トップ NRI OSSソリューションマガジン(メールマガジン) eBPFベースのネットワーク監視・保護ソリューションCiliumおよびTetragonのご紹介【新規1件/更新10件】OSS最新アップデート/ NRI OpenStandiaニュース(Vol.208)

eBPFベースのネットワーク監視・保護ソリューションCiliumおよびTetragonのご紹介 NRI OSSソリューションマガジン 2024.4.10発行 Vol.208

1.eBPFベースのネットワーク監視・保護ソリューションCiliumおよびTetragonのご紹介

Ciliumは、Kubernetes環境においてネットワーク接続を提供、監視、保護するためのオープンソースソフトウェアです。
Kubernetes環境においてこのようなネットワーク機能を提供するソフトウェアをCNI(Container Network Interface) Pluginといいます。
2015年に開発開始、その後CNCFにアクセプトされ、2023年11月には十分成熟したとしてGraduatedの位置付けとなりました。

従来多くのCNI Pluginでは、ネットワークポリシーを実装するためにiptablesを利用しており、PodとそのIPアドレスが動的に追加変更される環境においては、その都度iptablesのルールをすべて置き換える必要がある、またルールの検索にはルールの数に比例した時間がかかるなど、性能上の課題がありました。

これに対してCiliumはeBPFという革新的な技術をベースにすることで解決を図っています。
Ciliumはネットワークポリシールール、コネクションの追跡などにBPFハッシュマップを利用しており、要素の挿入や探索がO(1)の計算量となるのでiptablesより高いスケーラビリティを実現しています。
またeBPFを利用することで、アプリケーションコードを変更することなく、Linuxカーネルに対して監視設定や制御ロジックを動的に追加変更することが可能になっています。

Tetragonは、もともとCilium Enterpriseの機能として提供されていたセキュリティ可観測性ツールで、2022年にOSSとして発表されました。
同様にeBPFを利用しており、eBPFプログラムをLinuxカーネルの任意の関数にアタッチするようになっています。
Falcoなど従来のツールではシステムコールの入口を監視する仕組みになっており、タイミングによっては、攻撃者が監視をくぐりぬけてデータを改変する隙が残るものになっていました。
TetragonはLinuxカーネルの関数単位で監視可能なためこのような問題は起こらないようになっています。

いずれのツールもLinuxカーネルやネットワーク、セキュリティに関する低レイヤの技術がもとになっていますが、Kubernetesなどのクラウドネイティブなインフラを扱う場合にはおさえておく必要のあるプロダクトと言えるのではないでしょうか。

OpenStandiaでは、マイクロサービス向けのOSSについてサポートラインナップを拡大していっており、Ciliumもサポートに向けた検討を進めています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。


◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist

2.OSS紹介ページ 今月のアップデート(新規:1件、更新:10件)

(新規)
Keepalived (https://openstandia.jp/oss_info/keepalived/)

(更新)
Envoy (https://openstandia.jp/oss_info/envoy/)
BIND (https://openstandia.jp/oss_info/bind/)
Logback (https://openstandia.jp/oss_info/logback/)
Dubbo (https://openstandia.jp/oss_info/dubbo/)
Ethereum (https://openstandia.jp/oss_info/ethereum/)
Groonga (https://openstandia.jp/oss_info/groonga/)
FreeBSD (https://openstandia.jp/oss_info/freebsd/)
Svelte (https://openstandia.jp/oss_info/svelte/)
Heartbeat (https://openstandia.jp/oss_info/heartbeat/)
Apache Guacamole (https://openstandia.jp/oss_info/guacamole/)

3.OSS紹介ページ 今月のアクセスランキングTOP10

オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介

→ 1位 (1位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
→ 2位 (2位) PHP (https://openstandia.jp/oss_info/php/)
↑ 3位 (6位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
→ 4位 (4位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 5位 (5位) MySQL (https://openstandia.jp/oss_info/mysql/)
↑ 6位 (8位) Spring Framework (https://openstandia.jp/oss_info/spring/)
→ 7位 (7位) Nginx (https://openstandia.jp/oss_info/nginx/)
↑ 8位 (9位) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↓ 9位 (3位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 10位 (ランク外) Ruby on Rails (https://openstandia.jp/oss_info/rubyonrails/)

※( )内は前月の順位


◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/

4.今月注目のバグ&セキュリティ情報

【Firefox】 イベントハンドラを介した特権的な JavaScript の実行

  攻撃者は特権オブジェクトにイベントハンドラを注入し、親プロセスで任意の JavaScript を実行させることが可能でした。

  注意: この脆弱性はデスクトップ版 Firefox にのみ影響し、モバイル版 Firefox には影響しません。

  この脆弱性は Firefox < 124.0.1 および Firefox ESR < 115.9.1 に影響します。

詳細は下記関連情報の National Vulnerability Database のページをご参照ください。

本脆弱性の影響を受ける Firefox のバージョンは下記となります。

 ・Red Hat Enterprise Linux 6
  firefox(*)
  thunderbird(*)

 ・Red Hat Enterprise Linux 7
  firefox(*)
  firefox-0:115.9.1-1.el7_9
  thunderbird(*)

 ・Red Hat Enterprise Linux 8
  firefox-0:115.9.1-1.el8_9
  mozjs60(*)
  pcs(*)

 ・Red Hat Enterprise Linux 8.2 Advanced Update Support
  firefox-0:115.9.1-1.el8_2

 ・Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support
  firefox-0:115.9.1-1.el8_4

 ・Red Hat Enterprise Linux 8.6 Extended Update Support
  firefox-0:115.9.1-1.el8_6

 ・Red Hat Enterprise Linux 8.8 Extended Update Support
  firefox-0:115.9.1-1.el8_8

 ・Red Hat Enterprise Linux 9
  firefox-0:115.9.1-1.el9_3
  firefox-flatpak-container(*)
  gjs(*)
  pcs(*)
  polkit(*)

 ・Red Hat Enterprise Linux 9.0 Extended Update Support
  firefox-0:115.9.1-1.el9_0

 ・Red Hat Enterprise Linux 9.2 Extended Update Support
  firefox-0:115.9.1-1.el9_2

  *詳細バージョンについては、Red Hat 社の今後のアナウンスをご確認ください。

関連情報
・National Vulnerability Database
 https://nvd.nist.gov/vuln/detail/CVE-2024-29944

・Common Vulnerabilities and Exposures (CVE)
 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-29944


OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、及びバグFIXに関する情報を提供しています。


◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

お気軽にお問い合わせください
お問い合わせ・資料請求はこちら
オープンソースに関するさまざまな課題、OpenStandiaがまるごと解決します。
下記コンテンツも
あわせてご確認ください。
OpenStandiaサービス
サポートOSS一覧
導入事例