這是一本系統講解如何使用eBPF技術構建雲原生安全防線的著作,是一本面向eBPF技術愛好者和雲安全領域從業者的實戰寶典,從原理與實踐角度詳述了eBPF技術在雲原生安全領域正在發生的關鍵作用,是作者多年構築雲原生安全縱深防禦經驗的總結。
本書詳細闡述了eBPF技術的核心原理以及在雲原生安全領域的應用價值,並結合大量的代碼案例分析,深入探討了在典型的雲原生安全需求場景下使用eBPF技術可以幫助實現的安全功能和實踐原理,同時也講述了可能引入的安全風險,幫助讀者從零基礎快速瞭解eBPF技術,開始eBPF安全程式設計。
通過閱讀本書,你將瞭解:雲原生安全面臨的主要挑戰,發展現狀和理論基礎;eBPF技術的基本原理和雲原生安全領域的典型應用;基於eBPF技術的雲原生安全核心開源項目的安裝、使用、基礎架構和實現原理;如何使用eBPF技術實現典型的雲原生安全需求及實現原理;如何將eBPF安全事件關聯進程、容器和Pod等上下文資訊;如何使用eBPF技術審計複雜的雲原生攻擊手段;惡意eBPF程式的典型實現方式以及如何防護和探測此類惡意程式。
| FindBook |
|
有 1 項符合
黃竹剛的圖書 |
 |
$ 445 | eBPF雲原生安全:原理與實踐
作者:黃竹剛 出版社:機械工業出版社 出版日期:2024-08-01 語言:簡體中文 規格:平裝 / 268頁 / 19 x 26 x 1.34 cm / 普通級/ 1-1  博客來 - 其他
- 來源網頁  看圖書介紹
|
|
|
圖書介紹 - 資料來源:博客來 評分:
圖書名稱:eBPF雲原生安全:原理與實踐
內容簡介
作者介紹
黃竹剛,阿里雲容器服務技術專家,eBPF 技術愛好者,雲原生安全領域從業人員,擁有十餘年軟體發展經驗,熟悉Python、Go等多種編程語言,熱愛開源並長期活躍於開源社區。
匡大虎,阿里雲高級技術專家,阿里雲容器服務安全負責人,專注雲原生安全,是阿里云云原生安全核心成員之一。
匡大虎,阿里雲高級技術專家,阿里雲容器服務安全負責人,專注雲原生安全,是阿里云云原生安全核心成員之一。
目錄
前 言
第一部分 eBPF助力雲原生安全
第1章 雲原生安全概述 3
1.1 雲原生安全的挑戰 3
1.1.1 雲原生平台基礎設施的安全
風險 4
1.1.2 DevOps軟體供應鏈的安全
風險 4
1.1.3 雲原生應用范式的安全風險 5
1.2 雲原生安全的演進 5
1.3 雲原生安全的理論基礎 11
1.3.1 威脅建模 11
1.3.2 堅守安全準則 14
1.3.3 安全觀測和事件回應 21
1.4 雲原生安全的方法論 21
1.4.1 CNCF雲原生安全架構 22
1.4.2 雲原生應用保護平臺 31
1.5 本章小結 35
第2章 初識eBPF 36
2.1 eBPF歷史 36
2.2 eBPF的關鍵特性和應用場景 38
2.2.1 Linux內核 38
2.2.2 eBPF的關鍵特性 39
2.2.3 eBPF的應用場景 41
2.3 eBPF的架構 44
2.4 本章小結 47
第3章 eBPF技術原理詳解 48
3.1 eBPF“Hello World”程式 48
3.2 eBPF技術原理 53
3.2.1 eBPF Map數據結構 53
3.2.2 eBPF虛擬機器 56
3.2.3 eBPF驗證器 60
3.2.4 bpf()系統調用 61
3.2.5 eBPF程式和附著類型 63
3.3 eBPF程式的開發模式 66
3.3.1 BCC模式 66
3.3.2 CO-RE libbpf模式 68
3.4 本章小結 75
第4章 eBPF技術在雲原生安全領域
的應用 76
4.1 針對雲原生應用的攻擊 76
4.2 eBPF和雲原生安全的契合點 78
4.2.1 容器中的基礎隔離 78
4.2.2 傳統安全架構 79
4.2.3 eBPF提升雲原生應用運行時
安全 80
4.2.4 eBPF伴隨雲原生應用生命
週期 81
4.3 eBPF雲原生安全開源專案 83
4.3.1 Falco 84
4.3.2 Tracee 85
4.3.3 Tetragon 86
4.4 雙刃劍 87
4.5 本章小結 90
第二部分 雲原生安全項目詳解
第5章 雲原生安全專案Falco詳解 93
5.1 項目介紹 93
5.1.1 功能 93
5.1.2 使用場景 95
5.2 安裝 95
5.2.1 使用包管理工具 95
5.2.2 下載二進位包 97
5.2.3 Kubernetes環境 98
5.3 使用示例 99
5.3.1 規則引擎 99
5.3.2 告警輸出 104
5.3.3 事件源 104
5.4 架構和實現原理 105
5.4.1 架構 105
5.4.2 驅動 105
5.4.3 用戶態模組 111
5.5 本章小結 113
第6章 雲原生安全專案Tracee
詳解 114
6.1 項目介紹 114
6.2 安裝 115
6.3 使用示例 116
6.3.1 事件追蹤 116
6.3.2 製品捕獲 122
6.3.3 風險探測 124
6.3.4 外部集成 127
6.4 架構和實現原理 129
6.4.1 架構 129
6.4.2 tracee-ebpf實現原理 130
6.5 本章小結 141
第7章 雲原生安全專案Tetragon
詳解 142
7.1 項目介紹 142
7.2 安裝 143
7.3 使用示例 144
7.3.1 事件觀測 144
7.3.2 風險攔截 149
7.4 架構和實現原理 154
7.4.1 架構 154
7.4.2 事件觀測 156
7.4.3 風險攔截 165
7.5 本章小結 166
第三部分 eBPF安全技術實戰
第8章 使用eBPF技術審計和攔截
命令執行操作 169
8.1 審計命令執行操作 169
8.1.1 基於eBPF Kprobe和Kretprobe
實現 170
8.1.2 基於eBPF Fentry和Fexit
實現 173
8.1.3 基於eBPF Ksyscall和Kretsyscall
實現 174
8.1.4 基於eBPF Tracepoint實現 175
8.2 攔截命令執行操作 178
8.2.1 基於bpf_send_signal實現 178
8.2.2 基於bpf_override_return實現 179
8.3 本章小結 182
第9章 使用eBPF技術審計和攔截
檔讀寫操作 183
9.1 審計檔讀寫操作 183
9.1.1 基於eBPF Kprobe和Kretprobe
實現 184
9.1.2 基於eBPF Tracepoint實現 185
9.1.3 基於eBPF LSM實現 187
9.2 攔截檔讀寫操作 189
9.2.1 基於bpf_send_signal實現 190
9.2.2 基於bpf_override_return實現 191
9.2.3 基於eBPF LSM實現 191
9.3 本章小結 192
第10章 使用eBPF技術審計和攔截
許可權提升操作 193
10.1 審計許可權提升操作 193
10.1.1 基於eBPF LSM實現 194
10.1.2 基於eBPF Kprobe實現 195
10.2 攔截許可權提升操作 196
10.3 本章小結 197
第11章 使用eBPF技術審計和攔截
網路流量 198
11.1 審計網路流量 198
11.1.1 基於eBPF通訊端篩檢程式實現 198
11.1.2 基於eBPF TC實現 204
11.1.3 基於eBPF XDP實現 207
11.1.4 基於Kprobe實現 207
11.2 攔截網路流量 209
11.2.1 基於eBPF TC實現 209
11.2.2 基於eBPF XDP實現 210
11.3 本章小結 211
第12章 為事件關聯上下文信息 212
12.1 進程信息 212
12.1.1 進程操作事件 212
12.1.2 網路事件 216
12.2 容器和Pod信息 221
12.2.1 進程操作事件 221
12.2.2 網路事件 225
12.3 本章小結 226
第四部分 eBPF安全進階
第13章 使用eBPF技術審計複雜的
攻擊手段 229
13.1 審計使用無檔攻擊技術實現的
命令執行操作 229
13.2 審計反彈Shell操作 232
13.3 本章小結 236
第14章 使用eBPF技術探測惡意
eBPF程式 237
14.1 惡意eBPF程式 237
14.1.1 常規程式 237
14.1.2 網路程式 250
14.2 防護惡意eBPF程式 260
14.3 探測和審計惡意eBP
第一部分 eBPF助力雲原生安全
第1章 雲原生安全概述 3
1.1 雲原生安全的挑戰 3
1.1.1 雲原生平台基礎設施的安全
風險 4
1.1.2 DevOps軟體供應鏈的安全
風險 4
1.1.3 雲原生應用范式的安全風險 5
1.2 雲原生安全的演進 5
1.3 雲原生安全的理論基礎 11
1.3.1 威脅建模 11
1.3.2 堅守安全準則 14
1.3.3 安全觀測和事件回應 21
1.4 雲原生安全的方法論 21
1.4.1 CNCF雲原生安全架構 22
1.4.2 雲原生應用保護平臺 31
1.5 本章小結 35
第2章 初識eBPF 36
2.1 eBPF歷史 36
2.2 eBPF的關鍵特性和應用場景 38
2.2.1 Linux內核 38
2.2.2 eBPF的關鍵特性 39
2.2.3 eBPF的應用場景 41
2.3 eBPF的架構 44
2.4 本章小結 47
第3章 eBPF技術原理詳解 48
3.1 eBPF“Hello World”程式 48
3.2 eBPF技術原理 53
3.2.1 eBPF Map數據結構 53
3.2.2 eBPF虛擬機器 56
3.2.3 eBPF驗證器 60
3.2.4 bpf()系統調用 61
3.2.5 eBPF程式和附著類型 63
3.3 eBPF程式的開發模式 66
3.3.1 BCC模式 66
3.3.2 CO-RE libbpf模式 68
3.4 本章小結 75
第4章 eBPF技術在雲原生安全領域
的應用 76
4.1 針對雲原生應用的攻擊 76
4.2 eBPF和雲原生安全的契合點 78
4.2.1 容器中的基礎隔離 78
4.2.2 傳統安全架構 79
4.2.3 eBPF提升雲原生應用運行時
安全 80
4.2.4 eBPF伴隨雲原生應用生命
週期 81
4.3 eBPF雲原生安全開源專案 83
4.3.1 Falco 84
4.3.2 Tracee 85
4.3.3 Tetragon 86
4.4 雙刃劍 87
4.5 本章小結 90
第二部分 雲原生安全項目詳解
第5章 雲原生安全專案Falco詳解 93
5.1 項目介紹 93
5.1.1 功能 93
5.1.2 使用場景 95
5.2 安裝 95
5.2.1 使用包管理工具 95
5.2.2 下載二進位包 97
5.2.3 Kubernetes環境 98
5.3 使用示例 99
5.3.1 規則引擎 99
5.3.2 告警輸出 104
5.3.3 事件源 104
5.4 架構和實現原理 105
5.4.1 架構 105
5.4.2 驅動 105
5.4.3 用戶態模組 111
5.5 本章小結 113
第6章 雲原生安全專案Tracee
詳解 114
6.1 項目介紹 114
6.2 安裝 115
6.3 使用示例 116
6.3.1 事件追蹤 116
6.3.2 製品捕獲 122
6.3.3 風險探測 124
6.3.4 外部集成 127
6.4 架構和實現原理 129
6.4.1 架構 129
6.4.2 tracee-ebpf實現原理 130
6.5 本章小結 141
第7章 雲原生安全專案Tetragon
詳解 142
7.1 項目介紹 142
7.2 安裝 143
7.3 使用示例 144
7.3.1 事件觀測 144
7.3.2 風險攔截 149
7.4 架構和實現原理 154
7.4.1 架構 154
7.4.2 事件觀測 156
7.4.3 風險攔截 165
7.5 本章小結 166
第三部分 eBPF安全技術實戰
第8章 使用eBPF技術審計和攔截
命令執行操作 169
8.1 審計命令執行操作 169
8.1.1 基於eBPF Kprobe和Kretprobe
實現 170
8.1.2 基於eBPF Fentry和Fexit
實現 173
8.1.3 基於eBPF Ksyscall和Kretsyscall
實現 174
8.1.4 基於eBPF Tracepoint實現 175
8.2 攔截命令執行操作 178
8.2.1 基於bpf_send_signal實現 178
8.2.2 基於bpf_override_return實現 179
8.3 本章小結 182
第9章 使用eBPF技術審計和攔截
檔讀寫操作 183
9.1 審計檔讀寫操作 183
9.1.1 基於eBPF Kprobe和Kretprobe
實現 184
9.1.2 基於eBPF Tracepoint實現 185
9.1.3 基於eBPF LSM實現 187
9.2 攔截檔讀寫操作 189
9.2.1 基於bpf_send_signal實現 190
9.2.2 基於bpf_override_return實現 191
9.2.3 基於eBPF LSM實現 191
9.3 本章小結 192
第10章 使用eBPF技術審計和攔截
許可權提升操作 193
10.1 審計許可權提升操作 193
10.1.1 基於eBPF LSM實現 194
10.1.2 基於eBPF Kprobe實現 195
10.2 攔截許可權提升操作 196
10.3 本章小結 197
第11章 使用eBPF技術審計和攔截
網路流量 198
11.1 審計網路流量 198
11.1.1 基於eBPF通訊端篩檢程式實現 198
11.1.2 基於eBPF TC實現 204
11.1.3 基於eBPF XDP實現 207
11.1.4 基於Kprobe實現 207
11.2 攔截網路流量 209
11.2.1 基於eBPF TC實現 209
11.2.2 基於eBPF XDP實現 210
11.3 本章小結 211
第12章 為事件關聯上下文信息 212
12.1 進程信息 212
12.1.1 進程操作事件 212
12.1.2 網路事件 216
12.2 容器和Pod信息 221
12.2.1 進程操作事件 221
12.2.2 網路事件 225
12.3 本章小結 226
第四部分 eBPF安全進階
第13章 使用eBPF技術審計複雜的
攻擊手段 229
13.1 審計使用無檔攻擊技術實現的
命令執行操作 229
13.2 審計反彈Shell操作 232
13.3 本章小結 236
第14章 使用eBPF技術探測惡意
eBPF程式 237
14.1 惡意eBPF程式 237
14.1.1 常規程式 237
14.1.2 網路程式 250
14.2 防護惡意eBPF程式 260
14.3 探測和審計惡意eBP
|
