0:000:00
<p><strong>原文链接:https://mdn.alipayobjects.com/huamei_muqr6f/afts/file/rupuR4MUMeQAAAAAghAAAAgADmJsAQFr/蚂蚁容器安全(AntCWPP)能力建设-基于Kata和eBPF.pdf</strong></p><h2>🎙️ 播客简介</h2><p>本期播客深入探讨蚂蚁集团基于Kata和eBPF技术构建的容器安全方案AntCWPP,解析传统容器安全的痛点、创新技术架构及落地实践效果。适合对云原生安全、容器技术感兴趣的技术人员和安全从业者。</p><h2>📌 核心话题</h2><ol> <li><strong>传统容器安全的五大挑战:</strong>共享内核导致的容器逃逸风险<br>策略管理复杂且影响范围大<br>生产环境内核版本碎片化问题<br>拦截策略下发的高风险<br>性能与安全的平衡难题<br></li> <li><strong>Kata+eBPF:容器安全的双重保险Kata容器</strong>:独立内核架构实现"别墅级"隔离,彻底阻断逃逸路径<br><strong>eBPF技术</strong>:内核层"智能保安",实现进程/网络/文件行为的细粒度管控<br>协同优势:强隔离+精准防护,解决传统方案"顾此失彼"的困境<br></li> <li><strong>AntCWPP方案架构解析四大核心组件</strong>:管理平台(指挥中心)、策略服务中心(K8s CRD)、宿主机Agent(执行者)、Kata Pod(安全容器实例)<br><strong>veBPF通信通道</strong>:实现宿主机与Kata容器内eBPF程序的高效交互<br><strong>双层防护机制</strong>:默认审计策略全覆盖+应用级策略精准管控<br></li> <li><strong>关键技术落地细节进程管控</strong>:LSM hook点拦截非白名单程序,Drift Prevention防止镜像篡改<br><strong>网络隔离</strong>:TC层+LSM层双重过滤,实现基于五元组的精准访问控制<br><strong>文件防护</strong>:inode映射加速FIM监控,敏感文件修改实时拦截<br><strong>系统调用审计</strong>:s...