日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

2022年11月3日，云棲大會在杭州云棲小鎮如期舉辦。大會以“計算·進化·未來”為主題，匯聚上千位重磅嘉賓，包括二十多名兩院院士、眾多知名學者、企業和行業領軍人等，共同分享頂尖科技趨勢和探討數字產業最新實踐。

今年云棲大會期間，龍蜥社區首次舉辦“龍蜥操作系統峰會”，1個產業論壇，4 大技術專場—— OS 安全、云原生、RISC-V、 eBPF技術 & Linux穩定性。

深信服創新研究院高級Linux內核技術專家許慶偉特此受邀參加「龍蜥峰會eBPF技術 & Linux穩定性專場」，為線上直播以及會場近百名各公司技術專家分享了《eBPF安全特性解析》議題。

“隨著云網邊端的急速發展，人們的目光越發的聚焦在目前最火熱的云原生場景上?；趀BPF做安全管控策略的方案也越來越多，這些方案主要是基于eBPF掛載內核函數并編寫過濾策略，以預防的方式在整個操作系統中執行安全策略。除了能夠為多個層級的訪問控制指定允許列表外，還能夠自動檢測特權和 Capabilities 升級或命名空間提權（容器逃逸），并自動終止受影響的進程。”

據此，許慶偉從eBPF的安全原理出發，針對云原生容器場景下的eBPF使用場景，以安全的視角對eBPF進行剖析，并對相關技術的未來發展趨勢做出了相關的分析和總結。

許慶偉從eBPF的五大安全特性以及闡述eBPF Verifier為什么更安全。Falco、Tracee、Tetragon、Datadog-agent、KubeArmor是現階段云原生場景下比較流行的幾款運行時防護方案。在云原生場景中，eBPF安全方案有著它獨有的特點，

這樣的方案優點是可以自定義乃至自動化配置策略，修改檢測、阻斷規則文件更快速，更新靈活性高、過濾條件豐富（進程、網絡、文件等），安全策略可以通過 Kubernetes（CRD）、JSON API 或 Open Policy Agent（OPA）等系統注入。

許慶偉認為，由于目前基于eBPF的方案多為應用態的方案，管控的是進程級別，當發生誤報時，阻斷進程的運行會影響到客戶的正常業務。所以從業務安全以及發展趨勢的角度來看，實現阻斷函數調用級別的運行、不影響正常業務，是防御更細粒度，也更合理的方案。

許慶偉總結道，系統安全不是單一維度，我們要建立起從應用態到內核態的多層級防御矩陣，并從多角度的視角來看待和解決安全問題，會達到更好的效果。

深信服千里目安全技術中心-創新研究院一直致力于安全和云計算領域的核心技術前沿研究，推動技術創新變革與落地，擁有安全和云計算領域500+ 專利，實現攻擊和檢測技術的相互賦能，并及時把能力輸入到業務線中，實現自身產品的迭代優化。未來，深信服千里目安全技術中心也將不斷提高專業技術造詣，深度洞察網絡安全威脅，持續為網絡安全賦能。