完善资料让更多小伙伴认识你,还能领取20积分哦, 立即完善>
许庆伟:龙蜥社区eBPF技术探索SIG组 Maintainer & Linux Kernel Security Researcher。 本文是作者在 PODS 2022 大会上关于内核安全方面的一些思考和心得,本次分享将从监控和可观测性、eBPF 安全可观测性分析、内核安全可观测性展望三个方面展开。 一、eBPF 安全可观测性的前景展望从下图可以看到,监控只是可观测性的冰山一角,而大部分都隐藏在水面之下的深层次问题无法简单通过监控解决。 监控(Monitoring) vs 可观测性(Observability) 目前监控也开始可视化,但绝大部分都是事先预定义参数,然后事后查看日志,进行分析。监控的缺点包括: 1)可扩展性差,需要修改代码和编译;验证周期长;数据来源窄等问题。 2)可观测性是通过主动定制度量的搜集和内核数据聚合,包括以下三种: Logging
Tracing
Metrics(度量) 这也是可观测性与监控最主要的区别。 系统中某一类信息的统计聚合,比如 CPU、内存、网络吞吐、硬盘 I/O、硬盘使用等情况。当度量值触发异常阈值时,系统可以发出告警信息或主动处理,比如杀死或隔离进程; 主要目的:监控(Monitoring)、预警(Alert)。 总结一下监控和可观测性的区别: **监控:**收集和分析系统数据,查看系统当前的状态,对可预见的问题进行分析处理。 **可观测性:**通过观察系统并衡量系统的内部状态,从其外部输出的数据推断出来系统此时处于某种程度的度量,特别是我们所关心的场景和事件。 二、eBPF 安全可观测性分析安全:指的是某种对象或者对象属性不受威胁的状态。 安全可观测性:
eBPF 的安全可观测性表现为对内核来说其存在感极低但观测能力却异常强大(药效好,副作用小):
其中 eBPF 程序沙箱化,更加离不开安全模式的 eBPF Verifier(其中最重要的是边界检查):
eBPF 的可观测性应用场景主要有以下三类: 1.云原生容器的安全可观测性 随着云网边端的急速发展,人们的目光越发的聚焦在目前最火热的云原生场景上。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor 是现阶段云原生场景下比较流行的几款运行时防护方案。 这些方案主要是基于 eBPF 挂载内核函数并编写过滤策略,在内核层出现异常攻击时触发预置的策略,无需再返回用户层而直接发出告警甚至阻断。 以预防的方式在整个操作系统中执行安全策略,而不是对事件异步地做出反应。除了能够为多个层级的访问控制指定允许列表外,还能够自动检测特权和 Capabilities 升级或命名空间提权(容器逃逸),并自动终止受影响的进程。 安全策略可以通过 Kubernetes(CRD)、JSON API 或 Open Policy Agent(OPA)等系统注入。 2.应用层安全可观测方案 此类解决方案是在应用程序和系统调用层面上执行,并且可观测性方案也各不相同。它们都有一个用户空间代理,这个代理依赖于按定义收集的可观测性数据,然后对其作出反应,且无法对内核级别的事件进行观测。 3.内核层安全可观测方案 此类解决方案是直接在内核层面操作,主要针对运行时增强(runtime enforcement),观测能力较弱(甚至没有观测能力)。内置的内核系统提供了非常多的策略执行选项,但内核在构建时却只重点提供访问控制的能力,而且非常难以扩展,例如内核是无法感知到 Kubernetes 和容器的。虽然内核模块解决了可扩展性问题,但由于其产生的安全风险,在很多场景下往往不是一种明智的选择。 像 LSM-eBPF 这样年轻的内核子系统功能非常强大,也非常有前景,只是需要依赖最新的内核(≥5.7)。 三、内核安全可观测性展望下面从传统内核安全、Android 内核安全、KRSI 等几个方面展开讨论。 1.传统内核安全方案: 正如 Linus Torvalds 曾经说过的,大多数安全问题都是 bug 造成的,而 bug 又是软件开发过程的一部分,是软件就有 bug。 至于是安全还是非安全漏洞 bug,内核社区的做法就是尽可能多的测试,找出更多潜在漏洞这样近似于黑名单的做法。 内核代码提交走的流程比较繁琐,应用到具体内核版本上,又存在周期长以及版本适配的问题,所以导致内核在安全方面发展的速度明显慢于其他模块。同时,随着智能化、数字化、云化的飞速发展,全球基于 Linux 系统的设备数以百亿计,而这些设备的安全保障主要取决于主线内核的安全性和健壮性,当某一内核LTS版本被发有漏洞,这样相关的机器都会面临被攻破利用的局面,损失难以估量。 2.Android 内核安全 现如今,世界上越来越多的智能终端包括手机、TV、SmartBox 和 IoT、汽车、多媒体设备等等,均深度使用 Android 系统,而 Android 的底层正是 Linux 内核,这也让 Linux 内核的安全性对 Android 产生重大影响。 由于历史原因,Google 在 Android 内核开源的问题上,理念和 Linux 内核社区不是十分的匹配,这也导致了Android 对内核做了大量的针对性修改,但是无法合入到 Upstream 上。这也导致了 Android 内核在安全侧有部分不同于 Linux 内核,侧重点也存在不同。 在操作系统级别,Android 平台不仅提供 Linux 内核的安全功能,而且还提供安全的进程间通信 (IPC)机制,以便在不同进程中运行的应用之间安全通信。操作系统级别的这些安全功能旨在确保即使是原生代码也要受应用沙盒的限制。无论相应代码是自带应用行为导致的结果,还是利用应用漏洞导致的结果,系统都能防止违规应用危害其他应用、Android 系统或设备本身。 Android内核安全特性:
3.内核安全可观测性利器-KRSI KRSI (Kernel Runtime Security Instrumentation)的原型通过LSM (Linux security module)形式实现,可以将 eBPF program 挂载到 kernel 的 security hook(安全挂钩点)上。内核的安全性主要包括两个方面:Signals 和 Mitigations,这两者密不可分。
KRSI 基于 LSM 来实现,这也就使其能够进行访问控制策略的决策,但这不是 KRSI 的工作重心,主要是为了全面监视系统行为,以便检测攻击(最重要的应用场景,但目前主要还是只做检测居多,因为贸然做阻断处理可能会比较危险)。从这种角度来看,KRSI 可以说是内核审计机制的扩展,使用 eBPF 来提供比目前内核审计子系统更高级别的可配置性。 1)KRSI 允许适当的特权用户将 BPF 程序挂载到 LSM 子系统提供的数百个钩子中的任何一个上面。 2)为了简化这个步骤,KRSI 在 /sys/kernel/security/bpf 下面导出了一个新的文件系统层次结构——每个钩子对应一个文件。 3)可以使用 bpf()系统调用将BPF程序(新的 BPF_PROG_TYPE_LSM 类型)挂载到这些钩子上,并且可以有多个程序挂载到任何给定的钩子。 4)每当触发一个安全钩子时,将依次调用所有挂载的 BPF 程序,只要任一 BPF 程序返回错误状态,那么请求的操作将被拒绝。 5)KRSI 能够从函数级别做阻断操作,相比进程具有更细粒度,危险程度也会小得多。 4.后续计划
内核安全问题,牵一发而动全身,尤其是在运行时安全方面。通过上述 eBPF 新型 program 类型,为 signals 和 mitigation 提供统一 API 的策略,并优化内核 LSM 框架和现有机制容易丢失系统调用的问题,从阻断一个函数调用运行的角度,来实现更细粒度,也更合理的检测方案,同时在内核 Livepatch、漏洞检测以及防御提权相关攻击手段上,有着进一步的发展空间。eBPF 结合 LSM 的方案还在持续演进,功能和性能逐渐完善。 欢迎各位感兴趣的朋友加入龙蜥社区 eBPF 技术探索 SIG(Special Interest Group)) ,一起讨论分享自己对eBPF 技术的看法和解决方案,和 SIG 组成员一起开启 eBPF 的神奇之旅! 文章来源:OpenAnolis龙蜥公众号 |
|
相关推荐 |
|
只有小组成员才能发言,加入小组>>
2个成员聚集在这个小组
加入小组KeenTune的算法之心——KeenOpt 调优算法框架 | 龙蜥技术
16290 浏览 0 评论
10559 浏览 0 评论
11833 浏览 0 评论
技术解读:Dragonfly 基于 P2P 的智能镜像加速系统 | 龙蜥技术
7141 浏览 0 评论
ATC'22顶会论文RunD:高密高并发的轻量级 Serverless 安全容器运行时 | 龙蜥技术
7222 浏览 0 评论
小黑屋| 手机版| Archiver| 电子发烧友 ( 湘ICP备2023018690号 )
GMT+8, 2024-12-25 23:35 , Processed in 0.549421 second(s), Total 42, Slave 35 queries .
Powered by 电子发烧友网
© 2015 bbs.elecfans.com
关注我们的微信
下载发烧友APP
电子发烧友观察
版权所有 © 湖南华秋数字科技有限公司
电子发烧友 (威廉希尔官方网站 图) 湘公网安备 43011202000918 号 电信与信息服务业务经营许可证:合字B2-20210191 工商网监 湘ICP备2023018690号