Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен
SidorovAlexey 11 минут назад Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен Средний 4 мин 750 Go * Linux * Обзор Из песочницы Я перекатываюсь из бэкенда на Go в сторону AppSec, и по...
Anthropic — What company has the best second artificial intelligence model at the end of June?
Вот важная новость с фронта ИИ: SidorovAlexey 11 минут назад Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен Средний 4 мин 750 Go * Linux * Обзор Из песочницы Я перекатываюсь из бэкенда на Go в сторону AppSec, и по дороге разбираюсь с темой, про которую у нас на русском пишут мало — рантайм-безопасность через eBPF. Хочу разложить идею: что это за инструменты, как они устроены изнутри, что уже есть в мире и почему именно сейчас на это смотрят в России. Без рекламы конкретного продукта, просто как карта местности для тех, кто думает, куда копать.
С чего вообще растёт эта идеяАнтивирус и сканер уязвимостей проверяют систему в какой-то момент и уходят. Они говорят, что у тебя могло сломаться. Между двумя проверками остаётся окно, и в этом окне обычно и случается компрометация: кто-то залез через свежую дыру в зависимости, выполнил пейлоад, прочитал креды, ушёл.
Технические детали
Рантайм-агент закрывает другую задачу. Он постоянно смотрит, что происходит на хосте прямо сейчас: какие процессы запускаются, к каким файлам обращаются, какие сетевые соединения открываются. Открыли /etc/shadow — он это видит в момент открытия.
Подняли root-шелл внутри контейнера, который должен крутить один веб-сервер — видит и это. Не постфактум по логам через неделю, а на месте. Чем тут помогает eBPFeBPF позволяет повесить свой код на события ядра, не собирая модули ядра и не трогая приложения.
Ты загружаешь крошечную программу в ядро, она срабатывает на системные вызовы и отдаёт тебе данные в userspace. Один процесс при этом видит весь хост целиком, включая все контейнеры — потому что контейнер это те же процессы того же ядра. Раньше под такое писали модули ядра, и это был отдельный вид боли: ошибка валит всю машину, под каждое ядро своя сборка.
Отраслевые последствия
eBPF гоняется в песочнице с верификатором, который не пускает программу, способную уронить ядро. Цена входа резко упала, и за последние годы вокруг этого вырос целый пласт инструментов. Что уже есть в миреЧтобы не изобретать велосипед вслепую, полезно знать ориентиры.
Falco — самый известный, проект из CNCF. Ловит подозрительное поведение по правилам, отдаёт алерты, давно живёт в проде у больших команд. Фактически эталон жанра.
Tetragon от Isovalent (это команда Cilium) — упор на observability и на возможность не только заметить, но и прервать действие прямо в ядре. Заметно мощнее и тяжелее. Tracee от Aqua Security — трейсинг и детект событий, удобен для разбора инцидентов и форензики.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.
