eBPF雲原生安全：原理與實踐-FindBook 找書網 ISBN:9787111758044

內容簡介

這是一本系統講解如何使用eBPF技術構建雲原生安全防線的著作，是一本面向eBPF技術愛好者和雲安全領域從業者的實戰寶典，從原理與實踐角度詳述了eBPF技術在雲原生安全領域正在發生的關鍵作用，是作者多年構築雲原生安全縱深防禦經驗的總結。

本書詳細闡述了eBPF技術的核心原理以及在雲原生安全領域的應用價值，並結合大量的代碼案例分析，深入探討了在典型的雲原生安全需求場景下使用eBPF技術可以幫助實現的安全功能和實踐原理，同時也講述了可能引入的安全風險，幫助讀者從零基礎快速瞭解eBPF技術，開始eBPF安全程式設計。

通過閱讀本書，你將瞭解：雲原生安全面臨的主要挑戰，發展現狀和理論基礎；eBPF技術的基本原理和雲原生安全領域的典型應用；基於eBPF技術的雲原生安全核心開源項目的安裝、使用、基礎架構和實現原理；如何使用eBPF技術實現典型的雲原生安全需求及實現原理；如何將eBPF安全事件關聯進程、容器和Pod等上下文資訊；如何使用eBPF技術審計複雜的雲原生攻擊手段；惡意eBPF程式的典型實現方式以及如何防護和探測此類惡意程式。

作者介紹

黃竹剛，阿里雲容器服務技術專家，eBPF 技術愛好者，雲原生安全領域從業人員，擁有十餘年軟體發展經驗，熟悉Python、Go等多種編程語言，熱愛開源並長期活躍於開源社區。

匡大虎，阿里雲高級技術專家，阿里雲容器服務安全負責人，專注雲原生安全，是阿里云云原生安全核心成員之一。

前　言
第一部分　eBPF助力雲原生安全
第1章　雲原生安全概述　3
1.1　雲原生安全的挑戰　3
1.1.1　雲原生平台基礎設施的安全
風險　4
1.1.2　DevOps軟體供應鏈的安全
風險　4
1.1.3　雲原生應用范式的安全風險　5
1.2　雲原生安全的演進　5
1.3　雲原生安全的理論基礎　11
1.3.1　威脅建模　11
1.3.2　堅守安全準則　14
1.3.3　安全觀測和事件回應　21
1.4　雲原生安全的方法論　21
1.4.1　CNCF雲原生安全架構　22
1.4.2　雲原生應用保護平臺　31
1.5　本章小結　35
第2章　初識eBPF　36
2.1　eBPF歷史　36
2.2　eBPF的關鍵特性和應用場景　38
2.2.1　Linux內核　38
2.2.2　eBPF的關鍵特性　39
2.2.3　eBPF的應用場景　41
2.3　eBPF的架構　44
2.4　本章小結　47
第3章　eBPF技術原理詳解　48
3.1　eBPF“Hello World”程式　48
3.2　eBPF技術原理　53
3.2.1　eBPF Map數據結構　53
3.2.2　eBPF虛擬機器　56
3.2.3　eBPF驗證器　60
3.2.4　bpf()系統調用　61
3.2.5　eBPF程式和附著類型　63
3.3　eBPF程式的開發模式　66
3.3.1　BCC模式　66
3.3.2　CO-RE libbpf模式　68
3.4　本章小結　75
第4章　eBPF技術在雲原生安全領域
的應用　76
4.1　針對雲原生應用的攻擊　76
4.2　eBPF和雲原生安全的契合點　78
4.2.1　容器中的基礎隔離　78
4.2.2　傳統安全架構　79
4.2.3　eBPF提升雲原生應用運行時
安全　80
4.2.4　eBPF伴隨雲原生應用生命
週期　81
4.3　eBPF雲原生安全開源專案　83
4.3.1　Falco　84
4.3.2　Tracee　85
4.3.3　Tetragon　86
4.4　雙刃劍　87
4.5　本章小結　90

第二部分　雲原生安全項目詳解
第5章　雲原生安全專案Falco詳解　93
5.1　項目介紹　93
5.1.1　功能　93
5.1.2　使用場景　95
5.2　安裝　95
5.2.1　使用包管理工具　95
5.2.2　下載二進位包　97
5.2.3　Kubernetes環境　98
5.3　使用示例　99
5.3.1　規則引擎　99
5.3.2　告警輸出　104
5.3.3　事件源　104
5.4　架構和實現原理　105
5.4.1　架構　105
5.4.2　驅動　105
5.4.3　用戶態模組　111
5.5　本章小結　113
第6章　雲原生安全專案Tracee
詳解　114
6.1　項目介紹　114
6.2　安裝　115
6.3　使用示例　116
6.3.1　事件追蹤　116
6.3.2　製品捕獲　122
6.3.3　風險探測　124
6.3.4　外部集成　127
6.4　架構和實現原理　129
6.4.1　架構　129
6.4.2　tracee-ebpf實現原理　130
6.5　本章小結　141
第7章　雲原生安全專案Tetragon
詳解　142
7.1　項目介紹　142
7.2　安裝　143
7.3　使用示例　144
7.3.1　事件觀測　144
7.3.2　風險攔截　149
7.4　架構和實現原理　154
7.4.1　架構　154
7.4.2　事件觀測　156
7.4.3　風險攔截　165
7.5　本章小結　166

第三部分　eBPF安全技術實戰
第8章　使用eBPF技術審計和攔截
命令執行操作　169
8.1　審計命令執行操作　169
8.1.1　基於eBPF Kprobe和Kretprobe
實現　170
8.1.2　基於eBPF Fentry和Fexit
實現　173
8.1.3　基於eBPF Ksyscall和Kretsyscall
實現　174
8.1.4　基於eBPF Tracepoint實現　175
8.2　攔截命令執行操作　178
8.2.1　基於bpf_send_signal實現　178
8.2.2　基於bpf_override_return實現　179
8.3　本章小結　182
第9章　使用eBPF技術審計和攔截
檔讀寫操作　183
9.1　審計檔讀寫操作　183
9.1.1　基於eBPF Kprobe和Kretprobe
實現　184
9.1.2　基於eBPF Tracepoint實現　185
9.1.3　基於eBPF LSM實現　187
9.2　攔截檔讀寫操作　189
9.2.1　基於bpf_send_signal實現　190
9.2.2　基於bpf_override_return實現　191
9.2.3　基於eBPF LSM實現　191
9.3　本章小結　192
第10章　使用eBPF技術審計和攔截
許可權提升操作　193
10.1　審計許可權提升操作　193
10.1.1　基於eBPF LSM實現　194
10.1.2　基於eBPF Kprobe實現　195
10.2　攔截許可權提升操作　196
10.3　本章小結　197
第11章　使用eBPF技術審計和攔截
網路流量　198
11.1　審計網路流量　198
11.1.1　基於eBPF通訊端篩檢程式實現　198
11.1.2　基於eBPF TC實現　204
11.1.3　基於eBPF XDP實現　207
11.1.4　基於Kprobe實現　207
11.2　攔截網路流量　209
11.2.1　基於eBPF TC實現　209
11.2.2　基於eBPF XDP實現　210
11.3　本章小結　211
第12章　為事件關聯上下文信息　212
12.1　進程信息　212
12.1.1　進程操作事件　212
12.1.2　網路事件　216
12.2　容器和Pod信息　221
12.2.1　進程操作事件　221
12.2.2　網路事件　225
12.3　本章小結　226

第四部分　eBPF安全進階
第13章　使用eBPF技術審計複雜的
攻擊手段　229
13.1　審計使用無檔攻擊技術實現的
命令執行操作　229
13.2　審計反彈Shell操作　232
13.3　本章小結　236
第14章　使用eBPF技術探測惡意
eBPF程式　237
14.1　惡意eBPF程式　237
14.1.1　常規程式　237
14.1.2　網路程式　250
14.2　防護惡意eBPF程式　260
14.3　探測和審計惡意eBP

看更多

詳細資料

ISBN：9787111758044
規格：平裝 / 268頁 / 19 x 26 x 1.34 cm / 普通級 / 1-1
出版地：中國

eBPF雲原生安全：原理與實踐

內容簡介

作者介紹

目錄

詳細資料