BLOG | OFICINA DEL CTO

eBPF: Revolucionando la seguridad y la observabilidad en 2023

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 13 de noviembre de 2023

eBPF no tiene agentes, no genera interrupciones y ofrece una atractiva combinación de generación y control de datos.

eBPF está en camino de convertirse en uno de los componentes más importantes de las soluciones de seguridad y observabilidad modernas gracias a su capacidad de proporcionar una visibilidad incomparable y actuar como un punto de control estratégico para la seguridad.

¿Qué es el eBPF?

eBPF (filtro de paquetes Berkley extendido) es una construcción liviana de Linux a nivel de kernel que puede actuar como un punto de recopilación y control para la telemetría . Es popular porque no requiere modificaciones en el kernel ni recompilación, lo que le permite actuar como una forma sin fricciones de insertar capacidades de captura y control en los sistemas.

Si bien se utiliza principalmente para capturar telemetría de un sistema, también se puede utilizar como punto de control porque puede realizar un conjunto limitado de funciones. Por ejemplo, se puede utilizar para evitar la propagación de paquetes sospechosos además de actuar como una especie de enrutador a nivel de paquetes.

Esta doble naturaleza es la razón por la que la tecnología está ganando importancia tanto en los mercados de observabilidad (captura) como de seguridad (control). eBPF permite el análisis al ofrecer un conjunto de puntos de captura más sólido de lo que es posible o financieramente viable con las tecnologías tradicionales basadas en agentes. eBPF es un facilitador de capacidades de observabilidad y seguridad.

¿Por qué eBPF es la tecnología estrella de 2023?

Estoy seguro de que la primera respuesta a esta afirmación es: "No, la IA generativa es la mejor tecnología de 2023".

Permítame no estar de acuerdo.

Si bien la IA generativa es la tecnología más prometedora de 2023, su impacto en el mercado aún es incipiente. Hay miles (literalmente) de herramientas, marcos, bibliotecas, aplicaciones y sitios web que permiten a las organizaciones aprovechar rápidamente el poder de la IA generativa, pero pocos impactos tangibles en el mercado. Hasta la fecha, el impacto de la IA generativa se centra principalmente en mejoras de productividad interna que, si bien son una buena señal, no están cambiando significativamente los mercados.

Esto no es cierto en el caso de eBPF, que está teniendo un profundo impacto en dos mercados distintos: seguridad y observabilidad. De hecho, eBPF es una de las tecnologías fundamentales que hacen posible que estos dos mercados converjan y produzcan una nueva generación de herramientas operativas que ayudan a mantener a las empresas (y sus datos) más seguros. Por tanto, eBPF es la tecnología más estratégica de 2023.

A lo largo de 2023, hemos visto cómo eBPF pasó de ser un facilitador de la observabilidad a un modelador significativo de la seguridad gracias a su capacidad de actuar como un punto de control, aunque limitado. Técnicamente no necesita agente, ya que se puede incorporar a sistemas basados en Linux sin necesidad de recompilación o modificación y es increíblemente liviano en comparación con las alternativas tradicionales basadas en agente.

Ahora bien, eBPF no resuelve el desafío de qué hacer con todos esos datos que se generan. Ese es un problema mayor, y el auge de prácticas y enfoques como ML y DataOps son una respuesta a la ampliación de los canales de telemetría para garantizar que toda esa bondad pueda aprovecharse mediante el análisis para producir la información procesable que las organizaciones han estado pidiendo desde 2021 .

Pero, como la mayoría de las organizaciones, el primer paso es asegurarse de que están recopilando telemetría de todos los lugares correctos, y una de las respuestas a ese desafío se encuentra en el uso de eBPF.

Ahora resulta que eBPF no es sólo una tecnología de generación de datos. También es capaz de actuar sobre datos, lo que significa que puede usarse como un filtro, un enrutador rudimentario y un medio para neutralizar ataques o actores maliciosos desde el principio. Los servicios de seguridad se basan en datos, pero también dependen de puntos de control para actuar sobre esos datos, y eBPF proporciona ambas funciones.

Y es por eso que estamos viendo un uso cada vez mayor de eBPF tanto en los mercados de observabilidad como de seguridad, y especialmente en aquellas ofertas que están comenzando a operar en ambos dominios. eBPF es la tecnología estrella de 2023.

Queda por ver si podrá mantener su lugar en 2024 frente al impulso abrumador de la IA generativa. Pero la velocidad con la que avanza la IA indica que, si no supera a eBPF en 2024, lo hará poco después.

Adopción empresarial de eBPF

Las organizaciones empresariales pueden aprovechar eBPF a través de software y servicios que se basan en la tecnología, además de incorporarla a su propia pila tecnológica. El uso de eBPF puede mejorar enormemente la visibilidad, en particular para aplicações tradicionales para las cuales el costo de instrumentarlas manualmente es demasiado alto. Al confiar en eBPF, las organizaciones pueden “deslizar” eficazmente la visibilidad hacia una pila de aplicação sin los gastos generales (y costos adicionales) necesarios para implementar y administrar opciones basadas en agentes.

Se anima a las organizaciones que aún no han explorado eBPF a que lo hagan ahora. Con los costos crecientes asociados con la nube (y con las opciones basadas en agentes), aprovechar eBPF es una excelente opción estratégica para reducir costos y, al mismo tiempo, aumentar la visibilidad y alimentar las cadenas de datos que requiere la IA.