报告预览

2.首届eBPF大会交流-李强&张绪峰_final.pptx

编号：161108

PPTX 22页 12.19MB 下载积分：VIP专享

下载报告请您先登录！

2.首届eBPF大会交流-李强&张绪峰_final.pptx

1、首届中国首届中国eBPFeBPF研讨会研讨会eBPF在安全领域的应用李强&张绪峰，蚂蚁集团2022年10月自我介绍自我介绍l 李强李强蚂蚁集团，安全工程师蚂蚁集团，安全工程师底层安全，内核、虚拟化、容器安全底层安全，内核、虚拟化、容器安全l 张绪峰张绪峰蚂蚁集团，研发工程师蚂蚁集团，研发工程师内核、容器、可信计算内核、容器、可信计算首届中国首届中国eBPFeBPF研讨会研讨会目录目录l 云原生时代系统安全面临的问题云原生时代系统安全面临的问题l eBPFeBPF用于系统安全领域用于系统安全领域l BPFShieldBPFShield系统介绍系统介绍首届中国首届中国eBPFeBPF研讨会研讨会P

2、art 1:Part 1:云原生时代系统安全面临的问题云原生时代系统安全面临的问题首届中国首届中国eBPFeBPF研讨会研讨会01云原生安全：云原生安全：runtimeruntime安全安全首届中国首届中国eBPFeBPF研讨会研讨会l 网络安全：网络安全：kuberneteskubernetes有标准，典型实现有标准，典型实现CiliumCiliuml 系统安全：尚无标准，实现有系统安全：尚无标准，实现有sysdigsysdig,TetragonTetragon等等01典型的典型的runtimeruntime系统安全系统安全首届中国首届中国eBPFeBPF研讨会研讨会l 系统行为观测系统行为

3、观测l 漏洞检测与拦截漏洞检测与拦截l 容器逃逸检测与拦截容器逃逸检测与拦截l 恶意软件检测与拦截恶意软件检测与拦截01系统行为观测系统行为观测首届中国首届中国eBPFeBPF研讨会研讨会l 问题：如何确定内核安全加固项问题：如何确定内核安全加固项l 背景：大规模集群上运行各种各样业务，很难统一确定加固项背景：大规模集群上运行各种各样业务，很难统一确定加固项l 例子例子 LinuxLinux各种内核安全加固项各种内核安全加固项 l 需求：需要能够对集群上的节点方便的插桩收集数据需求：需要能够对集群上的节点方便的插桩收集数据01漏洞利用检测与拦截漏洞利用检测与拦截首届中国首届中国eBPFeBPF

4、研讨会研讨会l 问题：问题：LinuxLinux系统漏洞频发系统漏洞频发l 背景：生产环境内核的升级和补丁都不容易背景：生产环境内核的升级和补丁都不容易l 影响影响系统漏洞越来越多，特别是内核漏洞系统漏洞越来越多，特别是内核漏洞 LinuxLinux漏洞防御方案发展缓慢漏洞防御方案发展缓慢在容器化场景下影响更大在容器化场景下影响更大l 需求：能够快速的针对漏洞进行系统止血工作需求：能够快速的针对漏洞进行系统止血工作01容器逃逸检测与拦截容器逃逸检测与拦截首届中国首届中国eBPFeBPF研讨会研讨会l 问题：容器逃逸是云原生安全最大风险之一问题：容器逃逸是云原生安全最大风险之一l 背景：容器

5、逃逸比较常见，风险很大背景：容器逃逸比较常见，风险很大l 例子例子 UserUser modemode helperhelper逃逸逃逸特权权限配置不当特权权限配置不当系统漏洞系统漏洞l 需求：能够高效的检测或者拦截各类容器逃逸漏洞需求：能够高效的检测或者拦截各类容器逃逸漏洞01LinuxLinux恶意软件恶意软件首届中国首届中国eBPFeBPF研讨会研讨会l 问题：问题：LinuxLinux恶意软件越来越使用高级技术恶意软件越来越使用高级技术l 背景：恶意软件会使用各种高级技术逃避传统软件检测背景：恶意软件会使用各种高级技术逃避传统软件检测l 例子例子无文件攻击：无文件攻击：memfd

6、_creatememfd_create bpfbpf：加载：加载bpfbpf程序程序 rootkit:rootkit:加载内核模块等加载内核模块等l 需求：能够快速检测各种恶意软件需求：能够快速检测各种恶意软件01Part 2:Part 2:eBPFeBPF用于系统安全领域用于系统安全领域首届中国首届中国eBPFeBPF研讨会研讨会02系统行为观测系统行为观测首届中国首届中国eBPFeBPF研讨会研讨会l 需求：需要能够对集群上的节点方便的插桩收集数据需求：需要能够对集群上的节点方便的插桩收集数据l eBPFeBPF：能够方便的在内核多个地方进行插桩：能够方便的在内核多个地方进行插桩做加固决定

7、Data collectionData analysis02系统漏洞利用检测与拦截系统漏洞利用检测与拦截首届中国首届中国eBPFeBPF研讨会研讨会l 需求：能够快速的针对漏洞进行系统止血工作需求：能够快速的针对漏洞进行系统止血工作l eBPFeBPF：根据漏洞以及攻击特征加载检测与拦截程序：根据漏洞以及攻击特征加载检测与拦截程序1.漏洞（利用)分析2.加载到系统3.检测/拦截攻击02容器逃逸检测与拦截容器逃逸检测与拦截首届中国首届中国eBPFeBPF研讨会研讨会l 需求：能够高效的检测或者拦截各类容器逃逸漏洞需求：能够高效的检测或者拦截各类容器逃逸漏洞l eBPFeBPF：根据各种逃逸方式加

8、载对应检测与拦截程序：根据各种逃逸方式加载对应检测与拦截程序Escape by user mode helperEscape by privileged capabilitiesEscape by vulnerabilities检测可以的call_usermodehelper_setup分析漏洞进行检测与拦截通过BPF LSM拦截(security_capable point)02容器逃逸检测与拦截容器逃逸检测与拦截首届中国首届中国eBPFeBPF研讨会研讨会l 需求：能够快速检测各种恶意软件需求：能够快速检测各种恶意软件l eBPFeBPF：根据各种攻击方式加载对应检测与拦截程序：根据各种攻

9、击方式加载对应检测与拦截程序无文件攻击(memfd_create)恶意bpf程序(bpf)加载内核模块(init_module)02小结小结首届中国首届中国eBPFeBPF研讨会研讨会l eBPFeBPF能够加载到系统的诸多加载点，完成安全功能能够加载到系统的诸多加载点，完成安全功能l 加载点：系统调用、网络、加载点：系统调用、网络、LSMLSM、kprobekprobel 安全问题：系统观测、漏洞利用检测与拦截、恶意软件等安全问题：系统观测、漏洞利用检测与拦截、恶意软件等02Part 3:Part 3:BPFShieldBPFShield系统介绍系统介绍首届中国首届中国eBPFeBPF研讨会

10、研讨会03平台架构设计平台架构设计首届中国首届中国eBPFeBPF研讨会研讨会03目标目标通用平台化通用平台化云原生使用体验云原生使用体验与与K8SK8S结合结合易用性易用性 yamlyaml格式策略语言格式策略语言性能性能细粒度按需加载，灵活编细粒度按需加载，灵活编排调度排调度抽象概念抽象概念BpfWorkloadBpfWorkload:类比类比DeploymentDeploymentBpfObjectGroupBpfObjectGroup:类比类比PodPod策略语言设计策略语言设计安全领安全领域域首届中国首届中国eBPFeBPF研讨会研讨会03Subject:Subject:当前实

11、体对象，支持多种类型当前实体对象，支持多种类型Object:Object:主体访问的客体对象，支持多种类型主体访问的客体对象，支持多种类型Action:Action:此次访问所被允许的动作此次访问所被允许的动作:Allow/Deny/AuditSAOSAORuleRuleRuleRule 是是 PolicyPolicy 的最小策略单元，多个的最小策略单元，多个 RuleRule 组成一个组成一个 PolicyPolicyMatchPatternMatchPatternmatchUsers:matchUsers:可匹配多个系统可匹配多个系统 UserUsermatchDirectories:ma

12、tchDirectories:可匹配多个文件目录可匹配多个文件目录.作用于作用于 Subject Subject 和和 ObjectObject，用于匹配一组符合条件的，用于匹配一组符合条件的 SubjectSubject 和和 ObjectObject基于身份的规则引擎基于身份的规则引擎首届中国首届中国eBPFeBPF研讨会研讨会03用户态身份到内核态身份的映射用户态身份到内核态身份的映射应用身份应用身份内核态内核态:Namespace ID用户态用户态:hash(app_name/pod_ns/pod_name)基于身份的特征规则匹配基于身份的特征规则匹配未来工作未来工作首届中国首届中国eBPFeBPF研讨会研讨会03基于基于OCIOCI规范的规范的eBPFeBPF制品流水线制品流水线建设建设eBPFeBPF制品制品Registry Registry BPFHubBPFHubeBPFeBPF制品签名验签的支持制品签名验签的支持eBPFeBPF与可信计算的结合与可信计算的结合基于基于BTFBTF信息的审计日志输出扩展能力信息的审计日志输出扩展能力谢谢！谢谢！首届中国首届中国eBPFeBPF研讨会研讨会

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2.首届eBPF大会交流-李强&张绪峰_final.pptx）为本站（张5G）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

2.首届eBPF大会交流-李强&张绪峰_final.pptx

2.首届eBPF大会交流-李强&张绪峰_final.pptx