用Tracee检测云原生安全要挟

开源的Tracee运用Linux eBPF技能在运转时盯梢体系和使用程序,并剖析搜集的事情以检测可疑的行为方法

云端原生要挟的情况在不断改变。Aqua公司鹦鹉螺团队2021年的研讨显现,进犯的杂乱程度更高,针对容器基础设施的进犯量也在添加。该研讨表明,脆弱的容器可以在不到一小时内被运用,这强调了云原生环境中可见性和实时要挟检测的重要性。

为了有用,要挟检测有必要包含云原生环境的作业负载的广度,包含容器、虚拟机和无服务器功用,有才能检测针对云原生环境的进犯中所运用的策略。重要的是,检测有必要是实时的,并且对生产的破坏性最小。

这些关键特点是创立Tracee的重要因素,Tracee是Aqua Security针对Linux的开源云原生运转时安全和取证东西。Tracee运用eBPF技能在运转时盯梢体系和使用程序,并剖析搜集的事情以检测可疑的行为方法。因此,团队可以维护他们的容器,确保使用程序保持在线和安全。Tracee正在敏捷取得选用,现在在GitHub上有近2K颗星,有一个活跃的用户和贡献者社区。

关于eBPF的扼要介绍

eBPF是一种相对较新的办法,以安全、高性能和灵敏的方法将扩展性引进Linux内核。eBPF程序可以加载到内核中,并由许多不同类型的事情触发,包含内核中的网络、安全和根本生命周期事情。

eBPF的优势的一个比如是辨认使用程序的异常行为,如将文件写入重要的体系目录。eBPF代码可以呼应文件事情运转,以检查那些是否是特定作业负载的预期。因为这是你的代码,你可以搜集任何类型的有意义的数据,否则将很难取得或没有用率。这就为许多杂乱的检测技能打开了大门。

Tracee的演化

Tracee最初是一个内部东西,使Aqua的研讨部门,鹦鹉螺团队,可以搜集正在运转的容器中的事情。咱们的目标是开发一个强壮的追寻东西,从根本上为安全而设计。第一个版本专注于根本的事情搜集。该团队开端逐步添加功用,将Tracee打造成一个全体的安全东西,并在2019年9月将其作为一个开源项目发布给社区。这使得从业者和研讨人员可以从Tracee的功用中受益,一起Aqua从社区取得了有益的见地,以改善该东西。一路走来,新的功用被添加进来,如捕捉法医证据的才能,精确的过滤机制,以及额外的集成。

2021年2月,Aqua发布了0.5.0版本的Tracee,这标志着Tracee开端从一个体系盯梢CLI东西演化成一个具有行为剖析才能的运转时安全处理方案,这要归功于规则引擎和规则库的引进,它可以检测Aqua辨认的不同可疑行为方法。

今天的Tracee:一个强壮的开放源码软件安全东西

自2019年创立以来,Tracee已经从一个开源的体系盯梢东西发展成为一个强壮的运转时安全处理方案,包含一个CLI东西,一个用于编写eBPF程序的Go库,以及一个处理trace-ebpf事情和检测可疑活动的规则引擎。Tracee以Docker镜像的方法交付,很简单运转。一个Kubernetes安装程序使得运用Tracee来确保集群的安全并以便利的方法耗费检测结果变得简单。

Tracee开箱即有一套根本规则(称为签名),包含各种进犯和躲避技能。用户可以经过编写自己的签名来扩展Tracee。签名是用Rego编写的,它是流行的云原生核算基金会项目Open Policy Agent背面的言语。这使得用户可以从头运用他们现有的技能和东西,并以一种成熟的言语编写具有表现力的签名。

除了开源签名,付费客户还可以访问Aqua的研讨团队Nautilus创立和维护的签名综合数据库,该团队不断评价网络安全的现实进展,并以Tracee签名的方法创立缓解措施。

与其他许多检测引擎不同,Tracee从一开端就运用eBPF,并搜集所有的体系调用(约330个)以及其他面向安全的事情,开箱即用。其他处理方案建立在内核模块上,可能会影响体系的稳定性并留下体系调用盯梢的缝隙,而Tracee对eBPF的运用是安全和高性能的,并且Trace具有防止进犯者躲避的周到功用。

例如,默认情况下,Trace鼓舞追寻LSM(Linux安全模块)事情,而不是在适用时追寻体系调用。Linux 安全模块是一套可插入的钩子,旨在被安全东西运用。例如,Tracee 可以追寻 security_file_open LSM 事情,而不是追寻 open/openat 体系调用,这关于安全目的来说更加精确、牢靠和安全。

Tracee最近的更新包含运用 “一次编译:到处运转”的办法实现跨内核版本的可移植性,这样就不需要编译eBPF探针或供给内核头文件。原来的办法需要一个支撑BTF(BPF类型格局)的最新Linux内核。但Tracee处理了这个问题,并运用一种新颖的办法支撑较老的内核,这种办法是开源的,并且部分是向Linux项目本身的上游延伸。这在开源项目btfhub中有所涉及。

Tracee在云原生检测和呼应中的效果

Tracee是Aqua的动态要挟剖析(DTA)产品的基础,这是一个经过运转容器来扫描容器的沙盒式扫描器。DTA可以检测到传统扫描东西无法发现的恶意容器,是Aqua行业领先的云原生检测和呼应(CNDR)处理方案的一个重要组成部分。CNDR运用不断添加的数百个行为目标,从Tracee显现的低级eBPF事情中辨认进犯。DTA、CNDR和Tracee将来自专门的云原生安全研讨团队的行为目标与eBPF事情相结合,在运转时进行实时要挟检测。

Tracee在Aqua的开源软件生态体系中的效果

Tracee是Aqua的开源、云原生安全项目家族的一部分。Aqua认为开源是一种使安全民主化的方法,并经过可取得的东西教育工程、安全和开发团队,降低云原生安全的准入门槛。Aqua的另一个开源项目是Trivy,世界上最受欢迎的开源缝隙扫描器。Trivy协助团队 “左移”,将安全归入构建管道。Trivy扫描代码库和工件的缝隙、基础设施即代码的过错装备和隐秘,并生成SBOM(软件材料清单),以及其他功用。

这些项目与Aqua的云原生使用维护平台(CNAPP)以及许多常用的devops生态体系东西集成,以协助推进更快地选用云原生技能和流程,一起保持安全性。Aqua的开放源码项目由Aqua的开放源码团队建立和维护,该团队与商业工程分开运作,以保持公司对供给牢靠的开放源码处理方案的许诺,持续开发新功用和处理用户反馈,并不断为开放源码社区的其他项目作出贡献。