Cilium 聯合創始人 Thomas Graf 討論了基于 eBPF 的工具如何融入更廣泛的網絡環境。

譯自Can Cilium Be a Control Plane Beyond Kubernetes?，作者 Alex Williams。

西雅圖 -Cilium的創建者之一Thomas Graf認為，隨著容器在 AI API 中的廣泛采用以及微分段的新方法，云原生安全市場正在發生變化。

Cilium 是Cloud Native Computing Foundation的畢業項目，基于eBPF（擴展的伯克利數據包過濾器）。Graf 還幫助在VMware收購的 Nicira 開發了NSX和 Open vSwitch。NSX 的核心是軟件定義網絡，它將硬件交換機轉變為軟件。

Cilium 非常受歡迎，現在的問題是：隨著 AI 的日益普及，它將取得多少成功？它是一個未來主義的解決方案，還是一把尋找釘子的錘子？

我在西雅圖的CloudNative SecurityCon與Isovalent的 CTO 和聯合創始人Graf坐下來，討論了 Cilium 如何融入更廣泛的網絡環境。我們探討了圍繞 AI 和外部因素的旋風般的問題，例如如何管理容器的主流采用、無處不在的 API 和數據中的 AI 帶來的微分段的更深層次的復雜性。

今年 1 月，Torsten Volk在The New Stack上撰文稱，Cillium 將 eBPF 擴展到傳輸層和應用層，提供了對網絡和安全更細粒度和靈活的控制，這在云原生環境中尤其有利。

2022 年，Isovalent 開源了 Tetragon，一個 Kubernetes 原生工具，它利用eBPF 進行深度可觀察性，同時對性能的影響最小。Tetragon 跟蹤各種活動，包括進程執行、權限提升和網絡活動。它使用 eBPF 強制執行的內核運行時策略，提供了強大的安全姿態，可以抵御未經授權的操作和檢查時攻擊競態條件攻擊。

Kubernetes 網絡和 AI

Isovalent 現在與使用Kubernetes集群構建大型語言模型的公司合作，這些集群具有復雜的網絡需求，主要是因為 AI 工作負載的數據量非常大，Graf 說。

他說，很難想象構建語言模型需要多少數據；當高薪的研究工程師構建這些語言模型時，這些模型必須保密。同時，需要不斷地提取數據來構建模型。

然而，與此同時，保護始終容易受到橫向攻擊的工作負載的復雜性正在增加。生成式 AI 可能很強大，但如果它污染了數據湖會發生什么？

在這種背景下，需要更好的可觀察性和控制平面，這些平面可以上下文地管理洪流。

當我們談論 AI 原生時，我們指的是下一代機器學習或基于自適應學習的策略管理。你不再希望手動創建所有策略。你需要自動化來緩解威脅。如果出現 CVE，你需要緩解它。你識別出威脅，你需要通過自動化自動拒絕它。因此，AI 只是更好的自動化。

但是 Cilium 在下一代自動化中將扮演什么角色？

Graf 說，Cilium 將成為一個通用的數據平面。Cilium 在云原生世界中的地位已經確立，Cilium 將適用于 Kubernetes 之外，成為更廣泛行業的分布式數據平面。思科將能夠在DPU和智能網卡上的交換機上運行。并且隨著博通最近收購 VMware，人們對替換 NSX 的興趣很大。他認為 Cilium 是一項基礎技術，可以推動 NSX 的替代產品的開發。

eBPF 是答案嗎？

eBPF 方法可以成為云網絡的基石嗎？這是一個大問題。eBPF 就像一根數據軟管，可能對很多事情都很有用，但對于第 7 層數據呢？它并不適合監控跨越互聯網的數據。它可以處理在 Kubernetes 平臺上運行的內核服務，但這只是軟件工程師現在在如此廣闊的攻擊面中所需要的部分。

但正如 Volk 指出，Cilium（同樣建立在 eBPF 之上）為傳輸層（第 4 層）和應用層（第 7 層）提供了可編程控制，允許“通過 TCP、UDP、ATP 和 MTCP 等協議執行網絡策略，這些協議為應用程序提供端到端通信服務”。

并非所有人都相信 eBPF 可以解決所有網絡問題。Wesley Hales，LeakSignal的首席執行官，將 eBPF 看作一把錘子，任何網絡問題都是一顆釘子。特別是，Hales 提到了傳輸中的敏感數據分類。但讓我們把這個話題留到下次討論。

云原生安全：點 vs. 平臺

今年早些時候，Cisco收購了 Isovalent。在 Cilium 中體現了 eBPF 方法，我問 Graf 他如何看待云原生安全領域、服務網格的作用、微隔離以及 Isovalent 對 Cisco 的意義。

Alex Williams：Tom，云原生安全的完整解決方案是什么樣的？客戶需要什么？

Thomas Graf：是的。從應用程序的源頭開始，您需要一個解決方案來掃描您的源代碼并找出其中的漏洞。

理想情況下，代碼圖會告訴您哪些漏洞在您的代碼中是可訪問的。然后，您需要解決方案來保護您的依賴項的供應鏈：漏洞管理。如果您使用帶有 [常見漏洞和披露] 的庫，您需要能夠跟蹤和修復它們。然后，您需要為您的基礎設施進行云態勢管理。如果您的 [虛擬專用云] 是完全開放的，那么您沒有使用安全組。

最好有一個云態勢管理解決方案。然后，當您開始運行應用程序時，您需要運行時安全——針對您的云工作負載的 Kubernetes 的威脅緩解。當然，您還需要所有這些的可觀察性。比如，您在運行什么？您暴露了什么？您的風險是什么？

您需要優先考慮這些風險，因為對于大多數客戶來說，會有大量的發現，您需要弄清楚首先要調查什么。現在人們是否要求更全面的解決方案？他們一直在選擇點解決方案，并看到了集成這些解決方案所需的復雜性。

大多數人首先從一個廣泛的解決方案開始，然后發現它們不夠完整。然后他們轉向點解決方案，很快它就變得非常難以管理，主要是因為 [云原生應用程序保護平臺] 空間沒有開源標準化。

因此，客戶試圖退一步說，好吧，我們是想回到一個廣泛的解決方案，還是想說服供應商變得更廣泛，將多個點解決方案結合起來？這將是未來幾年內需要進行的關鍵討論。我們如何才能獲得一個足夠好、也足夠廣泛的解決方案，以便于管理？

服務網格的問題

Williams：服務網格怎么樣？服務網格似乎是 Kubernetes 的一個很好的后續，它通過 API 中心環境提供了代理功能，而您在 Kubernetes 中就有這種環境。因此，它似乎是一個自然的選擇，也是公司考慮其整體安全態勢的地方。這是準確的嗎？

Graf：是的，我認為這是準確的。我認為服務網格是頂層的一個很好的小層，從概念上講，它絕對要求您需要一個邏輯連接層，該層引入身份，即引入豐富的安全機制來實現零信任原則。到目前為止，服務網格的實現方式絕對沒有讓客戶滿意。

我認為該領域的每個供應商都必須做得更好，找到一個不太顯眼的解決方案，就像基礎設施的一部分，而不是您需要主動管理的東西。此外，運行服務網格的開銷和負擔必須大幅降低。

微隔離和 NSX

Williams：那么為什么安全解決方案是 NSX 的答案？

Graf:嗯，NSX 從根本上來說是分布式防火墻的核心。就像，如果你看一下Cilium，為什么Cilium 如此吸引人？是的，它在做很多網絡工作，但它被用來做防火墻微分段和加密。NSX 也是一樣的。

移動數據包幾乎就像一個實現細節。真正重要的是安全地做到這一點。所以當你購買產品時，你購買的是網絡安全應用程序，即使它顯然也只在做連接。這幾乎就像一個包含的細節。

這幾年來，這是否一直是 NSX 的主要賣點？絕對是的。微分段是 NSX 的主要賣點。那么現在，今天的主要賣點是什么？對于 Cilium 來說，它完全一樣。很多 NSX 客戶會說，Cilium 就是 NSX，但對于容器和 Kubernetes 來說，云原生容器是基于身份的。

所以 Cilium 比上一代更先進，對吧？它不僅僅是為容器擴展；它理解身份是原生集成到云提供商中的。它不僅僅是針對 [虛擬機] 或虛擬化，但主要適用的用例是一樣的。

思科和 Isovalent

Williams: Thomas，我們談到了客戶尋求的這些更全面的解決方案。思科 Isovalent 與此相關的背景是什么？

Graf:所以想想。Isovalent 在云原生和 Kubernetes 領域非常成功。與思科合作，我們現在將我們構建的云原生方法帶到更廣泛的市場，進入數據中心、邊緣和公有云。

因此，我們構建了 Cillium 用于網絡安全、分段和云原生網絡，以及 Tetragon 運行時安全，使其在數據中心可用，在服務器上運行 Tetragon，在 DHs [數據處理單元] 和交換機上運行 Cillium，并基本上構建了一個安全結構，可以保護不僅 Kubernetes 部分，還可以保護您的整體基礎設施。

因此，安全結構適合客戶購買的所有這些點解決方案……然后，我認為從思科的角度來看，顯然帶來了 CNAPP 功能，例如提供一個不僅廣泛而且足夠深入的整體豐富平臺。思科在過去幾年中進行了大量收購，以購買每個點的解決方案。現在正在構建一個平臺來統一它們，為您提供一個具有強大垂直點解決方案的平臺的體驗。