日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

2022年11月3日，云棲大會在杭州云棲小鎮(zhèn)如期舉辦。大會以“計算·進化·未來”為主題，匯聚上千位重磅嘉賓，包括二十多名兩院院士、眾多知名學(xué)者、企業(yè)和行業(yè)領(lǐng)軍人等，共同分享頂尖科技趨勢和探討數(shù)字產(chǎn)業(yè)最新實踐。

今年云棲大會期間，龍蜥社區(qū)首次舉辦“龍蜥操作系統(tǒng)峰會”，1個產(chǎn)業(yè)論壇，4 大技術(shù)專場—— OS 安全、云原生、RISC-V、 eBPF技術(shù) & Linux穩(wěn)定性。

深信服創(chuàng)新研究院高級Linux內(nèi)核技術(shù)專家許慶偉特此受邀參加「龍蜥峰會eBPF技術(shù) & Linux穩(wěn)定性專場」，為線上直播以及會場近百名各公司技術(shù)專家分享了《eBPF安全特性解析》議題。

“隨著云網(wǎng)邊端的急速發(fā)展，人們的目光越發(fā)的聚焦在目前最火熱的云原生場景上?；趀BPF做安全管控策略的方案也越來越多，這些方案主要是基于eBPF掛載內(nèi)核函數(shù)并編寫過濾策略，以預(yù)防的方式在整個操作系統(tǒng)中執(zhí)行安全策略。除了能夠為多個層級的訪問控制指定允許列表外，還能夠自動檢測特權(quán)和 Capabilities 升級或命名空間提權(quán)（容器逃逸），并自動終止受影響的進程。”

據(jù)此，許慶偉從eBPF的安全原理出發(fā)，針對云原生容器場景下的eBPF使用場景，以安全的視角對eBPF進行剖析，并對相關(guān)技術(shù)的未來發(fā)展趨勢做出了相關(guān)的分析和總結(jié)。

許慶偉從eBPF的五大安全特性以及闡述eBPF Verifier為什么更安全。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor是現(xiàn)階段云原生場景下比較流行的幾款運行時防護方案。在云原生場景中，eBPF安全方案有著它獨有的特點，

這樣的方案優(yōu)點是可以自定義乃至自動化配置策略，修改檢測、阻斷規(guī)則文件更快速，更新靈活性高、過濾條件豐富（進程、網(wǎng)絡(luò)、文件等），安全策略可以通過 Kubernetes（CRD）、JSON API 或 Open Policy Agent（OPA）等系統(tǒng)注入。

許慶偉認為，由于目前基于eBPF的方案多為應(yīng)用態(tài)的方案，管控的是進程級別，當(dāng)發(fā)生誤報時，阻斷進程的運行會影響到客戶的正常業(yè)務(wù)。所以從業(yè)務(wù)安全以及發(fā)展趨勢的角度來看，實現(xiàn)阻斷函數(shù)調(diào)用級別的運行、不影響正常業(yè)務(wù)，是防御更細粒度，也更合理的方案。

許慶偉總結(jié)道，系統(tǒng)安全不是單一維度，我們要建立起從應(yīng)用態(tài)到內(nèi)核態(tài)的多層級防御矩陣，并從多角度的視角來看待和解決安全問題，會達到更好的效果。

深信服千里目安全技術(shù)中心-創(chuàng)新研究院一直致力于安全和云計算領(lǐng)域的核心技術(shù)前沿研究，推動技術(shù)創(chuàng)新變革與落地，擁有安全和云計算領(lǐng)域500+ 專利，實現(xiàn)攻擊和檢測技術(shù)的相互賦能，并及時把能力輸入到業(yè)務(wù)線中，實現(xiàn)自身產(chǎn)品的迭代優(yōu)化。未來，深信服千里目安全技術(shù)中心也將不斷提高專業(yè)技術(shù)造詣，深度洞察網(wǎng)絡(luò)安全威脅，持續(xù)為網(wǎng)絡(luò)安全賦能。