Linuxカーネル内部をフックするeBPFを用いてセキュリティの可観測性を実現する「Tetragon」がオープンソースで公開

2022年5月19日

Linuxカーネルを書き換えることなくその内部の機能をフックし、フック先でサンドボックス化されたプログラムを実行することにより、カーネルをプログラマブルに機能拡張できる「eBPF」(Extended Berkeley Packet Filter)は、クラウドネイティブ関連で最も注目されている技術の1つです。

eBPFを用いたソフトウェアとしては、CNI(Container Networking Interface)を用いてコンテナ間のセキュアな接続やロードバランシングなどさまざまな機能拡張を実現する「Cilium」がCloud Native Computing Foundationのプロジェクトとしてよく知られています。

今回、そのCiliumを開発するIsovalent社が、Ciliumの関連プロジェクトとしてオープンソース化したのが「Tetragon」です。

Tetragonは、Linuxカーネル内部のさまざまなAPIやスタックからメトリクスをリアルタイムに取得。

具体的にはファイルアクセスやネットワークアクセスなどのI/O、プロセス実行のイベント、特権レベルへのエスカレーションなど、システムコールやスタックの状態を含むアプリケーションの振る舞いをリアルタイムで観測可能にします。

取得したメトリクスはエージェントで集約、フィルタリングできるため、ポリシーに応じて重要なイベントやメトリクスだけを観測できるように設定可能です。

大きな特徴として、Linuxカーネル内部をフックすることでメトリクスを収集するため、あらゆるアプリケーションに対してコードを書き換える必要なくセキュリティの可観測性を実現。

しかもメトリクスの収集時にコンテキストスイッチの発生やプロセスの起動が回避できるため、非常に小さなオーバーヘッドで済みます。

また、名前空間やPodなどのKubernetes IDを認識して、Kubernetes上の個々のワークロードに関連したセキュリティイベントの検出を設定することが可能になっています。

あわせて読みたい

Linux OS クラウド クラウドネイティブ eBPF




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本