Microsoft sedang berupaya untuk menghadirkan dukungan Berkeley Packet Filter (eBPF) yang diperluas ke Windows
2 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Laporan ZDNet bahwa Microsoft sedang bekerja untuk membawa alat keamanan Linux yang diperluas Berkeley Packet Filter (eBPF) ke Windows 10.
Alat saat ini dapat dijalankan di Windows SubSystem untuk Linux, tetapi Microsoft sedang mengerjakan dukungan asli, dengan masalah bahwa alat tersebut menjalankan kode dalam konteks kernel, yang menimbulkan semua jenis komplikasi keamanan.
Namun, pekerjaan itu mungkin sepadan, karena eBPF banyak digunakan dalam pemfilteran, analisis, dan manajemen jaringan dan juga untuk pemfilteran panggilan sistem dan pelacakan konteks proses dan membentuk dasar dari beberapa aplikasi keamanan seperti Cilium, Falco, dan Tracee; Program observasi Kubernetes seperti Hubble dan Pixie, dan toolchain seperti Clang.
Proyek ebpf-for-windows bertujuan untuk mengambil beberapa proyek sumber terbuka eBPF yang ada dan menambahkan "lem" untuk membuatnya berjalan di Windows.
Seperti yang ditunjukkan pada diagram, rantai alat eBPF yang ada (dentang, dll.) dapat digunakan untuk menghasilkan bytecode eBPF dari kode sumber dalam berbagai bahasa. Bytecode dapat digunakan oleh aplikasi apa pun, atau melalui alat baris perintah Netsh, yang menggunakan pustaka bersama yang mengekspos Libbpf API, meskipun ini masih dalam proses.
Bytecode eBPF dikirim ke verifier statis (verifier PREVAIL) yang dihosting dalam proses yang dilindungi mode pengguna (lingkungan keamanan Windows yang memungkinkan komponen kernel untuk mempercayai daemon mode pengguna yang ditandatangani oleh kunci yang dipercayainya). Jika bytecode melewati semua pemeriksaan verifier, bytecode dapat dimuat ke dalam interpreter (dari uBPF dalam konteks eksekusi mode kernel), atau dikompilasi JIT (melalui kompiler uBPF JIT) dan memuat kode asli ke dalam eksekusi mode kernel konteks (tapi lihat FAQ di bagian bawah tentang HVCI).
Program eBPF yang diinstal ke dalam konteks eksekusi mode kernel dapat dilampirkan ke berbagai kait (sejauh ini dua kait: XDP dan kait pengikat soket) dan memanggil berbagai API pembantu yang diekspos oleh shim eBPF, yang secara internal membungkus API kernel Windows publik, memungkinkan penggunaan eBPF pada versi Windows yang ada. Lebih banyak kait dan pembantu akan ditambahkan seiring waktu.
Hasil akhirnya adalah lingkungan hosting khusus Windows untuk eBPF yang memungkinkan pengembang Windows menggunakan program eBPF open-source tanpa harus mengode ulang.
Check out proyek ebpf-for-windows di GitHub di sini.
