思科利用 eBPF 技术重塑防火墙和漏洞缓解,通过内核可编程性实现分布式微型防火墙,加速补丁部署,并将安全扩展至笔记本电脑等端点。
译自:Cisco is using eBPF to rethink firewalls, vulnerability mitigation
作者:Joab Jackson
网络巨头思科于2024年收购了 Isovalent,以进军云原生领域。
在我们的云原生社区中,Isovalent 主要以其 Cilium 而闻名,这是一个扩展伯克利包过滤器 (eBPF) 叠加网络,在 Kubernetes 环境中运行良好,通过使用 eBPF 在内核中进行流量路由来取代 IP tables。
该公司还构建了 Tetragon,这是一个漏洞缓解平台,思科已将其嵌入到自己的智能交换机软件中。
如今,思科是主要的网络基础设施供应商之一,提供路由器和交换机等设备,主要面向企业。
Isovalent 首席开源官 Liz Rice 在接受 The New Stack 采访时表示:“他们喜欢我们正在做的事情,他们看到了我们为 Kubernetes 世界提供的解决方案的价值,并将继续看到其价值。”“思科在传统网络领域拥有巨大的全球足迹,因此能够将这两者结合起来非常棒。”
思科的交换机运行在 Linux 上,像任何软件一样,它也有其自身的漏洞。然而,仅仅为了在每个设备上应用补丁而关闭一批交换机并不理想。Tetragon 允许用户在这些交换机持续运行的同时进行修补甚至升级。
Isovalent 首席技术官兼 Cilium 联合创始人 Thomas Graf 在 TNS 采访中表示,这些 eBPF 技术“对于思科从现有产品和未来角度的发展方向都具有极其重要的基础性作用”。
Graf 说:“我认为他们正在认识到云原生不仅仅是 Kubernetes,而是一种未来基础设施普遍如何实现的理念,它将超越 Kubernetes 和容器。”
eBPF 提供了一种将可编程性直接注入 Linux 内核的方法,允许内核在流量到达应用程序之前就对传入和传出流量做出决策。
Graf 说:“通过 eBPF,我们可以在操作系统的任何地方或应用程序代码中附加微型防火墙。”“这是一个全新的防火墙时代,它不基于物理上位于网络某处的瓶颈防火墙。”
更快的打补丁
Graf 表示,如今复杂的漏洞缓解流程可能会因 eBPF 而发生巨大变化。
在当今世界,如果您的软件中存在可被恶意方利用的错误,则必须对其进行修补。
Graf 说,这“说起来容易做起来难”,他指出,大多数组织都有很长的补丁列表需要应用,这些补丁通常按严重性排序,以确定应用的优先级。如果它们运行在专用硬件上,例如物联网 (IoT) 设备,底层操作系统也需要打补丁。
eBPF 既可以缓解攻击本身,也可以通过阻止恶意用户试图利用有缺陷软件进行的特定操作来大幅缩小影响范围。用户仍然必须打补丁,但不再那么紧急,同时恶意行为可以被 eBPF 阻止。
该技术最初被称为伯克利包过滤器 (Berkeley Packet Filter),最初是用于伯克利软件发行版 (BSD) 的 HTTP 包过滤器。此后,它已扩展为一种可以执行沙盒安全代码的虚拟机 (VM)。
自十年前被纳入 Linux 内核以来,基于 Linux 的 eBPF 已获得广泛采用,尤其是在可观测性、安全和合规性工具方面,这些工具受益于其可编程的内联速度,无需繁琐的模块或危险的内核修改即可分析和过滤数据包。
思科的应用
思科已将 eBPF 集成到其 Hypershield 技术中,该技术可在其 Cisco Nexus 9300 系列智能交换机中使用。它解决了数据中心流量模式不断变化的问题。
分析师 Robb Boyd 在一篇博客文章中写道:“传统安全会产生瓶颈。您通过防火墙、IPS 设备或虚拟安全功能路由流量。当您的数据中心有明确的边界并且大多数流量都穿越这些边界时,这是有道理的。”“但现代基础设施不再是这样运作的。”
首先,过去许多网络流量是南北向的,即在服务器和外部世界之间运行。如今,特别是随着 AI 流量和分布式 Kubernetes 部署的出现,许多流量都是东西向的,即在内部网络中传输。
通过使用 eBPF,Hypershield 为每个端点(例如 VM Kubernetes Pod)增加了可见性,以获得内核级别的可见性和控制。“这个代理可以看到所有内容:网络数据包、文件操作、进程行为、系统调用,”Boyd 写道。
eBPF 作为控制平面
该平台只暗示了未来的可能性。思科使用 eBPF 的目标之一是摆脱集中式防火墙,转向为每个设备甚至每个程序提供分布式防火墙。
修补整个交换机集群意味着每台交换机都必须单独重启,这是一项昂贵的操作,最好在预定的维护窗口期间进行。也许重启可以分散进行,这样就完全不会导致停机。
Graf 说:“你希望能够选择你自己的时间,而不是让时间线由漏洞的披露来决定。”
事实上,这也是 Facebook/Meta 参与 eBPF 的原因之一。该公司运行着数千台 Linux 服务器,在出现严重漏洞时同时修补所有服务器几乎是不可能的。
他说:“因此,他们非常热衷于投资 eBPF,以缓解整个 Facebook 服务器集群都易受攻击的零日攻击。”
所有攻击都利用操作系统提供的接口,无论是 API 调用还是系统调用。可以将 eBPF 视为一个微型防火墙,它位于工作内存中,可以过滤掉特定的操作。
Graf 说:“eBPF 可以钩入所有这些接口,本质上处于调用接口和使用接口的中间,然后可以过滤掉”任何恶意活动。
这不仅适用于操作系统,也适用于网络上的任何应用程序。想想去年三月发现的严重 Nginx 漏洞 (CVE-2025-1974)。这个漏洞影响了许多 Kubernetes 部署,其管理团队必须找出他们在哪里使用了 Nginx 软件。在所有操作系统中部署 eBPF 可以一劳永逸地解决问题:如果您正在运行 Nginx,则应用此过滤器。
eBPF 的下一个前沿:笔记本电脑
虽然 eBPF 可能适用于保护 Linux 服务器,但台式电脑呢?
Graf 表示,将 eBPF 引入 Microsoft Windows 的工作已接近完成。
他指出,这对 eBPF 来说是一个全新的市场。Linux 在服务器市场占据主导地位,但 Windows 主导着笔记本电脑、台式电脑和小型设备的端点市场。
Graf 说:“我认为现在我们可以将 eBPF 用于安全目的,不仅是用于工作负载和服务器端,还可以用于您的笔记本电脑。”
他说,eBPF 擅长理解程序的运行方式。它可以在操作系统层面运行,而不会损害系统。他指出 eBPF 已在 Google Android 设备中使用。如果您想知道 Android 使用了多少网络带宽,那背后就是 eBPF。
在笔记本电脑上运行代理和模型的开发人员需要受到保护,这就是 eBPF 可以发挥作用的地方。代表您运行的应用程序,如 AI 代理,在您的用户帐户下执行工作,需要一种新的安全形式。
未来另一个挑战将是将机器的身份与用户的身份连接起来。仅仅因为某人拥有您的密码,并不意味着他们应该获得您公司网络的访问权限。
Graf 说:“这是一个由代理和服务相互连接的网络。因此,我们必须将身份一直传递到您实际访问敏感数据的地方。”
