Isovalent、eBPFベースのセキュリティ可観測性＆ランタイム実施プラットフォーム「Tetragon」を発表

　米Isovalentは、オープンソースであり、強力なeBPFベースの透過的なセキュリティ可観測性と、リアルタイムのランタイム実施プラットフォームを組み合わせた「Tetragon」を、5月16日（現地時間）に発表した。

　Tetragonは、Isovalent Cilium Enterpriseの一部として数年にわたって使用されており、アプリケーションを変更することなく高い可監視性を実現するとともに、eBPFベースでありカーネルレベルのコレクタに直接組み込まれたスマートなカーネル内フィルタリング、および集約ロジックによって、低いオーバーヘッドで提供される。

　組み込みのランタイム実施レイヤは、システムコールレベルでアクセス制御を実行可能であり、特権、機能、名前空間のエスカレーションを検出し、影響を受けるプロセスの実行を、リアルタイムで自動ブロックする。

　Tetragonの基盤は、ファイルアクセス、ネットワークアクティビティ、機能の変更を追跡する低レベルカーネルの可視性から、脆弱なライブラリへの関数呼び出し、プロセス実行のトレース、HTTPリクエストの理解といった側面をカバーするアプリケーション層まで、システム全体をイントロスペクトできる強力な可観測性レイヤーであり、機能の一部をリストするために、名前空間のエスケープ、機能と特権のエスカレーション、ファイルシステムとデータアクセス、HTTP、DNS、TLS、TCPといったプロトコルのネットワークアクティビティをカバーすべく、あらゆる種類のカーネルサブシステムの可視性を提供できる。また、システムコールの呼び出しを監査して、プロセスの実行を追跡するためのシステムコールレイヤーも用意されている。

　豊富な可観測性に基づき、リアルタイムでの実施を提供し、イベントに非同期的に反応するのではなく、予防的な方法でOS全体にセキュリティポリシーを実施可能であるとともに、複数レイヤでのアクセス制御の許可リストを指定する機能や、特権と機能のエスカレーションまたは名前空間のブレークアウト（コンテナーエスケープ）を自動的に検出し、影響を受けるプロセスを自動的に終了する機能を備える。なお、セキュリティポリシーは、Kubernetes（CRD）、JSON API、Open Policy Agent（OPA）といったシステムを介して組み込める。