01.neuvector防护平台功能实现设计

本篇文章主要讲neuvector大概的设计与实现,功能实现细节可查看后续文章,原文链接,欢迎大家关注我的github账号

一、整体架构

相关主要业务容器运行结构如下:

整体架构

主要容器为以下几个:

  1. Controller容器负责规则的收集与下发,同时也是restful服务;
  2. Enforcer容器负责策略的实现以及数据的采集上报;
  3. Manager容器为前端web容器;
  4. Scanner容器负责容器扫描等工作;

二、功能设计与实现

2.1 网络策略学习与防护

学习模式:

对于学习模式下的组(组的定义后续详细介绍),enforcer容器的白名单策略生成步骤如下:

  1. 首先进入对应容器的网络命名空间;
  2. 基于packet mmap 创建AF_PACKET的socket并绑定容器的网络接口eth0,并且创建对应的环形缓冲区;
  3. 循环处理缓冲区中的数据包,解析数据包的源ip、目的ip、应用协议(基于端口号以及负载特征识别)、端口号 ,生成对应的网络连
    接规则;
  4. 上报对应的网络连接规则,由controller侧生成相应的白名单策略(白名单策略由源ip、目的ip、应用协议、端口号、动作组成,学习时动作默认为allow,用户可添加deny的规则);
监视模式:

对于监视模式下的组,其与学习模式的区别在于,对于解析后的网络连接不进行白名单规则添加,而是与现有的白名单规则进行比对,如果违反则上报违规报警;

保护模式:

对于保护模式下的组,enforcer的管控实现思路如下:
1.在enforcer容器中创建桥接的veth pair,将被保护容器与主机的veth pair进行拆分,容器与主机的流量通过enforcer容器进行代
理,实现效果图如下:

image.png

2.通过TC规则将ip协议的数据包发送给enforcer内部veth pair ,如下效果如下:

image.png

image.png

3.基于vth-neuv的网络接口的packet mmap进行流量转发,循环处理接收缓冲区中的数据包,对数据包进行解析,符合白名单规则的
数据包通过发送缓冲区进行传输,不符合则阻塞;

当前保护模式下不对主机、kube-system等命名空间下的容器以及host模式的容器进行管控,只进行告警。

2.2 进程策略学习与防护

进程侧实现效果图如下:

image.png

学习\监视模式:

在非保护模式下,进程的学习与告警主要依据通过netlink socket实时获取进程启动和退出的事件:
1.创建netLink socket;
2.通过创建netlink的fd对进程的事件进行捕获与更新,主要是4种类型(exec,fork,exit,uidChange);
3.学习模式下则对捕获的进程信息进行上报,形成对应的进程白名单,监视模式则对比当前白名单规则选择是否告警;

保护模式:

在保护模式下,enforcer对于保护容器的进程管控主要分为两种方式, 一种是基于fanotify实现的通过阻塞进程进行判断是否放行,另一种是基于syscall的形式(syscall.Kill(pid, syscall.SIGKILL))直接杀死进程,但不会阻塞;

其中fanotify实现的进程管控实现思路如下:

1.enforcer遍历该节点上保护模式下容器内的进程信息;
2.通过fanotify,将所有的进程相关文件添加fanotify mask掩码;
3.通过Select Poll方式不断轮询对应的fd,并且根据白名单对进程的操作返回拒绝或者允许。

基于syscall的形式的进程管控实现思路如下:

1.对于主机节点以及k8s相关重要组件的容器,enforcer通过netlink对进程行为进行监控;
2.对于违反白名单的进程规则通过调用syscall.Kill(pid, syscall.SIGKILL)的方式进行释放;

两种方式的对比如下:

使用场景优点缺点
fanotify实现业务容器,非k8s相关重要组件的容 器pod基于阻塞的方式管控进程,可以有 效防止黑名单进程执行当容器或者pod中存在大量进程运行 时,阻塞的方式可能会导致容器中 进程运行速度变低, 所以不适用主 机节点以及进程较多的系统容器;
syscall.Kill(pid, syscall.SIGKILL)主机节点、kube-system,istio system、cattle-system命名空间下 的部分系统容器pod、切换保护模式 时,对应的进程可执行文件还没有 加上Mask掩码时、基于非阻塞的方式管控进程,不会 影响被管控容器或者pod的进程执行 速度;1.当进程执行速度很快或者Enforcer 通道通信过慢时,可能会来不及杀 死对应的黑名单进程; 2.当超过通道容量2048时,后续的 进程处理将被忽略

2.3 文件策略学习与防护

文件侧实现效果图如下:

image.png

当前对文件层面的学习管控实现思路如下:
1.默认监视/etc/passwd、/etc/hosts等重要文件的修改,用户也可添加对应组的想要保护的文件目录;
2.enforcer遍历该节点上所有的pod内的相关文件目录;
3.基于fanotify,将对应的文件和文件夹添加fanotify mask掩码(用于表明监听操作的事件);
4.通过Select Poll方式不断轮询对应的fd,学习模式下层对该文件的相关行为进行学习,监视或者保护模式则根据白名单对文件的操作返回告警或者拒绝。

注意事项:如果保护文件过多的话,读取大量文件会导致page cache非常大;

优化思路

1.xdp/dpdk 需要客户内核版本比较高

2.iptables规则设置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/620228.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

c 生成任意尺寸YUV420P格式水平垂直彩条

因为先控制生成的是像素三基色,所以可以用此方法生成任何图案。如直线,圆,甚至汉字 可以把长宽围成的图案看成是一个大的二维数组,再从其中扣出一部分,再填充一部分就成了。可惜现在jpeg编码程序有错误,显…

Open3D AABB包围盒计算与使用(19)

Open3D AABB包围盒计算与使用(19) 一、算法速览二、算法实现1.代码2.结果少年听雨歌楼上。红烛昏罗帐。壮年听雨客舟中。江阔云低、断雁叫西风。 而今听雨僧庐下。鬓已星星也。悲欢离合总无情。一任阶前、点滴到天明。 一、算法速览 AABB包围盒就是将点云用一个各条边沿着坐…

OceanBase架构概览

了解一个系统或软件,比较好的一种方式是了解其架构,下图是官网上的架构图,基于V 4.2.1版本 OceanBase 使用通用服务器硬件,依赖本地存储,分布式部署在多个服务器上,每个服务器都是对等的,数据库…

翻译: Streamlit从入门到精通 基础控件 一

这个关于Streamlit的教程旨在帮助数据科学家或机器学习工程师,他们不是网络开发者,也不想花费数周时间学习使用这些框架来构建网络应用程序。 1. 什么是Streamlit? Streamlit是一个免费且开源的框架,用于快速构建和共享美观的机器…

nodejs中的共享资源和锁

在Node.js中,如果你使用锁来同步代码,通常是为了防止多个线程或进程同时访问共享资源,这可能导致数据不一致或其他问题。然而,Node.js本身并不是一个多线程环境,而是单线程的。因此,你通常不会在Node.js中使…

[小程序]定位功能实现

第一步:首先要认识三个小程序的 api wx.chooseLocation 和 wx.getLocation 和 wx.openLocation (1).wx.chooseLocation 用于在小程序中选择地理位置。当用户点击选择位置按钮时,小程序会调起地图选择界面,用户可以在地图上选择一个位置,并可以…

ubuntu连接xshell怎么连接

在网上找了好多办法都不行 例如 太久没打开Ubuntu可能输入命令查不到IP地址,解决办法也比较简单,首先第一步 确定自己能不能进入管理员root权限(输入命令su),如果没有的话得重新配置,如下图 这是因为当前Ub…

gin切片表单验证

在Gin中对切片进行表单验证的步骤与对其他类型的字段进行验证类似。以下是一些基本步骤,我们可以根据具体的需求进行调整: 定义结构体: 创建一个结构体,用于存储表单数据。确保结构体中的字段类型与你预期的表单数据类型一致。 使…

【DP】583.两个字符串的删除操作

题目 法1:DP 本质是不带替换操作的最小编辑距离问题!!! class Solution {public int minDistance(String word1, String word2) {int m word1.length() 1, n word2.length() 1;int[][] dp new int[m][n];for (int i 1; i…

LINUX基础第十一章:文件系统与日志服务管理

目录 一.LINUX文件系统 1.inode表和block (1)inode (2)block 2.查看inode号命令 3.Linux系统文件三种主要时间属性 4.磁盘空间还剩余很多但无法继续创建文件 5.inode大小 二.日志 1.日志保存位置 2.日志文件的分类 &am…

Java设计模式-备忘录模式

备忘录模式 一、概述二、结构三、案例实现(一)“白箱”备忘录模式(二)“黑箱”备忘录模式 四、优缺点五、使用场景 一、概述 备忘录模式提供了一种状态恢复的实现机制,使得用户可以方便地回到一个特定的历史步骤&…

超越GPU:TPU能成为接班人吗?

在计算机的世界里,硬件技术的发展一直在快速推进。今天,我们要谈论的就是一种特殊的处理器:TPU,全称是Tensor Processing Unit。在我们开始深入探讨TPU之前,先了解一下两个重要的芯片技术,FPGA和ASIC。 FP…

【Matlab】加载路径下所有指定文件

加载路径下指定文件 想用matlab加载路径下所有指定文件,比如加载一个路径下的所有png图像、txt文件等,网上查了一圈也不是很好用,解决了问题就分享一下。 dir函数 用到了dir函数,Matlab中的dir函数是可以列出指定文件夹中的所有…

【算法题】52. N 皇后 II

题解 n 皇后问题 研究的是如何将 n 个皇后放置在 n n 的棋盘上,并且使皇后彼此之间不能相互攻击。 给你一个整数 n ,返回 n 皇后问题 不同的解决方案的数量。 示例 1: 输入:n 4 输出:2 解释:如上图所示…

计算机网络 —— 数据链路层

数据链路层 3.1 数据链路层概述 数据链路层把网络层交下来的数据构成帧发送到链路上,以及把收到的帧数据取出并上交给网络层。链路层属于计算机网络的底层。数据链路层使用的信道主要由以下两种类型: 点对点通信。广播通信。 数据链路和帧 链路&…

DHCP详解(配置小实验)

目录 一、DHCP 1、了解DHCP 2、使用DHCP的好处 3、HDCP的分配方式 4、DHCP协议中的报文 5、DHCP的租约过程 6、安装和配置DHCP服务 一、DHCP 1、了解DHCP DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)由Internet工作任务小组设计开发专门用…

java每日一题——ATM系统编写(答案及编程思路)

前言: 基础语句学完,也可以编写一些像样的程序了,现在要做的是多加练习,巩固下知识点,打好基础,daydayup! 题目:模仿银行ATM系统,可以创建用户,存钱,转账&…

2023-12-02 青少年软件编程(C语言)等级考试试卷(五级)解析

2023-12-02 青少年软件编程(C语言)等级考试试卷(五级)解析 一、编程题(共4题,共100分)T1. 书架 John最近买了一个书架用来存放奶牛养殖书籍,但书架很快被存满了,只剩最顶层有空余。 John共有N头奶牛(1 ≤ N ≤ 20,000),每头奶牛有自己的高度Hi(1 ≤ Hi ≤ 10,000),…

Python 二维平面Delaunay三角网建立

目录 一、算法概念二、代码实现三、结果示例根据二维平面内的离散点建立平面三角网。 一、算法概念 三角剖分与Delaunay剖分定义:如何把一个散点集剖分成不均匀的三角形网格,即在给定的平面点集上,生成三角形集合的过程。考虑平面点集P={p1,p2,p3,…,pn},我们希望得到三…

基于Matlab/Simulink开发自动驾驶的解决方案

文章目录 处理自动驾驶数据 仿真自动驾驶场景 设计感知算法 设计规划和控制算法 生成代码和部署算法 集成和测试 参考文献 使用 MATLAB/Simulink开发自动驾驶,能够深入建模真实世界的行为、减少车辆测试并验证嵌入式软件的功能,从而推进自动驾驶感…