Cilium 聯(lián)合創(chuàng)始人 Thomas Graf 討論了基于 eBPF 的工具如何融入更廣泛的網(wǎng)絡(luò)環(huán)境。

譯自Can Cilium Be a Control Plane Beyond Kubernetes?，作者 Alex Williams。

西雅圖 -Cilium的創(chuàng)建者之一Thomas Graf認(rèn)為，隨著容器在 AI API 中的廣泛采用以及微分段的新方法，云原生安全市場正在發(fā)生變化。

Cilium 是Cloud Native Computing Foundation的畢業(yè)項目，基于eBPF（擴(kuò)展的伯克利數(shù)據(jù)包過濾器）。Graf 還幫助在VMware收購的 Nicira 開發(fā)了NSX和 Open vSwitch。NSX 的核心是軟件定義網(wǎng)絡(luò)，它將硬件交換機(jī)轉(zhuǎn)變?yōu)檐浖?/span>

Cilium 非常受歡迎，現(xiàn)在的問題是：隨著 AI 的日益普及，它將取得多少成功？它是一個未來主義的解決方案，還是一把尋找釘子的錘子？

我在西雅圖的CloudNative SecurityCon與Isovalent的 CTO 和聯(lián)合創(chuàng)始人Graf坐下來，討論了 Cilium 如何融入更廣泛的網(wǎng)絡(luò)環(huán)境。我們探討了圍繞 AI 和外部因素的旋風(fēng)般的問題，例如如何管理容器的主流采用、無處不在的 API 和數(shù)據(jù)中的 AI 帶來的微分段的更深層次的復(fù)雜性。

今年 1 月，Torsten Volk在The New Stack上撰文稱，Cillium 將 eBPF 擴(kuò)展到傳輸層和應(yīng)用層，提供了對網(wǎng)絡(luò)和安全更細(xì)粒度和靈活的控制，這在云原生環(huán)境中尤其有利。

2022 年，Isovalent 開源了 Tetragon，一個 Kubernetes 原生工具，它利用eBPF 進(jìn)行深度可觀察性，同時對性能的影響最小。Tetragon 跟蹤各種活動，包括進(jìn)程執(zhí)行、權(quán)限提升和網(wǎng)絡(luò)活動。它使用 eBPF 強(qiáng)制執(zhí)行的內(nèi)核運行時策略，提供了強(qiáng)大的安全姿態(tài)，可以抵御未經(jīng)授權(quán)的操作和檢查時攻擊競態(tài)條件攻擊。

Kubernetes 網(wǎng)絡(luò)和 AI

Isovalent 現(xiàn)在與使用Kubernetes集群構(gòu)建大型語言模型的公司合作，這些集群具有復(fù)雜的網(wǎng)絡(luò)需求，主要是因為 AI 工作負(fù)載的數(shù)據(jù)量非常大，Graf 說。

他說，很難想象構(gòu)建語言模型需要多少數(shù)據(jù)；當(dāng)高薪的研究工程師構(gòu)建這些語言模型時，這些模型必須保密。同時，需要不斷地提取數(shù)據(jù)來構(gòu)建模型。

然而，與此同時，保護(hù)始終容易受到橫向攻擊的工作負(fù)載的復(fù)雜性正在增加。生成式 AI 可能很強(qiáng)大，但如果它污染了數(shù)據(jù)湖會發(fā)生什么？

在這種背景下，需要更好的可觀察性和控制平面，這些平面可以上下文地管理洪流。

當(dāng)我們談?wù)?AI 原生時，我們指的是下一代機(jī)器學(xué)習(xí)或基于自適應(yīng)學(xué)習(xí)的策略管理。你不再希望手動創(chuàng)建所有策略。你需要自動化來緩解威脅。如果出現(xiàn) CVE，你需要緩解它。你識別出威脅，你需要通過自動化自動拒絕它。因此，AI 只是更好的自動化。

但是 Cilium 在下一代自動化中將扮演什么角色？

Graf 說，Cilium 將成為一個通用的數(shù)據(jù)平面。Cilium 在云原生世界中的地位已經(jīng)確立，Cilium 將適用于 Kubernetes 之外，成為更廣泛行業(yè)的分布式數(shù)據(jù)平面。思科將能夠在DPU和智能網(wǎng)卡上的交換機(jī)上運行。并且隨著博通最近收購 VMware，人們對替換 NSX 的興趣很大。他認(rèn)為 Cilium 是一項基礎(chǔ)技術(shù)，可以推動 NSX 的替代產(chǎn)品的開發(fā)。

eBPF 是答案嗎？

eBPF 方法可以成為云網(wǎng)絡(luò)的基石嗎？這是一個大問題。eBPF 就像一根數(shù)據(jù)軟管，可能對很多事情都很有用，但對于第 7 層數(shù)據(jù)呢？它并不適合監(jiān)控跨越互聯(lián)網(wǎng)的數(shù)據(jù)。它可以處理在 Kubernetes 平臺上運行的內(nèi)核服務(wù)，但這只是軟件工程師現(xiàn)在在如此廣闊的攻擊面中所需要的部分。

但正如 Volk 指出，Cilium（同樣建立在 eBPF 之上）為傳輸層（第 4 層）和應(yīng)用層（第 7 層）提供了可編程控制，允許“通過 TCP、UDP、ATP 和 MTCP 等協(xié)議執(zhí)行網(wǎng)絡(luò)策略，這些協(xié)議為應(yīng)用程序提供端到端通信服務(wù)”。

并非所有人都相信 eBPF 可以解決所有網(wǎng)絡(luò)問題。Wesley Hales，LeakSignal的首席執(zhí)行官，將 eBPF 看作一把錘子，任何網(wǎng)絡(luò)問題都是一顆釘子。特別是，Hales 提到了傳輸中的敏感數(shù)據(jù)分類。但讓我們把這個話題留到下次討論。

云原生安全：點 vs. 平臺

今年早些時候，Cisco收購了 Isovalent。在 Cilium 中體現(xiàn)了 eBPF 方法，我問 Graf 他如何看待云原生安全領(lǐng)域、服務(wù)網(wǎng)格的作用、微隔離以及 Isovalent 對 Cisco 的意義。

Alex Williams：Tom，云原生安全的完整解決方案是什么樣的？客戶需要什么？

Thomas Graf：是的。從應(yīng)用程序的源頭開始，您需要一個解決方案來掃描您的源代碼并找出其中的漏洞。

理想情況下，代碼圖會告訴您哪些漏洞在您的代碼中是可訪問的。然后，您需要解決方案來保護(hù)您的依賴項的供應(yīng)鏈：漏洞管理。如果您使用帶有 [常見漏洞和披露] 的庫，您需要能夠跟蹤和修復(fù)它們。然后，您需要為您的基礎(chǔ)設(shè)施進(jìn)行云態(tài)勢管理。如果您的 [虛擬專用云] 是完全開放的，那么您沒有使用安全組。

最好有一個云態(tài)勢管理解決方案。然后，當(dāng)您開始運行應(yīng)用程序時，您需要運行時安全——針對您的云工作負(fù)載的 Kubernetes 的威脅緩解。當(dāng)然，您還需要所有這些的可觀察性。比如，您在運行什么？您暴露了什么？您的風(fēng)險是什么？

您需要優(yōu)先考慮這些風(fēng)險，因為對于大多數(shù)客戶來說，會有大量的發(fā)現(xiàn)，您需要弄清楚首先要調(diào)查什么?，F(xiàn)在人們是否要求更全面的解決方案？他們一直在選擇點解決方案，并看到了集成這些解決方案所需的復(fù)雜性。

大多數(shù)人首先從一個廣泛的解決方案開始，然后發(fā)現(xiàn)它們不夠完整。然后他們轉(zhuǎn)向點解決方案，很快它就變得非常難以管理，主要是因為 [云原生應(yīng)用程序保護(hù)平臺] 空間沒有開源標(biāo)準(zhǔn)化。

因此，客戶試圖退一步說，好吧，我們是想回到一個廣泛的解決方案，還是想說服供應(yīng)商變得更廣泛，將多個點解決方案結(jié)合起來？這將是未來幾年內(nèi)需要進(jìn)行的關(guān)鍵討論。我們?nèi)绾尾拍塬@得一個足夠好、也足夠廣泛的解決方案，以便于管理？

服務(wù)網(wǎng)格的問題

Williams：服務(wù)網(wǎng)格怎么樣？服務(wù)網(wǎng)格似乎是 Kubernetes 的一個很好的后續(xù)，它通過 API 中心環(huán)境提供了代理功能，而您在 Kubernetes 中就有這種環(huán)境。因此，它似乎是一個自然的選擇，也是公司考慮其整體安全態(tài)勢的地方。這是準(zhǔn)確的嗎？

Graf：是的，我認(rèn)為這是準(zhǔn)確的。我認(rèn)為服務(wù)網(wǎng)格是頂層的一個很好的小層，從概念上講，它絕對要求您需要一個邏輯連接層，該層引入身份，即引入豐富的安全機(jī)制來實現(xiàn)零信任原則。到目前為止，服務(wù)網(wǎng)格的實現(xiàn)方式絕對沒有讓客戶滿意。

我認(rèn)為該領(lǐng)域的每個供應(yīng)商都必須做得更好，找到一個不太顯眼的解決方案，就像基礎(chǔ)設(shè)施的一部分，而不是您需要主動管理的東西。此外，運行服務(wù)網(wǎng)格的開銷和負(fù)擔(dān)必須大幅降低。

微隔離和 NSX

Williams：那么為什么安全解決方案是 NSX 的答案？

Graf:嗯，NSX 從根本上來說是分布式防火墻的核心。就像，如果你看一下Cilium，為什么Cilium 如此吸引人？是的，它在做很多網(wǎng)絡(luò)工作，但它被用來做防火墻微分段和加密。NSX 也是一樣的。

移動數(shù)據(jù)包幾乎就像一個實現(xiàn)細(xì)節(jié)。真正重要的是安全地做到這一點。所以當(dāng)你購買產(chǎn)品時，你購買的是網(wǎng)絡(luò)安全應(yīng)用程序，即使它顯然也只在做連接。這幾乎就像一個包含的細(xì)節(jié)。

這幾年來，這是否一直是 NSX 的主要賣點？絕對是的。微分段是 NSX 的主要賣點。那么現(xiàn)在，今天的主要賣點是什么？對于 Cilium 來說，它完全一樣。很多 NSX 客戶會說，Cilium 就是 NSX，但對于容器和 Kubernetes 來說，云原生容器是基于身份的。

所以 Cilium 比上一代更先進(jìn)，對吧？它不僅僅是為容器擴(kuò)展；它理解身份是原生集成到云提供商中的。它不僅僅是針對 [虛擬機(jī)] 或虛擬化，但主要適用的用例是一樣的。

思科和 Isovalent

Williams: Thomas，我們談到了客戶尋求的這些更全面的解決方案。思科 Isovalent 與此相關(guān)的背景是什么？

Graf:所以想想。Isovalent 在云原生和 Kubernetes 領(lǐng)域非常成功。與思科合作，我們現(xiàn)在將我們構(gòu)建的云原生方法帶到更廣泛的市場，進(jìn)入數(shù)據(jù)中心、邊緣和公有云。

因此，我們構(gòu)建了 Cillium 用于網(wǎng)絡(luò)安全、分段和云原生網(wǎng)絡(luò)，以及 Tetragon 運行時安全，使其在數(shù)據(jù)中心可用，在服務(wù)器上運行 Tetragon，在 DHs [數(shù)據(jù)處理單元] 和交換機(jī)上運行 Cillium，并基本上構(gòu)建了一個安全結(jié)構(gòu)，可以保護(hù)不僅 Kubernetes 部分，還可以保護(hù)您的整體基礎(chǔ)設(shè)施。

因此，安全結(jié)構(gòu)適合客戶購買的所有這些點解決方案……然后，我認(rèn)為從思科的角度來看，顯然帶來了 CNAPP 功能，例如提供一個不僅廣泛而且足夠深入的整體豐富平臺。思科在過去幾年中進(jìn)行了大量收購，以購買每個點的解決方案。現(xiàn)在正在構(gòu)建一個平臺來統(tǒng)一它們，為您提供一個具有強(qiáng)大垂直點解決方案的平臺的體驗。