01.neuvector防护平台功能实现设计

本篇文章主要讲neuvector大概的设计与实现,功能实现细节可查看后续文章,原文链接,欢迎大家关注我的github账号

一、整体架构

相关主要业务容器运行结构如下:

整体架构

主要容器为以下几个:

  1. Controller容器负责规则的收集与下发,同时也是restful服务;
  2. Enforcer容器负责策略的实现以及数据的采集上报;
  3. Manager容器为前端web容器;
  4. Scanner容器负责容器扫描等工作;

二、功能设计与实现

2.1 网络策略学习与防护

学习模式:

对于学习模式下的组(组的定义后续详细介绍),enforcer容器的白名单策略生成步骤如下:

  1. 首先进入对应容器的网络命名空间;
  2. 基于packet mmap 创建AF_PACKET的socket并绑定容器的网络接口eth0,并且创建对应的环形缓冲区;
  3. 循环处理缓冲区中的数据包,解析数据包的源ip、目的ip、应用协议(基于端口号以及负载特征识别)、端口号 ,生成对应的网络连
    接规则;
  4. 上报对应的网络连接规则,由controller侧生成相应的白名单策略(白名单策略由源ip、目的ip、应用协议、端口号、动作组成,学习时动作默认为allow,用户可添加deny的规则);
监视模式:

对于监视模式下的组,其与学习模式的区别在于,对于解析后的网络连接不进行白名单规则添加,而是与现有的白名单规则进行比对,如果违反则上报违规报警;

保护模式:

对于保护模式下的组,enforcer的管控实现思路如下:
1.在enforcer容器中创建桥接的veth pair,将被保护容器与主机的veth pair进行拆分,容器与主机的流量通过enforcer容器进行代
理,实现效果图如下:

image.png

2.通过TC规则将ip协议的数据包发送给enforcer内部veth pair ,如下效果如下:

image.png

image.png

3.基于vth-neuv的网络接口的packet mmap进行流量转发,循环处理接收缓冲区中的数据包,对数据包进行解析,符合白名单规则的
数据包通过发送缓冲区进行传输,不符合则阻塞;

当前保护模式下不对主机、kube-system等命名空间下的容器以及host模式的容器进行管控,只进行告警。

2.2 进程策略学习与防护

进程侧实现效果图如下:

image.png

学习\监视模式:

在非保护模式下,进程的学习与告警主要依据通过netlink socket实时获取进程启动和退出的事件:
1.创建netLink socket;
2.通过创建netlink的fd对进程的事件进行捕获与更新,主要是4种类型(exec,fork,exit,uidChange);
3.学习模式下则对捕获的进程信息进行上报,形成对应的进程白名单,监视模式则对比当前白名单规则选择是否告警;

保护模式:

在保护模式下,enforcer对于保护容器的进程管控主要分为两种方式, 一种是基于fanotify实现的通过阻塞进程进行判断是否放行,另一种是基于syscall的形式(syscall.Kill(pid, syscall.SIGKILL))直接杀死进程,但不会阻塞;

其中fanotify实现的进程管控实现思路如下:

1.enforcer遍历该节点上保护模式下容器内的进程信息;
2.通过fanotify,将所有的进程相关文件添加fanotify mask掩码;
3.通过Select Poll方式不断轮询对应的fd,并且根据白名单对进程的操作返回拒绝或者允许。

基于syscall的形式的进程管控实现思路如下:

1.对于主机节点以及k8s相关重要组件的容器,enforcer通过netlink对进程行为进行监控;
2.对于违反白名单的进程规则通过调用syscall.Kill(pid, syscall.SIGKILL)的方式进行释放;

两种方式的对比如下:

使用场景优点缺点
fanotify实现业务容器,非k8s相关重要组件的容 器pod基于阻塞的方式管控进程,可以有 效防止黑名单进程执行当容器或者pod中存在大量进程运行 时,阻塞的方式可能会导致容器中 进程运行速度变低, 所以不适用主 机节点以及进程较多的系统容器;
syscall.Kill(pid, syscall.SIGKILL)主机节点、kube-system,istio system、cattle-system命名空间下 的部分系统容器pod、切换保护模式 时,对应的进程可执行文件还没有 加上Mask掩码时、基于非阻塞的方式管控进程,不会 影响被管控容器或者pod的进程执行 速度;1.当进程执行速度很快或者Enforcer 通道通信过慢时,可能会来不及杀 死对应的黑名单进程; 2.当超过通道容量2048时,后续的 进程处理将被忽略

2.3 文件策略学习与防护

文件侧实现效果图如下:

image.png

当前对文件层面的学习管控实现思路如下:
1.默认监视/etc/passwd、/etc/hosts等重要文件的修改,用户也可添加对应组的想要保护的文件目录;
2.enforcer遍历该节点上所有的pod内的相关文件目录;
3.基于fanotify,将对应的文件和文件夹添加fanotify mask掩码(用于表明监听操作的事件);
4.通过Select Poll方式不断轮询对应的fd,学习模式下层对该文件的相关行为进行学习,监视或者保护模式则根据白名单对文件的操作返回告警或者拒绝。

注意事项:如果保护文件过多的话,读取大量文件会导致page cache非常大;

优化思路

1.xdp/dpdk 需要客户内核版本比较高

2.iptables规则设置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/620228.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Open3D AABB包围盒计算与使用(19)

Open3D AABB包围盒计算与使用(19) 一、算法速览二、算法实现1.代码2.结果少年听雨歌楼上。红烛昏罗帐。壮年听雨客舟中。江阔云低、断雁叫西风。 而今听雨僧庐下。鬓已星星也。悲欢离合总无情。一任阶前、点滴到天明。 一、算法速览 AABB包围盒就是将点云用一个各条边沿着坐…

OceanBase架构概览

了解一个系统或软件,比较好的一种方式是了解其架构,下图是官网上的架构图,基于V 4.2.1版本 OceanBase 使用通用服务器硬件,依赖本地存储,分布式部署在多个服务器上,每个服务器都是对等的,数据库…

翻译: Streamlit从入门到精通 基础控件 一

这个关于Streamlit的教程旨在帮助数据科学家或机器学习工程师,他们不是网络开发者,也不想花费数周时间学习使用这些框架来构建网络应用程序。 1. 什么是Streamlit? Streamlit是一个免费且开源的框架,用于快速构建和共享美观的机器…

[小程序]定位功能实现

第一步:首先要认识三个小程序的 api wx.chooseLocation 和 wx.getLocation 和 wx.openLocation (1).wx.chooseLocation 用于在小程序中选择地理位置。当用户点击选择位置按钮时,小程序会调起地图选择界面,用户可以在地图上选择一个位置,并可以…

ubuntu连接xshell怎么连接

在网上找了好多办法都不行 例如 太久没打开Ubuntu可能输入命令查不到IP地址,解决办法也比较简单,首先第一步 确定自己能不能进入管理员root权限(输入命令su),如果没有的话得重新配置,如下图 这是因为当前Ub…

LINUX基础第十一章:文件系统与日志服务管理

目录 一.LINUX文件系统 1.inode表和block (1)inode (2)block 2.查看inode号命令 3.Linux系统文件三种主要时间属性 4.磁盘空间还剩余很多但无法继续创建文件 5.inode大小 二.日志 1.日志保存位置 2.日志文件的分类 &am…

Java设计模式-备忘录模式

备忘录模式 一、概述二、结构三、案例实现(一)“白箱”备忘录模式(二)“黑箱”备忘录模式 四、优缺点五、使用场景 一、概述 备忘录模式提供了一种状态恢复的实现机制,使得用户可以方便地回到一个特定的历史步骤&…

超越GPU:TPU能成为接班人吗?

在计算机的世界里,硬件技术的发展一直在快速推进。今天,我们要谈论的就是一种特殊的处理器:TPU,全称是Tensor Processing Unit。在我们开始深入探讨TPU之前,先了解一下两个重要的芯片技术,FPGA和ASIC。 FP…

计算机网络 —— 数据链路层

数据链路层 3.1 数据链路层概述 数据链路层把网络层交下来的数据构成帧发送到链路上,以及把收到的帧数据取出并上交给网络层。链路层属于计算机网络的底层。数据链路层使用的信道主要由以下两种类型: 点对点通信。广播通信。 数据链路和帧 链路&…

DHCP详解(配置小实验)

目录 一、DHCP 1、了解DHCP 2、使用DHCP的好处 3、HDCP的分配方式 4、DHCP协议中的报文 5、DHCP的租约过程 6、安装和配置DHCP服务 一、DHCP 1、了解DHCP DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)由Internet工作任务小组设计开发专门用…

java每日一题——ATM系统编写(答案及编程思路)

前言: 基础语句学完,也可以编写一些像样的程序了,现在要做的是多加练习,巩固下知识点,打好基础,daydayup! 题目:模仿银行ATM系统,可以创建用户,存钱,转账&…

Python 二维平面Delaunay三角网建立

目录 一、算法概念二、代码实现三、结果示例根据二维平面内的离散点建立平面三角网。 一、算法概念 三角剖分与Delaunay剖分定义:如何把一个散点集剖分成不均匀的三角形网格,即在给定的平面点集上,生成三角形集合的过程。考虑平面点集P={p1,p2,p3,…,pn},我们希望得到三…

基于Matlab/Simulink开发自动驾驶的解决方案

文章目录 处理自动驾驶数据 仿真自动驾驶场景 设计感知算法 设计规划和控制算法 生成代码和部署算法 集成和测试 参考文献 使用 MATLAB/Simulink开发自动驾驶,能够深入建模真实世界的行为、减少车辆测试并验证嵌入式软件的功能,从而推进自动驾驶感…

QuEra 10,000个物理量子位和100个逻辑量子位的量子计算机2026

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

AWS-SAA-C03认证——之基础知识扫盲

文章目录 前言一、Amazon ECS二、 Amazon EKS三、Amazon EC2四、Elastic Beanstalk五、AWS Fargate六、 AWS Lambda (serverless)七、Amazon EBS7.1 EBS生命周期 八、Amazon Elastic File System (EFS) -共享文件系统九、什么是 Amazon S3?9.…

anoconda 安装报错

表现形式:Output folder: D:\anoconda\Lib Extract: _nsis.py Extract: _system_path.py Output folder: D:\anoconda........................ 解决办法: 网址:Index of /anaconda/archive/ | 清华大学开源软件镜像站 | Tsinghua Open Sour…

Django教程|数据统计图表(echarts、highchart)

前言 highchart,国外。 echarts,国内。 本项目集成 hightchart和echarts图表库实现数据统计功能。 包括:折线图,柱状图,饼图和数据集图。 效果图 echats Highcharts 源代码 编写模板(Template&#x…

华为设备vlan下配置MSTP,STP选举

核心代码,不同实例,承载不同流量,为每个实例设置一个根网桥达到分流的效果 stp region-config //进入stp区域的设置 region-name R1 //区域命名为R1 instance 1 vlan 10 …

专业课140+总分410+电子科技大学858信号与系统考研经验,电子信息通信

我的初试备考从4月末,持续到初试前,这中间没有中断。 我是二战考生,准备的稍微晚一些,如果是一战考生,建议在2、3月份开始。 总的时间分配上,是数学>专业课>英语>政治,虽然大家可支配…

DP读书:《openEuler操作系统》(八)TCP、UDP与跨机器通讯

10min速通TCP与UDP 2024 DP读书计算机网络简介TCP/IP协议栈A. 物理层1.信号及信道传递2.信号调制与调解3.信道的复用 B. 数据链路层1.封装成帧2.透明传输3.差错控制 C. 网络层1.IP2.ARP3.路由选择协议 D. 传输层1.端口号2.3.UDP 2024 DP读书 第八章 跨机器通讯 在第六章之中&a…