Cilium可以在Kubernetes之外作为控制平面吗？

Cilium 联合创始人 Thomas Graf 讨论了基于 eBPF 的工具如何融入更广泛的网络环境。

译自 Can Cilium Be a Control Plane Beyond Kubernetes?，作者 Alex Williams。

西雅图 - Cilium 的创建者之一 Thomas Graf 认为，随着容器在 AI API 中的广泛采用以及微分段的新方法，云原生安全市场正在发生变化。

Cilium 是 Cloud Native Computing Foundation 的毕业项目，基于 eBPF（扩展的伯克利数据包过滤器）。Graf 还帮助在 VMware 收购的 Nicira 开发了 NSX 和 Open vSwitch。NSX 的核心是软件定义网络，它将硬件交换机转变为软件。

Cilium 非常受欢迎，现在的问题是：随着 AI 的日益普及，它将取得多少成功？它是一个未来主义的解决方案，还是一把寻找钉子的锤子？

我在西雅图的 CloudNative SecurityCon 与 Isovalent 的 CTO 和联合创始人 Graf 坐下来，讨论了 Cilium 如何融入更广泛的网络环境。我们探讨了围绕 AI 和外部因素的旋风般的问题，例如如何管理容器的主流采用、无处不在的 API 和数据中的 AI 带来的微分段的更深层次的复杂性。

今年 1 月，Torsten Volk 在 The New Stack 上撰文称，Cillium 将 eBPF 扩展到传输层和应用层，提供了对网络和安全更细粒度和灵活的控制，这在云原生环境中尤其有利。

2022 年，Isovalent 开源了 Tetragon，一个 Kubernetes 原生工具，它利用 eBPF 进行深度可观察性，同时对性能的影响最小。Tetragon 跟踪各种活动，包括进程执行、权限提升和网络活动。它使用 eBPF 强制执行的内核运行时策略，提供了强大的安全姿态，可以抵御未经授权的操作和 检查时攻击 竞态条件攻击。

Kubernetes 网络和 AI

Isovalent 现在与使用 Kubernetes 集群构建 大型语言模型 的公司合作，这些集群具有复杂的网络需求，主要是因为 AI 工作负载的数据量非常大，Graf 说。

他说，很难想象构建语言模型需要多少数据；当高薪的研究工程师构建这些语言模型时，这些模型必须保密。同时，需要不断地提取数据来构建模型。

然而，与此同时，保护始终容易受到横向攻击的工作负载的复杂性正在增加。生成式 AI 可能很强大，但如果它污染了数据湖会发生什么？

在这种背景下，需要更好的可观察性和控制平面，这些平面可以上下文地管理洪流。

当我们谈论 AI 原生时，我们指的是下一代机器学习或基于自适应学习的策略管理。你不再希望手动创建所有策略。你需要自动化来缓解威胁。如果出现 CVE，你需要缓解它。你识别出威胁，你需要通过自动化自动拒绝它。因此，AI 只是更好的自动化。

但是 Cilium 在下一代自动化中将扮演什么角色？

Graf 说，Cilium 将成为一个通用的数据平面。Cilium 在云原生世界中的地位已经确立，Cilium 将适用于 Kubernetes 之外，成为更广泛行业的分布式数据平面。思科将能够在 DPU 和 智能网卡 上的交换机上运行。并且随着 博通最近收购 VMware，人们对替换 NSX 的兴趣很大。他认为 Cilium 是一项基础技术，可以推动 NSX 的替代产品的开发。

eBPF 是答案吗？

eBPF 方法可以成为云网络的基石吗？这是一个大问题。eBPF 就像一根数据软管，可能对很多事情都很有用，但对于第 7 层数据呢？它并不适合监控跨越互联网的数据。它可以处理在 Kubernetes 平台上运行的内核服务，但这只是软件工程师现在在如此广阔的攻击面中所需要的部分。

但正如 Volk 指出，Cilium（同样建立在 eBPF 之上）为传输层（第 4 层）和应用层（第 7 层）提供了可编程控制，允许“通过 TCP、UDP、ATP 和 MTCP 等协议执行网络策略，这些协议为应用程序提供端到端通信服务”。

并非所有人都相信 eBPF 可以解决所有网络问题。Wesley Hales，LeakSignal 的首席执行官，将 eBPF 看作一把锤子，任何网络问题都是一颗钉子。特别是，Hales 提到了传输中的敏感数据分类。但让我们把这个话题留到下次讨论。

云原生安全：点 vs. 平台

今年早些时候，Cisco 收购了 Isovalent。在 Cilium 中体现了 eBPF 方法，我问 Graf 他如何看待云原生安全领域、服务网格的作用、微隔离以及 Isovalent 对 Cisco 的意义。

Alex Williams：Tom，云原生安全的完整解决方案是什么样的？客户需要什么？

Thomas Graf： 是的。从应用程序的源头开始，您需要一个解决方案来扫描您的源代码并找出其中的漏洞。

理想情况下，代码图会告诉您哪些漏洞在您的代码中是可访问的。然后，您需要解决方案来保护您的依赖项的供应链：漏洞管理。如果您使用带有 [常见漏洞和披露] 的库，您需要能够跟踪和修复它们。然后，您需要为您的基础设施进行云态势管理。如果您的 [虚拟专用云] 是完全开放的，那么您没有使用安全组。

最好有一个云态势管理解决方案。然后，当您开始运行应用程序时，您需要运行时安全——针对您的云工作负载的 Kubernetes 的威胁缓解。当然，您还需要所有这些的可观察性。比如，您在运行什么？您暴露了什么？您的风险是什么？

您需要优先考虑这些风险，因为对于大多数客户来说，会有大量的发现，您需要弄清楚首先要调查什么。现在人们是否要求更全面的解决方案？他们一直在选择点解决方案，并看到了集成这些解决方案所需的复杂性。

大多数人首先从一个广泛的解决方案开始，然后发现它们不够完整。然后他们转向点解决方案，很快它就变得非常难以管理，主要是因为 [云原生应用程序保护平台] 空间没有开源标准化。

因此，客户试图退一步说，好吧，我们是想回到一个广泛的解决方案，还是想说服供应商变得更广泛，将多个点解决方案结合起来？这将是未来几年内需要进行的关键讨论。我们如何才能获得一个足够好、也足够广泛的解决方案，以便于管理？

服务网格的问题

Williams：服务网格怎么样？服务网格似乎是 Kubernetes 的一个很好的后续，它通过 API 中心环境提供了代理功能，而您在 Kubernetes 中就有这种环境。因此，它似乎是一个自然的选择，也是公司考虑其整体安全态势的地方。这是准确的吗？

Graf： 是的，我认为这是准确的。我认为服务网格是顶层的一个很好的小层，从概念上讲，它绝对要求您需要一个逻辑连接层，该层引入身份，即引入丰富的安全机制来实现 零信任 原则。到目前为止，服务网格的实现方式绝对没有让客户满意。

我认为该领域的每个供应商都必须做得更好，找到一个不太显眼的解决方案，就像基础设施的一部分，而不是您需要主动管理的东西。此外，运行服务网格的开销和负担必须大幅降低。

微隔离和 NSX

Williams：那么为什么安全解决方案是 NSX 的答案？

Graf: 嗯，NSX 从根本上来说是分布式防火墙的核心。就像，如果你看一下Cilium，为什么Cilium 如此吸引人？是的，它在做很多网络工作，但它被用来做防火墙微分段和加密。NSX 也是一样的。

移动数据包几乎就像一个实现细节。真正重要的是安全地做到这一点。所以当你购买产品时，你购买的是网络安全应用程序，即使它显然也只在做连接。这几乎就像一个包含的细节。

这几年来，这是否一直是 NSX 的主要卖点？绝对是的。微分段是 NSX 的主要卖点。那么现在，今天的主要卖点是什么？对于 Cilium 来说，它完全一样。很多 NSX 客户会说，Cilium 就是 NSX，但对于容器和 Kubernetes 来说，云原生容器是基于身份的。

所以 Cilium 比上一代更先进，对吧？它不仅仅是为容器扩展；它理解身份是原生集成到云提供商中的。它不仅仅是针对 [虚拟机] 或虚拟化，但主要适用的用例是一样的。

思科和 Isovalent

Williams: Thomas，我们谈到了客户寻求的这些更全面的解决方案。思科 Isovalent 与此相关的背景是什么？

Graf: 所以想想。Isovalent 在云原生和 Kubernetes 领域非常成功。与思科合作，我们现在将我们构建的云原生方法带到更广泛的市场，进入数据中心、边缘和公有云。

因此，我们构建了 Cillium 用于网络安全、分段和云原生网络，以及 Tetragon 运行时安全，使其在数据中心可用，在服务器上运行 Tetragon，在 DHs [数据处理单元] 和交换机上运行 Cillium，并基本上构建了一个安全结构，可以保护不仅 Kubernetes 部分，还可以保护您的整体基础设施。

因此，安全结构适合客户购买的所有这些点解决方案……然后，我认为从思科的角度来看，显然带来了 CNAPP 功能，例如提供一个不仅广泛而且足够深入的整体丰富平台。思科在过去几年中进行了大量收购，以购买每个点的解决方案。现在正在构建一个平台来统一它们，为您提供一个具有强大垂直点解决方案的平台的体验。