基于 eBPF 的安全可观测性和运行时执行平台已经成熟并获得加速。
译自 Tetragon 1.0 Promises a New Era of Kubernetes Security and Observability 。
一年半前,Isovalent 公司开源了 Tetragon,该公司将网络、安全、Kubernetes 和 eBPF 融入其方案中。如今,这个流行且实用的基于 eBPF 的安全可观测性和运行时执行平台已经达到 1.0 里程碑。
Tetragon 1.0 标志着 Kubernetes 安全与可观测性的重大进展。1.0 版本的主要关注点在于性能提升。Tetragon 旨在提供全面的安全可观测性信息,同时使性能开销最小化。在不影响安全信息的前提下,保持系统效率与安全见解之间的平衡至关重要。
对不了解的人来说,Tetragon 是一种利用 eBPF 实现深度可观测性且性能影响最小的原生 Kubernetes 工具。它可以跟踪大量活动,包括进程执行、特权提升以及网络活动。它基于 eBPF 实现的内核运行时策略可以针对未经授权的操作和时间检查-时间使用(TOCTOU)竞争条件攻击提供强大的安全防护。
虽然 Tetragon 的核心 eBPF 是 Linux 程序,但 Tetragon 意识到 Kubernetes 并作为 DaemonSet 原生运行在 Kubernetes 中。所有安全可观测性事件都会自动丰富 Kubernetes 元数据,如 Pod 名称、标签、命名空间信息和容器哈希。可观测性和执行策略可以以细粒度的方式仅应用于某些 Kubernetes 工作负载。
Isovalent 在上周在芝加哥举行的 KubeCon+CloudNativeCon 2023 上发布了此工具的 1.0 版本。
通过使用 eBPF 作为在内核中观察和过滤事件的核心机制,Tetragon 具有高效性和微小的占用空间。通过限制传输到用户空间的只相关事件,Tetragon 减少了开销,消除了噪音,并在采取执行操作时消除了不必要的延迟和竞争条件。
使用它进行可观测性非常简单。您只需从策略库中选择策略,即可立即获得 Linux 机器和 Kubernetes 集群内部丰富的数据视图。
Tetragon 还突出的一点是它可以与其他程序透明地协同工作。例如,它不需要更改现有代码。它还可以与 Prometheus、Grafana、Splunk 和 Elasticsearch 等其他工具无缝集成,以获得增强的见解和积极的安全措施。
正如 GitHub 员工安全工程师 Jason Cetina 在声明中所说:“Tetragon 为我们的安全团队提供了丰富的数据,这些数据将重要的网络、进程和 Kubernetes 元数据连接成单个事件记录。获得这种组合视图的活动使我们能够在节点、命名空间、pod 和容器级别查询集群上的网络活动细节。此外,它的设置很快,对我们的规模来说性能开销很小,这一点非常关键。”
根据 Isovalent 的说法,随着此次发布,Tetragon 速度更快了。其性能基准测试证明了其在各种场景(包括进程执行跟踪和可扩展文件监控)中的效率。这将使其非常适合审计 kubectl exec usage 情况、关联网络和运行时遥测以及大规模实施文件完整性监控。监控网络连接以快速检测网络攻击的能力至关重要。
随着 Tetragon 不断发展,它似乎注定要通过提供深度可观测性与最小性能影响的独特组合,成为 Kubernetes 安全的一个强大高效的工具。