2024-12-02 09:32 152浏览
  •         温度传感器的精度受哪些因素影响,要先看所用的温度传感器输出哪种信号,不同信号输出的温度传感器影响精度的因素也不同。        现在常用的温度传感器输出信号有以下几种:电阻信号、电流信号、电压信号、数字信号等。以输出电阻信号的温度传感器为例,还细分为正温度系数温度传感器和负温度系数温度传感器,常用的铂电阻PT100/1000温度传感器就是正温度系数,就是说随着温度的升高,输出的电阻值会增大。对于输出
    锦正茂科技 2024-12-03 11:50 165浏览
  • TOF多区传感器: ND06   ND06是一款微型多区高集成度ToF测距传感器,其支持24个区域(6 x 4)同步测距,测距范围远达5m,具有测距范围广、精度高、测距稳定等特点。适用于投影仪的无感自动对焦和梯形校正、AIoT、手势识别、智能面板和智能灯具等多种场景。                 如果用ND06进行手势识别,只需要经过三个步骤: 第一步&
    esad0 2024-12-04 11:20 126浏览
  • 在电子工程领域,高速PCB设计是一项极具挑战性和重要性的工作。随着集成电路的迅猛发展,电路系统的复杂度和运行速度不断提升,对PCB设计的要求也越来越高。在这样的背景下,我有幸阅读了田学军老师所著的《高速PCB设计经验规则应用实践》一书,深感受益匪浅。以下是我从本书中学习到的新知识和经验分享,重点涵盖特殊应用电路的PCB设计、高速PCB设计经验等方面。一、高速PCB设计的基础知识回顾与深化 在阅读本书之前,我对高速PCB设计的基础知识已有一定的了解,但通过阅读,我对这些知识的认识得到了进一步的深
    金玉其中 2024-12-05 10:01 127浏览
  • 作为优秀工程师的你,已身经百战、阅板无数!请先醒醒,新的项目来了,这是一个既要、又要、还要的产品需求,ARM核心板中一个处理器怎么能实现这么丰富的外围接口?踌躇之际,你偶阅此文。于是,“潘多拉”的魔盒打开了!没错,USB资源就是你打开新世界得钥匙,它能做哪些扩展呢?1.1  USB扩网口通用ARM处理器大多带两路网口,如果项目中有多路网路接口的需求,一般会选择在主板外部加交换机/路由器。当然,出于成本考虑,也可以将Switch芯片集成到ARM核心板或底板上,如KSZ9897、
    万象奥科 2024-12-03 10:24 113浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦