Cilium 聯(lián)合創(chuàng)始人 Thomas Graf 討論了基于 eBPF 的工具如何融入更廣泛的網(wǎng)絡(luò)環(huán)境。

譯自Can Cilium Be a Control Plane Beyond Kubernetes?，作者 Alex Williams。

西雅圖 -Cilium的創(chuàng)建者之一Thomas Graf認(rèn)為，隨著容器在 AI API 中的廣泛采用以及微分段的新方法，云原生安全市場(chǎng)正在發(fā)生變化。

Cilium 是Cloud Native Computing Foundation的畢業(yè)項(xiàng)目，基于eBPF（擴(kuò)展的伯克利數(shù)據(jù)包過(guò)濾器）。Graf 還幫助在VMware收購(gòu)的 Nicira 開(kāi)發(fā)了NSX和 Open vSwitch。NSX 的核心是軟件定義網(wǎng)絡(luò)，它將硬件交換機(jī)轉(zhuǎn)變?yōu)檐浖?/span>

Cilium 非常受歡迎，現(xiàn)在的問(wèn)題是：隨著 AI 的日益普及，它將取得多少成功？它是一個(gè)未來(lái)主義的解決方案，還是一把尋找釘子的錘子？

我在西雅圖的CloudNative SecurityCon與Isovalent的 CTO 和聯(lián)合創(chuàng)始人Graf坐下來(lái)，討論了 Cilium 如何融入更廣泛的網(wǎng)絡(luò)環(huán)境。我們探討了圍繞 AI 和外部因素的旋風(fēng)般的問(wèn)題，例如如何管理容器的主流采用、無(wú)處不在的 API 和數(shù)據(jù)中的 AI 帶來(lái)的微分段的更深層次的復(fù)雜性。

今年 1 月，Torsten Volk在The New Stack上撰文稱(chēng)，Cillium 將 eBPF 擴(kuò)展到傳輸層和應(yīng)用層，提供了對(duì)網(wǎng)絡(luò)和安全更細(xì)粒度和靈活的控制，這在云原生環(huán)境中尤其有利。

2022 年，Isovalent 開(kāi)源了 Tetragon，一個(gè) Kubernetes 原生工具，它利用eBPF 進(jìn)行深度可觀(guān)察性，同時(shí)對(duì)性能的影響最小。Tetragon 跟蹤各種活動(dòng)，包括進(jìn)程執(zhí)行、權(quán)限提升和網(wǎng)絡(luò)活動(dòng)。它使用 eBPF 強(qiáng)制執(zhí)行的內(nèi)核運(yùn)行時(shí)策略，提供了強(qiáng)大的安全姿態(tài)，可以抵御未經(jīng)授權(quán)的操作和檢查時(shí)攻擊競(jìng)態(tài)條件攻擊。

Kubernetes 網(wǎng)絡(luò)和 AI

Isovalent 現(xiàn)在與使用Kubernetes集群構(gòu)建大型語(yǔ)言模型的公司合作，這些集群具有復(fù)雜的網(wǎng)絡(luò)需求，主要是因?yàn)?AI 工作負(fù)載的數(shù)據(jù)量非常大，Graf 說(shuō)。

他說(shuō)，很難想象構(gòu)建語(yǔ)言模型需要多少數(shù)據(jù)；當(dāng)高薪的研究工程師構(gòu)建這些語(yǔ)言模型時(shí)，這些模型必須保密。同時(shí)，需要不斷地提取數(shù)據(jù)來(lái)構(gòu)建模型。

然而，與此同時(shí)，保護(hù)始終容易受到橫向攻擊的工作負(fù)載的復(fù)雜性正在增加。生成式 AI 可能很強(qiáng)大，但如果它污染了數(shù)據(jù)湖會(huì)發(fā)生什么？

在這種背景下，需要更好的可觀(guān)察性和控制平面，這些平面可以上下文地管理洪流。

當(dāng)我們談?wù)?AI 原生時(shí)，我們指的是下一代機(jī)器學(xué)習(xí)或基于自適應(yīng)學(xué)習(xí)的策略管理。你不再希望手動(dòng)創(chuàng)建所有策略。你需要自動(dòng)化來(lái)緩解威脅。如果出現(xiàn) CVE，你需要緩解它。你識(shí)別出威脅，你需要通過(guò)自動(dòng)化自動(dòng)拒絕它。因此，AI 只是更好的自動(dòng)化。

但是 Cilium 在下一代自動(dòng)化中將扮演什么角色？

Graf 說(shuō)，Cilium 將成為一個(gè)通用的數(shù)據(jù)平面。Cilium 在云原生世界中的地位已經(jīng)確立，Cilium 將適用于 Kubernetes 之外，成為更廣泛行業(yè)的分布式數(shù)據(jù)平面。思科將能夠在DPU和智能網(wǎng)卡上的交換機(jī)上運(yùn)行。并且隨著博通最近收購(gòu) VMware，人們對(duì)替換 NSX 的興趣很大。他認(rèn)為 Cilium 是一項(xiàng)基礎(chǔ)技術(shù)，可以推動(dòng) NSX 的替代產(chǎn)品的開(kāi)發(fā)。

eBPF 是答案嗎？

eBPF 方法可以成為云網(wǎng)絡(luò)的基石嗎？這是一個(gè)大問(wèn)題。eBPF 就像一根數(shù)據(jù)軟管，可能對(duì)很多事情都很有用，但對(duì)于第 7 層數(shù)據(jù)呢？它并不適合監(jiān)控跨越互聯(lián)網(wǎng)的數(shù)據(jù)。它可以處理在 Kubernetes 平臺(tái)上運(yùn)行的內(nèi)核服務(wù)，但這只是軟件工程師現(xiàn)在在如此廣闊的攻擊面中所需要的部分。

但正如 Volk 指出，Cilium（同樣建立在 eBPF 之上）為傳輸層（第 4 層）和應(yīng)用層（第 7 層）提供了可編程控制，允許“通過(guò) TCP、UDP、ATP 和 MTCP 等協(xié)議執(zhí)行網(wǎng)絡(luò)策略，這些協(xié)議為應(yīng)用程序提供端到端通信服務(wù)”。

并非所有人都相信 eBPF 可以解決所有網(wǎng)絡(luò)問(wèn)題。Wesley Hales，LeakSignal的首席執(zhí)行官，將 eBPF 看作一把錘子，任何網(wǎng)絡(luò)問(wèn)題都是一顆釘子。特別是，Hales 提到了傳輸中的敏感數(shù)據(jù)分類(lèi)。但讓我們把這個(gè)話(huà)題留到下次討論。

云原生安全：點(diǎn) vs. 平臺(tái)

今年早些時(shí)候，Cisco收購(gòu)了 Isovalent。在 Cilium 中體現(xiàn)了 eBPF 方法，我問(wèn) Graf 他如何看待云原生安全領(lǐng)域、服務(wù)網(wǎng)格的作用、微隔離以及 Isovalent 對(duì) Cisco 的意義。

Alex Williams：Tom，云原生安全的完整解決方案是什么樣的？客戶(hù)需要什么？

Thomas Graf：是的。從應(yīng)用程序的源頭開(kāi)始，您需要一個(gè)解決方案來(lái)掃描您的源代碼并找出其中的漏洞。

理想情況下，代碼圖會(huì)告訴您哪些漏洞在您的代碼中是可訪(fǎng)問(wèn)的。然后，您需要解決方案來(lái)保護(hù)您的依賴(lài)項(xiàng)的供應(yīng)鏈：漏洞管理。如果您使用帶有 [常見(jiàn)漏洞和披露] 的庫(kù)，您需要能夠跟蹤和修復(fù)它們。然后，您需要為您的基礎(chǔ)設(shè)施進(jìn)行云態(tài)勢(shì)管理。如果您的 [虛擬專(zhuān)用云] 是完全開(kāi)放的，那么您沒(méi)有使用安全組。

最好有一個(gè)云態(tài)勢(shì)管理解決方案。然后，當(dāng)您開(kāi)始運(yùn)行應(yīng)用程序時(shí)，您需要運(yùn)行時(shí)安全——針對(duì)您的云工作負(fù)載的 Kubernetes 的威脅緩解。當(dāng)然，您還需要所有這些的可觀(guān)察性。比如，您在運(yùn)行什么？您暴露了什么？您的風(fēng)險(xiǎn)是什么？

您需要優(yōu)先考慮這些風(fēng)險(xiǎn)，因?yàn)閷?duì)于大多數(shù)客戶(hù)來(lái)說(shuō)，會(huì)有大量的發(fā)現(xiàn)，您需要弄清楚首先要調(diào)查什么?，F(xiàn)在人們是否要求更全面的解決方案？他們一直在選擇點(diǎn)解決方案，并看到了集成這些解決方案所需的復(fù)雜性。

大多數(shù)人首先從一個(gè)廣泛的解決方案開(kāi)始，然后發(fā)現(xiàn)它們不夠完整。然后他們轉(zhuǎn)向點(diǎn)解決方案，很快它就變得非常難以管理，主要是因?yàn)?[云原生應(yīng)用程序保護(hù)平臺(tái)] 空間沒(méi)有開(kāi)源標(biāo)準(zhǔn)化。

因此，客戶(hù)試圖退一步說(shuō)，好吧，我們是想回到一個(gè)廣泛的解決方案，還是想說(shuō)服供應(yīng)商變得更廣泛，將多個(gè)點(diǎn)解決方案結(jié)合起來(lái)？這將是未來(lái)幾年內(nèi)需要進(jìn)行的關(guān)鍵討論。我們?nèi)绾尾拍塬@得一個(gè)足夠好、也足夠廣泛的解決方案，以便于管理？

服務(wù)網(wǎng)格的問(wèn)題

Williams：服務(wù)網(wǎng)格怎么樣？服務(wù)網(wǎng)格似乎是 Kubernetes 的一個(gè)很好的后續(xù)，它通過(guò) API 中心環(huán)境提供了代理功能，而您在 Kubernetes 中就有這種環(huán)境。因此，它似乎是一個(gè)自然的選擇，也是公司考慮其整體安全態(tài)勢(shì)的地方。這是準(zhǔn)確的嗎？

Graf：是的，我認(rèn)為這是準(zhǔn)確的。我認(rèn)為服務(wù)網(wǎng)格是頂層的一個(gè)很好的小層，從概念上講，它絕對(duì)要求您需要一個(gè)邏輯連接層，該層引入身份，即引入豐富的安全機(jī)制來(lái)實(shí)現(xiàn)零信任原則。到目前為止，服務(wù)網(wǎng)格的實(shí)現(xiàn)方式絕對(duì)沒(méi)有讓客戶(hù)滿(mǎn)意。

我認(rèn)為該領(lǐng)域的每個(gè)供應(yīng)商都必須做得更好，找到一個(gè)不太顯眼的解決方案，就像基礎(chǔ)設(shè)施的一部分，而不是您需要主動(dòng)管理的東西。此外，運(yùn)行服務(wù)網(wǎng)格的開(kāi)銷(xiāo)和負(fù)擔(dān)必須大幅降低。

微隔離和 NSX

Williams：那么為什么安全解決方案是 NSX 的答案？

Graf:嗯，NSX 從根本上來(lái)說(shuō)是分布式防火墻的核心。就像，如果你看一下Cilium，為什么Cilium 如此吸引人？是的，它在做很多網(wǎng)絡(luò)工作，但它被用來(lái)做防火墻微分段和加密。NSX 也是一樣的。

移動(dòng)數(shù)據(jù)包幾乎就像一個(gè)實(shí)現(xiàn)細(xì)節(jié)。真正重要的是安全地做到這一點(diǎn)。所以當(dāng)你購(gòu)買(mǎi)產(chǎn)品時(shí)，你購(gòu)買(mǎi)的是網(wǎng)絡(luò)安全應(yīng)用程序，即使它顯然也只在做連接。這幾乎就像一個(gè)包含的細(xì)節(jié)。

這幾年來(lái)，這是否一直是 NSX 的主要賣(mài)點(diǎn)？絕對(duì)是的。微分段是 NSX 的主要賣(mài)點(diǎn)。那么現(xiàn)在，今天的主要賣(mài)點(diǎn)是什么？對(duì)于 Cilium 來(lái)說(shuō)，它完全一樣。很多 NSX 客戶(hù)會(huì)說(shuō)，Cilium 就是 NSX，但對(duì)于容器和 Kubernetes 來(lái)說(shuō)，云原生容器是基于身份的。

所以 Cilium 比上一代更先進(jìn)，對(duì)吧？它不僅僅是為容器擴(kuò)展；它理解身份是原生集成到云提供商中的。它不僅僅是針對(duì) [虛擬機(jī)] 或虛擬化，但主要適用的用例是一樣的。

思科和 Isovalent

Williams: Thomas，我們談到了客戶(hù)尋求的這些更全面的解決方案。思科 Isovalent 與此相關(guān)的背景是什么？

Graf:所以想想。Isovalent 在云原生和 Kubernetes 領(lǐng)域非常成功。與思科合作，我們現(xiàn)在將我們構(gòu)建的云原生方法帶到更廣泛的市場(chǎng)，進(jìn)入數(shù)據(jù)中心、邊緣和公有云。

因此，我們構(gòu)建了 Cillium 用于網(wǎng)絡(luò)安全、分段和云原生網(wǎng)絡(luò)，以及 Tetragon 運(yùn)行時(shí)安全，使其在數(shù)據(jù)中心可用，在服務(wù)器上運(yùn)行 Tetragon，在 DHs [數(shù)據(jù)處理單元] 和交換機(jī)上運(yùn)行 Cillium，并基本上構(gòu)建了一個(gè)安全結(jié)構(gòu)，可以保護(hù)不僅 Kubernetes 部分，還可以保護(hù)您的整體基礎(chǔ)設(shè)施。

因此，安全結(jié)構(gòu)適合客戶(hù)購(gòu)買(mǎi)的所有這些點(diǎn)解決方案……然后，我認(rèn)為從思科的角度來(lái)看，顯然帶來(lái)了 CNAPP 功能，例如提供一個(gè)不僅廣泛而且足夠深入的整體豐富平臺(tái)。思科在過(guò)去幾年中進(jìn)行了大量收購(gòu)，以購(gòu)買(mǎi)每個(gè)點(diǎn)的解決方案。現(xiàn)在正在構(gòu)建一個(gè)平臺(tái)來(lái)統(tǒng)一它們，為您提供一個(gè)具有強(qiáng)大垂直點(diǎn)解決方案的平臺(tái)的體驗(yàn)。