Microsoft, Windows'a genişletilmiş Berkeley Paket Filtresi (eBPF) desteği getirmek için çalışıyor
2 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
ZDNet raporları Microsoft, Berkeley Packet Filter (eBPF) genişletilmiş Linux güvenlik aracını Windows 10'a getirmek için çalışıyor.
Araç şu anda Linux için Windows Alt Sisteminde çalıştırılabilir, ancak Microsoft, aracın her türlü güvenlik komplikasyonunu artıran çekirdek bağlamında kod çalıştırması sorunuyla yerel destek üzerinde çalışıyor.
Bununla birlikte, eBPF ağ filtreleme, analiz ve yönetiminde ve ayrıca sistem çağrısı filtrelemede ve süreç bağlam izlemede yaygın olarak kullanıldığından ve Cilium, Falco ve Tracee gibi çoklu güvenlik uygulamalarının temelini oluşturduğundan, çalışmaya değer olabilir; Hubble ve Pixie gibi Kubernetes gözlem programları ve Clang gibi araç zincirleri.
ebpf-for-windows projesi, mevcut birkaç eBPF açık kaynak projesini almayı amaçlıyor ve bunların Windows üzerinde çalışmasını sağlamak için "yapıştırıcı" ekliyor.
Şemada gösterildiği gibi, çeşitli dillerde kaynak koddan eBPF bayt kodu oluşturmak için mevcut eBPF araç zincirleri (clang, vb.) kullanılabilir. Bayt kodu, herhangi bir uygulama tarafından veya Libbpf API'lerini ortaya çıkaran paylaşılan bir kitaplık kullanan Netsh komut satırı aracı aracılığıyla tüketilebilir, ancak bu hala devam etmektedir.
eBPF bayt kodu, kullanıcı modu korumalı bir işlemde (bir çekirdek bileşeninin güvendiği bir anahtar tarafından imzalanmış bir kullanıcı modu arka plan programına güvenmesine izin veren bir Windows güvenlik ortamı) barındırılan statik bir doğrulayıcıya (PRVAIL doğrulayıcı) gönderilir. Bayt kodu tüm doğrulayıcı kontrolleri geçerse, bir yorumlayıcıya yüklenebilir (çekirdek modu yürütme bağlamında uBPF'den) veya JIT derlenebilir (uBPF JIT derleyicisi aracılığıyla) ve çekirdek modu yürütmesine yerel kod yüküne sahip olabilir. bağlam (ancak HVCI hakkında en alttaki SSS bölümüne bakın).
Çekirdek modu yürütme bağlamına yüklenen eBPF programları, çeşitli kancalara (şu anda iki kanca: XDP ve bir yuva bağlama kancası) eklenebilir ve genel Windows çekirdek API'lerini dahili olarak saran eBPF altlığı tarafından açığa çıkarılan çeşitli yardımcı API'leri çağırabilir. Windows'un mevcut sürümlerinde eBPF kullanımı. Zamanla daha fazla kanca ve yardımcı eklenecektir.
Sonuç, Windows geliştiricilerinin yeniden kodlamaya gerek kalmadan açık kaynaklı eBPF programlarını kullanmalarına olanak tanıyan eBPF için Windows'a özel bir barındırma ortamı olacaktır.
Check out Windows için ebpf projesi GitHub'da burada.
