Kubernetes network policies nestačí. Potřebujeme vidět dovnitř kontejnerů — jaké procesy běží, kam komunikují, jaké soubory otevírají. eBPF to umožňuje bez performance penalty.
Co je eBPF?¶
eBPF (extended Berkeley Packet Filter) je technologie v Linux kernelu umožňující bezpečné spouštění sandboxovaného kódu. Bez modifikace kernelu. Observability, networking a security — vše na úrovni kernelu.
Cilium pro síťovou bezpečnost¶
Cilium nahradil kube-proxy a Calico v našem clusteru. L7 aware network policies (HTTP, gRPC, Kafka), transparent encryption, a detailní flow visibility. Politika: „service A smí volat service B pouze na endpoint /api/v1/orders metodou GET”.
Falco pro runtime detection¶
Falco (CNCF) monitoruje syscally v kontejnerech pomocí eBPF. Pravidla: shell spuštěný v kontejneru = alert, čtení /etc/shadow = alert, neočekávaný outbound connection = alert. Integrace s PagerDuty.
eBPF mění bezpečnost kontejnerů¶
Kernel-level visibility bez overhead. Cilium + Falco = networking i runtime security na jednom místě.