Jamil Sultanli.
← Ana Səhifəyə Qayıt

eBPF (Extended Berkeley Packet Filter) və Cloud-Native Təhlükəsizlik: Müasir İnfrastrukturda Zero Trust və Müşahidəolunma Erası

·12 dəqiqə

Müasir proqram təminatı arxitekturası monolit strukturlardan sürətlə cloud-native, mikroservis və konteynerləşdirilmiş (Kubernetes) mühitlərə keçid edir. Bu keçid çeviklik və miqyaslana bilənlik gətirsə də, ənənəvi təhlükəsizlik və monitorinq (observability) alətlərini yararsız hala salır. Ənənəvi perimetr təhlükəsizliyi və IP-əsaslı firewall-lar dinamik olaraq saniyələr ərzində yaranıb yox olan pod-ların və konteynerlərin mövcud olduğu mühitdə effektivliyini itirir.

Məhz bu nöqtədə texnologiya dünyasında yeni bir inqilab baş verir: eBPF (Extended Berkeley Packet Filter). eBPF, Linux kernelinin daxilində tətbiq kodunu dəyişmədən və ya əlavə kernel modulları yükləmədən təhlükəsiz, qum qutusu (sandboxed) proqramlar işlətməyə imkan verən inqilabi bir texnologiyadır. Bu məqalədə eBPF-in nə olduğunu, cloud-native təhlükəsizlikdə necə yeni bir dövr açdığını, Zero Trust (Sıfır Etibar) arxitekturasındakı rolunu və praktiki tətbiq ssenarilərini ən dərin texniki detalları ilə təhlil edəcəyik.


BUNLARI DA OXUYUN

Süni İntellekt Agentləri (AI Agents) Nədir? Biznes Proseslərini Avtomatlaşdırmağın Yolları

Süni İntellekt Agentləri (AI Agents) nədir və biznes proseslərini necə avtomatlaşdırır? CrewAI və LangChain ilə praktiki tətbiq planı və ətraflı bələdçi.

Oxumağa davam et

eBPF Nədir və Necə İşləyir? Kernel Səviyyəsində İnqilab

Ənənəvi olaraq Linux əməliyyat sistemində yeni funksionallıq əlavə etmək və ya sistem fəaliyyətini izləmək üçün iki yol var idi: ya Linux Kernel mənbə kodunu dəyişmək (bu, illər çəkən bir prosesdir), ya da LKM (Linux Kernel Module) yazmaq. LKM-lər isə olduqca təhlükəlidir; yazılan kiçik bir proqram xətası (məsələn, null pointer dereference) bütün sistemin çökməsinə (Kernel Panic) və ya ciddi təhlükəsizlik boşluqlarına yol aça bilər.

eBPF bu problemi kökündən həll edir. O, istifadəçi səviyyəsində (user space) yazılmış proqramları təhlükəsiz şəkildə kernel daxilində işə salır. Proses aşağıdakı mərhələlərlə baş verir:

  1. Bytecode Hazırlanması: Proqramçı C, Rust və ya Go dilində eBPF proqramını yazır və LLVM/Clang vasitəsilə eBPF bytecode-a kompilyasiya edir.
  2. Yükləmə və Verifier (Yoxlayıcı): Bytecode bpf() sistem zəngi (syscall) vasitəsilə kernelə yüklənir. Burada kernel daxilindəki Verifier proqramı analiz edir. Verifier proqramın təhlükəsiz olduğundan, sonsuz dövrəyə (infinite loop) girmədiyindən və icazəsiz yaddaş sahələrinə daxil olmadığından əmin olur. Əgər kiçik bir şübhə yaranarsa, proqramın icrasına icazə verilmir.
  3. JIT Kompilyasiya: Təsdiqlənmiş bytecode JIT (Just-In-Time) Compiler vasitəsilə birbaşa prosessorun (CPU) yerli maşın koduna çevrilir. Bu, eBPF proqramlarının demək olar ki, sıfır gecikmə ilə, yerli kernel kodu sürətində işləməsini təmin edir.
  4. Map-lər (Xəritələr) vasitəsilə Data Mübadiləsi: Kernel daxilində işləyən eBPF proqramı topladığı məlumatları (məsələn, şəbəkə paketləri, sistem zəngləri) istifadəçi sahəsinə (user space) ötürmək üçün yüksək performanslı asinxron yaddaş strukturları olan eBPF Maps-dən istifadə edir.

Vacib Qeyd: eBPF tətbiqlərə heç bir müdaxilə etmədən (non-intrusive) işləyir. Bu o deməkdir ki, siz tətbiqinizi yenidən başlatmadan, koduna toxunmadan və ya konteyner imicini dəyişmədən real vaxt rejimində bütün sistemi monitorinq edə və qoruya bilərsiniz.


Cloud-Native Təhlükəsizlikdə Yeni Standart: Zero Trust və eBPF Sinergiyası

Zero Trust (Sıfır Etibar) fəlsəfəsi "heç vaxt etibar etmə, həmişə doğrula" prinsipinə əsaslanır. Kubernetes mühitində pod-lar daim yaradılır və məhv edilir. Ənənəvi şəbəkə təhlükəsizliyi alətləri IP ünvanlarına güvənir, lakin Kubernetes-də IP-lər efemerdir (müvəqqətidir).

eBPF, şəbəkə paketlərini IP səviyyəsində deyil, birbaşa kernel səviyyəsində, paketi göndərən prosesin (process), pod-un və konteynerin metadata məlumatları ilə əlaqələndirərək analiz edir. Bu, bizə aşağıdakı üstünlükləri qazandırır:

1. Sistem Zənglərinin (Syscalls) Real Zamanlı Analizi

Tətbiqlərin əməliyyat sistemi ilə ünsiyyəti sistem zəngləri vasitəsilə baş verir. Məsələn, bir tətbiq fayl oxumaq istədikdə openat(), şəbəkəyə qoşulmaq istədikdə connect(), yeni proses başlatmaq istədikdə isə execve() sistem zənglərindən istifadə edir. eBPF bu sistem zənglərini kernel səviyyəsində kəsir (intercept) və anomaliyaları dərhal müəyyən edir. Əgər bir Web Server pod-u qəfildən /etc/shadow faylını oxumağa çalışırsa və ya kənar bir IP-yə qoşulmaq istəyirsə, eBPF bunu milisaniyələr ərzində bloklaya bilər.

2. L3/L4 və L7 Səviyyəli Şəbəkə Görünürlüyü

Ənənəvi alətlər yalnız TCP/IP (L3/L4) səviyyəsində işləyir. Lakin müasir mikroservislər HTTP, gRPC, GraphQL kimi L7 (Application) protokolları ilə danışır. eBPF, kernel səviyyəsində şəbəkə socket-lərinə qoşularaq, tətbiq daxilində heç bir proxy (məsələn, Envoy) işlətmədən L7 protokollarını analiz edə bilir. Bu, həm performansı artırır, həm də şəbəkə daxilində tam görünürlük (observability) təmin edir.


eBPF-ə Əsaslanan Alətlər: Cilium, Falco və Tetragon Müqayisəsi

Cloud-native ekosistemində eBPF-in gücündən istifadə edən bir neçə mühüm açıq mənbəli layihə mövcuddur. Aşağıdakı cədvəldə bu alətlərin əsas xüsusiyyətlərini və istifadə sahələrini müqayisə edirik:

Alət (Tool)Əsas Fokus Sahəsiİşlədiyi SəviyyəƏsas İstifadə SsenarisiAlternativi ilə Müqayisədə Üstünlüyü
CiliumŞəbəkə (CNI), Təhlükəsizlik və Load BalancingL3, L4, L7 Şəbəkə və KernelKubernetes şəbəkə infrastrukturunun qurulması, yüksək performanslı IPAM və xidmət şəbəkəsi (Service Mesh).IPtables-dan tamamilə imtina edərək şəbəkə gecikməsini (latency) minimuma endirir.
FalcoRuntime Security (İcra zamanı təhlükəsizlik)Kernel Syscalls və Audit loglarıKonteyner daxilində şübhəli fəaliyyətlərin (məsələn, root hüququ qazanmaq, icazəsiz fayl oxumaq) aşkarlanması.Çox zəngin qaydalar (rules) kitabxanasına malikdir və real vaxtda xəbərdarlıq (alerting) göndərir.
TetragonTəhlükəsizlik və Bloklama (Security Enforcement)Kernel səviyyəli daxili funksiyalarReal vaxtda təhlükəsizlik qaydalarını pozan proseslərin dərhal bloklanması və öldürülməsi (kill).Yalnız aşkarlamaqla qalmır, həm də təhlükəni kernel səviyyəsində dərhal neytrallaşdırır.
PixieAvtomatlaşdırılmış ObservabilityKprobe, Uprobe və TracepointsTətbiq koduna toxunmadan SQL sorğularının, HTTP müraciətlərinin və CPU profillərinin çıxarılması.Heç bir kod dəyişikliyi və ya APM agenti tələb etmədən saniyələr daxilində işə düşür.

Praktik Tətbiq: Cilium CNI ilə Kubernetes-də Şəbəkə Siyasətlərinin (Network Policies) Qurulması

İndi isə eBPF-in gücünü göstərən praktik bir tətbiq ssenarisinə baxaq. Fərz edək ki, bizim Kubernetes klasterimizdə iki mikroservis var: frontendbackend. Biz yalnız frontend pod-unun backend pod-unun müəyyən bir API yoluna (/api/v1/public) müraciət etməsinə icazə vermək, digər bütün daxili və xarici müraciətləri isə bloklamaq istəyirik.

Ənənəvi Kubernetes Network Policy-ləri yalnız IP və Port səviyyəsində (L4) işləyir və HTTP yollarını (L7) anlaya bilmir. Lakin Cilium (eBPF əsaslı) vasitəsilə biz bunu asanlıqla həyata keçirə bilərik.

Addım-Addım Tətbiq Planı

  1. Cilium-un Quraşdırılması: Kubernetes klasterinizdə standart CNI-ı (məsələn, Flannel və ya Calico) Cilium ilə əvəz edin.
  2. Tətbiqlərin Etiketlənməsi (Labeling): Pod-ların düzgün etiketləndiyindən əmin olun (app: frontendapp: backend).
  3. CiliumNetworkPolicy-nin Yaradılması: Aşağıdakı YAML konfiqurasiyasını tətbiq edin.
apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
  name: "secure-backend-l7"
  namespace: default
spec:
  endpointSelector:
    matchLabels:
      app: backend
  ingress:
  - fromEndpoints:
    - matchLabels:
        app: frontend
    toPorts:
    - ports:
      - port: "8080"
        protocol: TCP
      rules:
        http:
        - method: "GET"
          path: "/api/v1/public"

Bu Siyasət (Policy) Necə İşləyir?

  • endpointSelector: Bu siyasət app: backend etiketi olan bütün pod-lara tətbiq olunur.
  • fromEndpoints: Yalnız app: frontend etiketi olan pod-lardan gələn trafik qəbul edilir.
  • toPorts: Trafik yalnız 8080 portuna və TCP protokolu ilə gəlməlidir.
  • rules.http: Budur eBPF-in əsl gücü! Kernel səviyyəsində HTTP paketi analiz edilir. Yalnız GET metoduna və /api/v1/public ünvanına icazə verilir. Əgər frontend pod-u /api/v1/admin ünvanına müraciət etməyə çalışarsa, sorğu birbaşa kernel səviyyəsində rədd ediləcək və tətbiq səviyyəsinə heç çatmayacaq.

eBPF-in Performans və Resurs Üstünlükləri: Real Case Study və Metriklər

Böyük miqyaslı sistemlərdə təhlükəsizlik və monitorinq alətlərinin özü ciddi resurs (CPU və RAM) istehlak edir. Ənənəvi olaraq, hər pod-un yanında bir proxy işlətmək (Sidecar arxitekturası, məsələn, Istio) hər pod üçün əlavə 50MB-100MB RAM və ciddi CPU gecikməsi deməkdir.

eBPF isə "Sidecarless" (Sidecar-sız) arxitekturanı mümkün edir. Bütün monitorinq və təhlükəsizlik birbaşa kernel səviyyəsində, tək bir eBPF proqramı ilə idarə olunur.

Performans Düsturu və Müqayisə

Şəbəkə paketlərinin emal sürətini və CPU səmərəliliyini hesablamaq üçün aşağıdakı sadələşdirilmiş metodologiyadan istifadə edə bilərik:

Resurs Səmərəliliyi (RS) = (Ənənəvi Sidecar CPU İstehlakı - eBPF CPU İstehlakı) / Ənənəvi Sidecar CPU İstehlakı * 100

Real ssenarilərdə, saniyədə 100,000 sorğu (RPS) qəbul edən bir sistemdə:

  • Ənənəvi Sidecar (Envoy Proxy): Təxminən 15% - 20% CPU overhead yaradır.
  • eBPF (Cilium): Cəmi 1.5% - 3% CPU overhead yaradır.

Yuxarıdakı düstura əsasən hesablama apardıqda:

RS = (20% - 3%) / 20% * 100 = 85%

Bu, eBPF tətbiq etməklə infrastruktur xərclərində CPU səviyyəsində 85%-ə qədər səmərəlilik əldə etmək deməkdir. Bu rəqəm minlərlə serveri olan böyük şirkətlər (məsələn, Netflix, Meta, Google) üçün milyonlarla dollar qənaət deməkdir.


Nəticə və Gələcək Perspektivlər

eBPF, sadəcə bir şəbəkə və ya təhlükəsizlik aləti deyil; o, Linux əməliyyat sisteminin tətbiqlərlə qarşılıqlı əlaqə üsulunu kökündən dəyişən yeni bir paradiqmadır. Cloud-native mühitlərin mürəkkəbliyi artdıqca, ənənəvi təhlükəsizlik yanaşmaları tamamilə sıradan çıxır.

Gələcəyə dair tövsiyələr:

  • Kubernetes infrastrukturunuzda təhlükəsizlik və şəbəkə idarəetməsini optimallaşdırmaq üçün Cilium və Tetragon kimi eBPF əsaslı alətlərə keçidi indidən planlaşdırın.
  • Zero Trust strategiyanızı yalnız istifadəçi autentifikasiyası ilə məhdudlaşdırmayın; eBPF vasitəsilə tətbiqlərinizin daxili sistem zənglərini (syscalls) nəzarətdə saxlayaraq "Runtime Zero Trust" səviyyəsinə ucalın.
  • Maliyyə və Resurs Optimizasiyası (FinOps): Sidecar arxitekturasının yaratdığı əlavə resurs xərclərini azaltmaq üçün sidecar-sız xidmət şəbəkəsi (Service Mesh) həllərinə üstünlük verin.

eBPF texnologiyası yaxın 5 il ərzində cloud-native təhlükəsizlik və observability sahəsində de-fakto standarta çevriləcək. Bu texnologiyanı erkən mənimsəyən şirkətlər həm təhlükəsizlik, həm də performans baxımından rəqiblərindən bir addım öndə olacaqlar.

JS
YAZAR

Jamil Sultanli

Rəqəmsal marketinq, SEO və startuplar üzrə məsləhətçi. Datanın tətbiqi ilə işlərin miqyaslanması (Scaling) və inkişaf (Growth) strategiyalarının idarə olunması haqqında yazır.

Bunları da oxuyun