ワシントン州シアトルで開催されたCloudNativeSecrityCon2023で、AWSのエンジニアであるJeremy Cowan氏とWasiq Muhammad氏が、eBPFによる疑わしい行動の特定やそのユースケース、そしてAWSがそれを使ってどのように脅威検出と保護をしているかを発表した。
Cowan氏はまず、脅威検出やランタイムイベントの監視が安定性やパフォーマンスに与える影響に関して、情報セキリュティ担当者が今日直面する課題を強調した上で、講演をはじめた。またシグナルとノイズを分離する能力についても述べた。
これらの課題を克服するためのさまざまなアプローチを取り上げた後、eBPFを紹介し、それがネットワーク、セキュリティ、オブザーバビリティのユースケースに有用である理由を説明した。
続けてeBPFのメリットとデメリットについてふれ、Lambda、VPC CNI、GuardDutyといったAWS製品でeBPFがどのように使われているかを紹介した。
eBPFは、IsovalentのチーフオープンソースオフィサーであるLiz Rice氏による基調講演のほか、同イベントの6つのブレイクアウトセッションで取り上げられたトレンドトピックだった。Liz氏は基調講演でeBPFを使ったセキュリティ問題を視覚的に解決する方法を紹介した。 InfoQはLiz氏と同席し、eBPF、同イベント、そしてクラウドネイティブセキュリティについて語り合った。
2017年にeBPFが始まった頃から興味を持っていました。当時は、最先端のカーネルがないといけませんでしたが、いずれは興味深く有用な技術基盤になると思っていました。 今では、誰もがeBPFを活用できるカーネルを動かしています。eBPFベースの素晴らしいツールがあり、カーネルの視点でユーザースペースで何が起こっているかを得られます。 それはとても高性能で強力なデータを取得できます。人々が自分たちのプラットフォームを操作する方法を理解するのに役立つか、問題を診断するのに役立つか、あるいはセキュリティツールの構築の役に立つかどうかは別として、私たちが今、素晴らしいツールがもたらす豊かな未来の入り口にいることを実感しています。
次に、Muhammad氏は、 eBPFを使ったシステムコールのトレースと、システムコール引数やプロセスに関するデータを取得する能力について説明した。
eBPFがコンテナやプロセスの豊富なコンテキストを提供できることを強調し、ユーザはモニタリングや脅威検出においてコンテナレベルの詳細情報を求めていると述べた。例えば、eBPFはコンテナの作成、ファイルシステムへのアクセス、ネットワーク通信、他のコンテナとのやり取りに関連するイベントを検出できるからだ。
さらに彼は、AWSがイベント処理をホスト上ではなくバックエンドで行うことに決定したことについて言及し、それによって脅威インテリジェンスを適用したり、機械学習を利用するための高い柔軟性をもたらすと述べた。
Muhammad氏は最後に、コンテナ内にダウンロードされ、マイニングプールに接続するために実行された暗号マイナーのシナリオ例を説明し、eBPFベースの監視と検出がどのように保護を提供できるかを説明した。
Cowan氏は、 脅威検出にeBPFを使用する利点と、クラウドとAI/MLの力を組み合わせることで、見つけるのが到底困難な情報の検出に役立つことをを強調して講演を締めくくった。
eBPFは、カーネルのソースコードを変更せずに、OSカーネル内でサンドボックス化されたアプリケーションを安全に実行するための仕組みである。
ブレイクアウトセッションの録画は、CNCFのYoutubeチャンネルで公開中である。プレゼンテーションのスライドは、イベントのウェブページで閲覧可能だ。