Microsoft는 Windows에 eBPF(Extended Berkeley Packet Filter) 지원을 제공하기 위해 노력하고 있습니다.

ZDNet 보고서 Microsoft는 Linux 보안 도구 eBPF(Extended Berkeley Packet Filter)를 Windows 10에 제공하기 위해 노력하고 있습니다.

이 도구는 현재 Linux용 Windows 하위 시스템에서 실행할 수 있지만 Microsoft는 기본 지원을 위해 노력하고 있으며 도구가 커널 컨텍스트에서 코드를 실행하므로 모든 종류의 보안 문제가 발생한다는 문제가 있습니다.

그러나 eBPF는 네트워크 필터링, 분석 및 관리와 시스템 호출 필터링 및 프로세스 컨텍스트 추적에 광범위하게 사용되고 Cilium, Falco 및 Tracee와 같은 여러 보안 응용 프로그램의 기반을 형성하기 때문에 작업 가치가 있을 수 있습니다. Hubble 및 Pixie와 같은 Kubernetes 관찰 프로그램 및 Clang과 같은 도구 체인.

ebpf-for-windows 프로젝트는 기존의 여러 eBPF 오픈 소스 프로젝트를 가져오고 Windows에서 실행되도록 "접착제"를 추가하는 것을 목표로 합니다.

다이어그램에서 볼 수 있듯이 기존 eBPF 툴체인(clang 등)을 사용하여 다양한 언어의 소스 코드에서 eBPF 바이트 코드를 생성할 수 있습니다. 바이트코드는 모든 애플리케이션에서 사용하거나 Libbpf API를 노출하는 공유 라이브러리를 사용하는 Netsh 명령줄 도구를 통해 사용할 수 있지만 아직 진행 중입니다.

eBPF 바이트코드는 사용자 모드 보호 프로세스(커널 구성 요소가 신뢰하는 키로 서명된 사용자 모드 데몬을 신뢰할 수 있도록 하는 Windows 보안 환경)에서 호스팅되는 정적 검증자(PREVAIL 검증자)로 전송됩니다. 바이트코드가 모든 검증자 검사를 통과하면 인터프리터로 로드되거나(커널 모드 실행 컨텍스트의 uBPF에서) JIT 컴파일(uBPF JIT 컴파일러를 통해)되고 네이티브 코드가 커널 모드 실행으로 로드됩니다. 컨텍스트(하지만 HVCI에 대한 하단의 FAQ 참조).

커널 모드 실행 컨텍스트에 설치된 eBPF 프로그램은 다양한 후크(현재까지 두 개의 후크: XDP 및 소켓 바인드 후크)에 연결할 수 있으며 eBPF shim에 의해 노출된 다양한 도우미 API를 호출할 수 있습니다. 기존 버전의 Windows에서 eBPF 사용. 시간이 지남에 따라 더 많은 후크와 도우미가 추가됩니다.

최종 결과는 Windows 개발자가 다시 코딩할 필요 없이 오픈 소스 eBPF 프로그램을 사용할 수 있도록 하는 eBPF용 Windows 전용 호스팅 환경이 될 것입니다.

확인 여기 GitHub의 ebpf-for-windows 프로젝트.