2022年11月3日，云栖大会在杭州云栖小镇如期举办。大会以“计算·进化·未来”为主题，汇聚上千位重磅嘉宾，包括二十多名两院院士、众多知名学者、企业和行业领军人等，共同分享顶尖科技趋势和探讨数字产业最新实践。

今年云栖大会期间，龙蜥社区首次举办“龙蜥操作系统峰会”，1个产业论坛，4 大技术专场—— OS 安全、云原生、RISC-V、 eBPF技术 & Linux稳定性。

深信服创新研究院高级 Linux 内核技术专家许庆伟受邀参加「龙蜥峰会eBPF技术 & Linux稳定性专场」，为线上直播以及会场近百名各公司技术专家分享了《eBPF安全特性解析》议题。

“随着云网边端的急速发展，人们的目光越发的聚焦在目前最火热的云原生场景上。基于eBPF做安全管控策略的方案也越来越多，这些方案主要是基于eBPF挂载内核函数并编写过滤策略，以预防的方式在整个操作系统中执行安全策略。除了能够为多个层级的访问控制指定允许列表外，还能够自动检测特权和 Capabilities 升级或命名空间提权（容器逃逸），并自动终止受影响的进程。”

据此，许庆伟从eBPF的安全原理出发，针对云原生容器场景下的eBPF使用场景，以安全的视角对eBPF进行剖析，并对相关技术的未来发展趋势做出了相关的分析和总结。

一、eBPF的五大安全特性

1、程序沙箱化：通过eBPF验证器保护内核稳定运行。

2、侵入性低：无须修改内核代码，且无须停止程序运行。

3、透明化：从内核中透明搜集数据，保证企业最重要的数据资产。

4、可配置：Cilium等自定义乃至自动化配置策略，更新灵活性高，过滤条件丰富。

5、快速检测：在内核中直接处理各种事件，不需要回传用户态，使得异常检测方便和快速。

二、eBPF Verifier为何更安全？

1、拥有加载eBPF程序的流程所需的特权；

2、无crash或其他异常导致系统崩溃的情况；

3、程序可以正常结束，无死循环；

4、检查内存越界；

5、检查寄存器溢出；

三、云原生容器场景下，eBPF安全方案特点

建立从应用态到内核态的多层级防御矩阵

随着几何倍数增长的智能设备以其高频次的使用，各种黑客攻击以及数据泄露事件也在全球范围内频繁发生，这也让设备安全和信息安全成了绝大多数公司最为关注和人力财力投入的领域。安全的基座在芯片，芯片的基座在操作系统，操作系统的核心是内核。

当我们谈及运行时防护产品或方案时，人们的目光主要集中在主机、终端和目前最火热的云原生场景上。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor是现阶段云原生场景下比较流行的几款运行时防护方案。

这样的方案优点是可以自定义乃至自动化配置策略，修改检测、阻断规则文件更快速，更新灵活性高、过滤条件丰富（进程、网络、文件等），安全策略可以通过 Kubernetes（CRD）、JSON API 或 Open Policy Agent（OPA）等系统注入。

许庆伟认为，由于目前基于eBPF的方案多为应用态的方案，管控的是进程级别，当发生误报时，阻断进程的运行会影响到客户的正常业务。

所以从业务安全以及发展趋势的角度来看，实现阻断函数调用级别的运行、不影响正常业务，是防御更细粒度，也更合理的方案。

目前如KRSI（Kernel Runtime Security Instrumentation）等相关LSM + eBPF方案在国内外各大公司，正在被逐步使用，并达到了很好的防御效果。这类方案主要是基于eBPF挂载内核函数并编写过滤策略，在内核层出现异常攻击时触发预置的策略，无需再返回用户层而直接发出告警甚至阻断。

更加重要的是在内核直接处理各种事件，节省了数据传输和上下文切换带来的性能损耗，对于网络或者Tracing等短时间大量数据处理的场景，性能方面提升更高，在内核Livepatch、漏洞检测以及防御提权等相关攻击手段上，也有着进一步的发展空间。

系统安全不是单一维度，我们要建立起从应用态到内核态的多层级防御矩阵，并从多角度的视角来看待和解决安全问题，会达到更好的效果。

深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究，推动技术创新变革与落地，拥有安全和云计算领域500+ 专利，实现攻击和检测技术的相互赋能，并及时把能力输入到业务线中，实现自身产品的迭代优化。未来，深信服千里目安全技术中心也将不断提高专业技术造诣，深度洞察网络安全威胁，持续为网络安全赋能。