eBPF雲端原生安全:原理與實務

黃竹剛 匡大虎

  • 出版商: 機械工業
  • 出版日期: 2024-07-30
  • 定價: $594
  • 售價: 7.9$469
  • 語言: 簡體中文
  • 頁數: 268
  • 裝訂: 平裝
  • ISBN: 7111758048
  • ISBN-13: 9787111758044
  • 立即出貨

買這商品的人也買了...

相關主題

商品描述

這是一本系統講解如何使用eBPF技術建構雲端原生安全防線的著作,是一本專為eBPF技術愛好者和雲端安全領域從業者的實戰寶典,
從原理與實務角度詳述了eBPF技術在雲端原生安全領域正在發生的關鍵作用,是作者多年構築雲原生安全縱深防禦經驗的總結。
本書詳細闡述了eBPF技術的核心原理以及在雲端原生安全領域的應用價值,並結合大量的程式碼案例分析,
深入探討了在典型的雲端原生安全需求場景下使用eBPF技術可以幫助實現的安全功能和實務原理,
同時也講述了可能引入的安全風險,幫助讀者從零基礎快速了解eBPF技術,開始eBPF安全編程。
透過閱讀本書,你將了解:
?雲端原生安全面臨的主要挑戰,發展現況與理論基礎;
?eBPF技術的基本原理和雲端原生安全領域的典型應用;
?基於eBPF技術的雲端原生安全核心開源專案的安裝、使用、基礎架構和實作原理;
?如何使用eBPF技術實現典型的雲端原生安全需求及實作原理;
?如何將eBPF安全事件關聯進程、容器和Pod等上下文資訊;
?如何使用eBPF技術審計複雜的雲端原生攻擊手段;
?惡意eBPF程式的典型實作方式以及如何防護和偵測此類惡意程式。

目錄大綱

前言
第一部 eBPF協助雲端原生安全
第1章 雲端原生安全性概述
1.1 雲端原生安全的挑戰
1.1.1 雲端原生平台基礎架構的安全風險
1.1.2 DevOps軟體供應鏈的安全風險
1.1.3 雲端原生應用程式範式的安全風險
1.2 雲端原生安全的演進
1.3 雲端原生安全的理論基礎
1.3.1 威脅建模
1.3.2 堅守安全準則
1.3.3 安全觀測與事件回應
1.4 雲端原生安全的方法論
1.4.1 CNCF雲端原生安全架構
1.4.2 雲端原生應用程式保護平台
1.5 本章小結
第2章 初識eBPF
2.1 eBPF歷史
2.2 eBPF的關鍵特性與應用場景
2.2.1 Linux內核
2.2.2 eBPF的關鍵特性
2.2.3 eBPF的應用場景
2.3 eBPF的架構
2.4 本章小結
第3章 eBPF技術原理詳解
3.1 eBPF「Hello World」程序
3.2 eBPF技術原理
3.2.1 eBPF Map資料結構
3.2.2 eBPF虛擬機
3.2.3 eBPF驗證器
3.2.4 bpf()系統調用
3.2.5 eBPF程序和附著類型
3.3 eBPF程式的開發模式
3.3.1 BCC模式
3.3.2 CO-RE+libbpf模式
3.4 本章小結
第4章 eBPF技術在雲端原生安全領域的應用
4.1 針對雲端原生應用程式的攻擊
4.2 eBPF和雲端原生安全的契合點
4.2.1 容器中的基礎隔離
4.2.2 傳統安全架構
4.2.3 eBPF提升雲端原生應用程式運行時安全
4.2.4 eBPF伴隨雲端原生應用程式生命週期
4.3 eBPF雲端原生安全開源項目
4.3.1 Falco
4.3.2 Tracee
4.3.3 Tetragon
4.4 雙刃劍
4.5 本章小結
第二部分 雲端原生安全專案詳解
第5章 雲端原生安全專案Falco詳解
5.1 項目介紹
5.1.1 功能
5.1.2 使用場景
5.2 安裝
5.2.1 使用套件管理工具
5.2.2 下載二進位包
5.2.3 Kubernetes環境
5.3 使用範例
5.3.1 規則引擎
5.3.2 告警輸出
5.3.3 事件源
5.4 架構與實作原理
5.4.1 架構
5.4.2 驅動
5.4.3 使用者態模組
5.5 本章小結
第6章 雲端原生安全專案Tracee詳解
6.1 項目介紹
6.2 安裝
6.3 使用範例
6.3.1 事件追踪
6.3.2 製品捕獲
6.3.3 風險偵測
6.3.4 外部集成
6.4 架構與實作原理
6.4.1 架構
6.4.2 tracee-ebpf實作原理
6.5 本章小結
第7章 雲端原生安全專案Tetragon詳解
7.1 項目介紹
7.2 安裝
7.3 使用範例
7.3.1 事件觀測
7.3.2 風險攔截
7.4 架構與實作原理
7.4.1 架構
7.4.2 事件觀測
7.4.3 風險攔截
7.5 本章小結
第三部分 eBPF安全技術實戰
第8章 使用eBPF技術審計和攔截命令執行操作
8.1 審計命令執行操作
8.1.1 基於eBPF Kprobe和Kretprobe實現
8.1.2 基於eBPF Fentry和Fexit實現
8.1.3 基於eBPF Ksyscall和Kretsyscall實現
8.1.4 基於eBPF Tracepoint實現
8.2 攔截指令執行操作
8.2.1 基於bpf_send_signal實現
8.2.2 基於bpf_override_return實現
8.3 本章小結
第9章 使用eBPF技術審計和攔截文件讀寫操作
9.1 審計文件讀寫操作
9.1.1 基於eBPF Kprobe和Kretprobe實現
9.1.2 基於eBPF Tracepoint實現
9.1.3 基於eBPF LSM實現
9.2 攔截文件讀寫操作
9.2.1 基於bpf_send_signal實現
9.2.2 基於bpf_override_return實現
9.2.3 基於eBPF LSM實現
9.3 本章小結
第10章 使用eBPF技術審計與攔截權限提升操作
10.1 審計權限提升操作
10.1.1 基於eBPF LSM實現
10.1.2 基於eBPF Kprobe實現
10.2 攔截權限提升操作
10.3 本章小結
第11章 使用eBPF技術審計和攔截網路流量
11.1 審計網路流量
11.1.1 基於eBPF套接字過濾器實現
11.1.2 基於eBPF TC實現
11.1.3 基於eBPF XDP實現
11.1.4 基於Kprobe實現
11.2 攔截網路流量
11.2.1 基於eBPF TC實現
11.2.2 基於eBPF XDP實現
11.3 本章小結
第12章 為事件關聯上下文資訊
12.1 進程訊息
12.1.1 進程操作事件
12.1.2 網路事件
12.2 容器和Pod訊息
12.2.1 進程操作事件
12.2.2 網路事件
12.3 本章小結
第四部分 eBPF安全進階
第13章 使用eBPF技術審計複雜的攻擊手段
13.1 審計使用無文件攻擊技術實現的命令執行操作
13.2 審計反彈Shell操作
13.3 本章小結
第14章 使用eBPF技術偵測惡意eBPF程序
14.1 惡意eBPF程序
14.1.1 常規程