Microsoft pracuje na tom, aby do Windows priniesol rozšírenú podporu Berkeley Packet Filter (eBPF).
2 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Správy ZDNet že Microsoft pracuje na zavedení rozšíreného bezpečnostného nástroja pre Linux Berkeley Packet Filter (eBPF) do Windowsu 10.
Tento nástroj je v súčasnosti možné spustiť na podsystéme Windows pre Linux, ale Microsoft pracuje na natívnej podpore, pričom problémom je, že nástroj spúšťa kód v kontexte jadra, čo vyvoláva všetky druhy bezpečnostných komplikácií.
Táto práca však môže stáť za to, pretože eBPF sa vo veľkej miere používa pri filtrovaní, analýze a správe siete a tiež na filtrovanie systémových hovorov a sledovanie kontextu procesov a tvorí základ viacerých bezpečnostných aplikácií, ako sú Cilium, Falco a Tracee; Pozorovacie programy Kubernetes, ako sú Hubble a Pixie, a reťazce nástrojov, ako je Clang.
Cieľom projektu ebpf-for-windows je prevziať niekoľko existujúcich projektov s otvoreným zdrojom eBPF a pridať „lepidlo“, aby sa dali spustiť v systéme Windows.
Ako je znázornené na diagrame, existujúce eBPF toolchainy (clang, atď.) možno použiť na generovanie eBPF bajtkódu zo zdrojového kódu v rôznych jazykoch. Bytecode môže byť spotrebovaný akoukoľvek aplikáciou alebo prostredníctvom nástroja príkazového riadka Netsh, ktorý používa zdieľanú knižnicu, ktorá odhaľuje Libbpf API, aj keď to stále prebieha.
Bytový kód eBPF sa odošle statickému overovaču (overovač PREVAIL), ktorý je hosťovaný v procese chránenom používateľským režimom (bezpečnostné prostredie systému Windows, ktoré umožňuje komponentu jadra dôverovať démonovi používateľského režimu podpísanému kľúčom, ktorému dôveruje). Ak bajtový kód prejde všetkými kontrolami overovateľa, môže byť buď načítaný do tlmočníka (z uBPF v kontexte vykonávania v režime jadra), alebo skompilovaný JIT (prostredníctvom kompilátora uBPF JIT) a môže sa načítať natívny kód do vykonávania v režime jadra. kontext (ale pozrite si FAQ v spodnej časti o HVCI).
Programy eBPF nainštalované do kontextu vykonávania v režime jadra sa môžu pripojiť k rôznym háčikom (momentálne sú to zatiaľ dva háčiky: XDP a háčik na väzbu soketu) a volať rôzne pomocné rozhrania API odkryté pomocou eBPF shim, ktorý interne obaluje verejné rozhrania API jadra Windowsu. používanie eBPF na existujúcich verziách systému Windows. Postupom času pribudnú ďalšie háčiky a pomocníci.
Konečným výsledkom bude hostiteľské prostredie špecifické pre Windows pre eBPF, ktoré umožní vývojárom Windows používať programy eBPF s otvoreným zdrojom bez toho, aby museli prekódovať.
Pozrite sa na Projekt ebpf-for-windows na GitHub tu.
