Surveillance des sessions utilisateurs Kubernetes avec eBPF

Les fournisseurs de cloud comme Amazon Web Services (AWS) proposent une très bonne visibilité sur les appels d’API effectués par les différents utilisateurs d’un compte grâce à des services comme CloudTrail [1]. Malheureusement, cette introspection s’arrête généralement à l’adresse IP de la machine qui a effectué l’appel, ne permettant pas de différencier un appel légitime des conséquences d’une attaque SSRF (Server-Side Request Forgery) [13] ou autre compromission.

Selon le Data Breach Investigations Report de Verizon, plus de 50 % des intrusions qui ont eu lieu en 2021 ont pour origine une fuite d’identifiants de sécurité. Même en appliquant les meilleures recommandations de sécurité, un accès SSH sera toujours un risque de sécurité pour une infrastructure. Cet article entend démontrer pourquoi les contrôles d’accès par défaut de Linux ne sont pas suffisants pour mettre en place un accès SSH granulaire. EBPF sera exploré comme une potentielle solution pour surveiller et protéger un accès SSH.

En quelques années, eBPF (Extended Berkeley Packet Filter) est devenu un des sous-systèmes les plus actifs du noyau Linux. Grâce à ses nombreuses promesses de sûreté de fonctionnement et d’observabilité, eBPF a beaucoup gagné en popularité auprès des outils de surveillance réseau et système. Malheureusement, cette nouvelle technologie a involontairement introduit un risque majeur pour Linux : une considérable simplification du développement des rootkits.

Depuis l’arrivée des architectures en microservices, les développeurs adoptent de nouvelles technologies qui permettent aux infrastructures de se développer à une vitesse sans précédent. Malheureusement, une infrastructure en constante évolution est très difficile à surveiller et les outils de sécurité à l’exécution sont donc devenus fondamentaux pour protéger une entreprise. Comment le noyau Linux a-t-il répondu à ce besoin ?