在 CrowdStrike Windows 安全事件发生后,安全专家和开发人员都在寻找一种更安全的方式来运行低级安全程序。一种可能的解决方案是 eBPF。
英特尔院士兼系统专家 Brendan Gregg 认为,eBPF 可以预防未来类似 Crowdstrike 的灾难。其他人则不那么肯定。
在 CrowdStrike Windows 安全惨败之后,安全专家和开发人员都在寻找一种更安全的方式来运行低级安全程序。在最近的一篇博客文章中,备受推崇的系统性能专家和英特尔院士 Brendan Gregg 表示,借助 eBPF ,我们可以防止计算机因不良的软件更新(即使是那些涉及内核代码的更新)而崩溃。
现在,我非常喜欢 eBPF——这个瑞士军刀程序,它使您可以在 Linux 内核中的虚拟机 (VM) 中运行软件。正如 Isovalent 的首席技术官兼联合创始人 Thomas Graf 在 CloudNativeSecurityCon 的演讲中所说,“通过允许沙盒程序在操作系统中运行,eBPF 使开发人员能够创建在运行时为操作系统添加功能的程序。然后,操作系统就可以保证安全性和执行效率,就像在即时 (JIT) 编译器和验证引擎的帮助下进行本地编译一样。
深入探讨安全性时,Gregg 写道:“eBPF 程序不会导致整个系统崩溃,因为它们经过软件验证程序的安全检查,并且有效地在沙箱中运行。如果验证程序发现任何不安全的代码,程序将被拒绝并且不会执行。”
他接着说,思科最近收购了 Isovalent,并宣布推出一款新的 eBPF 安全产品:Cisco Hypershield,这是一种用于安全实施和监控的结构。Gregg 补充说:“谷歌和 Meta 已经依靠 eBPF 来检测和阻止其集群中的不良行为者。”因此,显然,eBPF 不仅仅是一个有吸引力的深度技术平台。它已经被主要技术参与者用于生产中。
但是,对于需要包含内核驱动程序或内核模块的商业软件的人来说,eBPF 真的是最佳选择吗?当然,eBPF 尚未准备好在 Windows 上投入生产,但 Gregg 确信这不会持续太久。其他人并不确定 eBPF 是否是这两种操作系统的完美安全平台。
在一次电子邮件采访中,低操作开发公司 Pivotal Technologies 的首席执行官 Yashin Manraj 告诉我:“Gregg 对 eBPF 消除内核崩溃潜力的乐观看法虽然令人信服,但需要仔细考虑。虽然 eBPF 为在内核中运行代码提供了一个更安全的沙箱,但它并不是灵丹妙药。”
Manraj 列出了他的担忧:
随着 BPF 程序变得越来越复杂,出现不可预见的错误的可能性也随之增加。仔细的测试和彻底的代码审查对于降低这种风险至关重要,不会导致系统崩溃,而是导致特定服务瘫痪,而系统其余部分仍可正常运行。
由于 eBPF 程序直接与内核交互,即使是微小的错误也可能产生连锁反应,从而可能导致服务不稳定。
与任何软件一样,eBPF 程序也容易受到攻击。开发人员必须优先考虑安全问题,包括输入验证、内存管理和访问控制。
调试 eBPF 程序可能具有挑战性。强大的日志记录和跟踪机制对于识别和解决问题至关重要。
Manraj 总结道:“最终,eBPF 在防止内核崩溃和服务不可用方面的成功不仅取决于技术本身,还取决于开发人员和安全专业人员的技术水平,即采用强大的编码实践并在整个开发生命周期中优先考虑安全性。”
我们还没到那儿。
更深入地探讨后,云运行时安全初创公司 Sweet Security 的首席技术官 Tomer Filiba 在一封电子邮件采访中警告称,eBPF 本身存在安全隐患。首先,eBPF 需要高权限(CAP_SYS_ADMIN 或“root”),而拥有这些权限的程序还可以删除重要的操作系统文件或破坏服务器的配置。”这些失误可能是由于错误而不是恶意造成的,但它们仍然是一个真正的问题。
其次,Filiba 继续说,由于 eBPF 可以写入用户空间内存,因此它可能会搞乱“正常程序”。没错,这不会“像驱动程序那样使内核崩溃,但可能会导致程序崩溃。”当然,这比手动将 Windows 系统重新启动到“安全模式”并解决问题要好,但它仍然会搞乱您的生产工作负载。
不过,“底线是,任何高权限程序都可能对您的环境造成危害,但在降低风险方面,eBPF 的优势要大得多。例如,如果您的 eBPF 代理出现问题,系统可能仍能正常运行,允许您删除/升级代理。
eBPF 能解决您未来的安全问题吗?嗯,它可能不是答案,尤其是在 Windows 中。不过,在对 eBPF 的乐观和悲观之间,我认为基于 eBPF 的安全系统将成为低级安全防御和监控平台的重要组成部分。
533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
