기술 지원
문서
로그인
문의하기
TuxCare 블로그
Linux 성능과 보안을 모니터링하는 것은 쉽지 않으며 기존 도구는 중요한 세부 정보를 놓치는 경우가 많습니다. eBPF(확장 버클리 패킷 필터)는 관리자가 최소한의 오버헤드로 시스템 호출, 네트워크 활동, CPU 사용량 등을 추적할 수 있게 해줍니다. 이 문서에서는 eBPF의 작동 방식, 다양한 실제 애플리케이션에서 사용되는 용도, 그리고 어떤 도구로 액세스할 수 있는지에 대해 설명합니다.
eBPF란 무엇인가요?
eBPF(확장 버클리 패킷 필터)는 Linux 커널에서 사용자 정의 프로그램을 안전하고 효율적으로 실행할 수 있는 새로운 기술입니다. 불완전한 샘플링이나 커널 모듈에 의존하는 기존 접근 방식과 달리 커널 모듈에 의존하는 기존의 접근 방식과 달리, eBPF에서는 커널 소스를 직접 수정하거나 커널 모듈을 로드하지 않고도 모든 것이 가능합니다. 처음에는 패킷 필터링을 위해 개발되었지만 현재는 고도로 발전하여 모니터링, 보안 및 성능 향상을 위한 매우 완벽한 프레임워크가 되었습니다.
eBPF는 어떻게 작동하나요?
eBPF는 커널 내의 어태치 포인트(때로는 사용자 공간 애플리케이션)를 통해 데이터를 수집하고 처리하여 그 결과를 사용자 공간에서 액세스할 수 있는 맵에 저장합니다. 내장된 검증기가 있어 eBPF 프로그램이 로직의 버그로 인해 커널을 크래시하는 것을 매우 어렵게 만듭니다. 네트워크 트래픽과 시스템 호출부터 함수 실행에 이르기까지 주요 시스템 이벤트에 연결된 작은 가상 머신이라고 생각하면 지연 시간 부담을 가중시키지 않습니다.
BPF에서 eBPF로의 진화
eBPF 이야기의 기원은 1992년 버클리 패킷 필터(BPF)로 거슬러 올라갑니다. BPF는 커널 내에서 네트워크 패킷을 효율적이고 안전하게 필터링하기 위한 것이었습니다. 개발자는 제한된 C와 유사한 언어로 프로그램을 작성하면 BPF가 커널 실행을 위해 바이트코드를 컴파일했습니다.
오랜 기간 동안 BPF는 패킷 필터링 이상의 유용성을 입증했습니다. 그럼에도 불구하고 원래의 설계로 인해 한계가 있었습니다. 명령어 세트가 제한되어 있었고 본질적으로 네트워크 운영에 적합했습니다. 이러한 제약을 극복하고 초기 BPF가 수행할 수 있는 것 이상의 기능을 확보하기 위해 상당한 확장이 이루어졌고, 궁극적으로 현재 확장 BPF(eBPF)라고 부르는 것으로 이어졌습니다.
Linux 커널 버전에 eBPF가 도입되면서 기능이 크게 확장되었습니다. 명령어 세트가 확장되어 훨씬 더 다양한 용도로 패킷 필터링보다 훨씬 더 광범위한 용도로 사용할 수 있게 되었습니다.
또한, 커널의 샌드박스 환경에서 eBPF 프로그램을 실행하여 커널의 충돌을 방지하는 동시에 프로그램이 로드되기 전에 검사하는 검증기를 통해 이러한 보호 기능을 시행하는 것이 매우 중요합니다. 맵은 eBPF 프로그램이 사용자 공간 애플리케이션과 통신할 수 있도록 하는 데이터 구조로, eBPF에 의해 도입되었습니다. 이러한 발전으로 BPF는 단순한 패킷 필터에서 커널 계측을 위한 범용 프레임워크로 탈바꿈했습니다.
eBPF 사용 사례
eBPF는 도입 이후 다양한 도메인에서 광범위하게 채택되고 있습니다:
네트워크 가시성: 기존 방법의 오버헤드 없이 패킷 검사, 성능 튜닝, 고급 네트워크 모니터링 등 네트워크 행동에 대한 심층적인 인사이트를 제공합니다. 예를 들어, TCP 재전송, 네트워크 지연 시간 측정, 사용자 지정 부하 분산 분석에 eBPF를 적용할 수 있습니다.성능 모니터링 및 가시성: 시스템 관리자는 eBPF를 사용하여 커널 및 사용자 공간 애플리케이션에서 상세한 성능 메트릭과 추적 이벤트를 얻을 수 있습니다. 이를 통해 복잡한 시스템에 대한 실시간 가시성을 확보하여 애플리케이션 성능과 시스템 안정성을 향상시킬 수 있습니다. 다음과 같은 도구 Cilium 및 Falco 와 같은 도구는 eBPF를 활용하여 Kubernetes 및 클라우드 네이티브 환경에 대한 향상된 가시성과 보안을 제공합니다. CPU 핫스팟을 식별하고, 디스크 I/O를 분석하고, 시스템 호출을 추적하여 성능 병목 현상을 강조하는 데 도움이 될 수 있습니다.
보안 강화: 보안 프로그램은 eBPF를 사용하여 다음과 같은 시스템을 구축합니다. 침입 탐지, 시스템 호출 필터링 및 런타임 보안 적용을 위한 시스템을 구축합니다. 커널 수준에서 잠재적인 악성 소프트웨어의 기능을 제한함으로써 전반적인 시스템 보안을 강화합니다. 예를 들어, eBPF는 의심스러운 명령에 대한 실행 호출을 모니터링하거나 파일 액세스를 추적하여 무단 수정을 탐지할 수 있습니다.
성능 모니터링을 위한 eBPF
다양한 커널 및 사용자 공간 이벤트에 연결할 수 있는 기능과 효율적인 데이터 수집 및 분석이 결합된 eBPF는 성능 모니터링을 위한 강력한 기술입니다. 몇 가지 주요 사용 사례를 살펴보겠습니다:
시스템 호출 추적
시스템 호출은 애플리케이션과 커널 간의 인터페이스를 정의합니다. 읽기, 쓰기, 열기, 닫기, 실행 등과 같은 시스템 호출에 kprobes를 연결함으로써 eBPF는 애플리케이션 동작에 대한 심층적인 인사이트를 제공할 수 있습니다. 이러한 시스템 호출에 대한 지연 시간 측정은 I/O 병목 지점을 찾는 데 도움이 될 수 있고, 읽기 또는 쓰기 바이트 측정은 데이터 처리량을 이해하는 데 유용하며, 시스템 호출 인수를 추적하면 애플리케이션 동작을 심도 있게 이해할 수 있습니다. 예를 들어, eBPF를 사용하여 디스크 액세스와 관련된 읽기 및 쓰기 시스템 호출을 추적하면 데이터베이스 쿼리가 느리게 실행되는 이유를 정확히 파악할 수 있습니다.
CPU 사용량 프로파일링
CPU 핫스팟을 식별하는 것은 애플리케이션의 성능 최적화를 위해 중요합니다. eBPF는 커널 및 사용자 공간 코드에 대해 이러한 프로파일링을 가능하게 하기 위해 perf_events를 활용할 수 있습니다. perf_event를 사용하면 캐시 누락이나 분기 예측 실패와 같은 CPU 이벤트에서 eBPF 프로그램을 트리거하여 세부적인 수준에서 성능 병목 현상을 정확하게 파악할 수 있습니다. 반면 업로브는 사용자 공간 애플리케이션 기능을 프로파일링하여 애플리케이션 코드 내의 성능 핫스팟을 식별하는 데 사용됩니다. 이는 중요한 코드 경로를 최적화하거나 비효율적인 알고리즘을 발견하는 데 유용할 수 있습니다.
네트워크 성능 모니터링
네트워크 성능은 많은 애플리케이션에서 중요합니다. eBPF는 네트워크 패킷과 소켓 활동이 발생하는 대로 모니터링할 수 있습니다. eBPF 프로그램을 사용하여 TCP 재전송 추적, 연결 설정 시간 측정, 패킷 손실 분석, 패킷 헤더 검사 등을 통해 트래픽 패턴을 파악할 수 있습니다. 예를 들어, 과도한 양의 TCP 재전송을 식별하여 네트워크 혼잡이나 네트워크 하드웨어 결함을 진단하는 데 도움이 되는 eBPF 프로그램을 작성할 수 있습니다.
디스크 I/O 분석
느린 디스크 I/O는 애플리케이션 성능에 악영향을 미칠 수 있습니다. 디스크 읽기 및 쓰기 활동은 디스크 지연 시간, 처리량, I/O 패턴에 대한 자세한 인사이트를 제공하는 eBPF 모니터링을 통해 추적할 수 있습니다. 이를 통해 I/O 바운드 애플리케이션, 느린 저장 장치, 수행 중인 I/O 작업 유형도 파악할 수 있습니다. 예를 들어, 어떤 프로세스가 디스크 I/O를 가장 많이 유발하는지 정확히 파악하는 eBPF 프로그램을 작성하면 스토리지 사용량을 최적화하거나 더 빠른 스토리지로 혜택을 볼 수 있는 애플리케이션을 식별하는 데 도움이 될 수 있습니다.
실시간 지표 및 대시보드
Prometheus 및 Grafana와 같은 도구를 사용하여 eBPG 프로그램에서 수집한 데이터를 집계하고 시각화할 수 있습니다. 이를 통해 시스템 성능에 대한 포괄적인 그림을 보여주는 실시간 대시보드를 만들 수 있습니다. 사용자 지정 메트릭을 수집하고 Prometheus를 사용하여 해당 데이터를 저장하고 쿼리할 수 있습니다. 그런 다음 Grafana를 사용하여 시각적으로 매력적인 대시보드를 만들어 시스템 성능을 쉽게 모니터링하고 잠재적인 문제를 감지할 수 있습니다.
넷플릭스, 페이스북, 클라우드플레어와 같은 기업들은 성능 문제를 진단하고 인프라를 최적화하며 시스템에 대한 심층적인 인사이트를 얻기 위해 eBPF를 사용합니다. 예를 들어, Netflix는 네트워크 성능 분석과 콘텐츠 전송 네트워크의 병목 현상을 파악하는 데, Facebook은 데이터베이스의 성능을 모니터링하고 느린 쿼리를 식별하는 데 사용합니다.
보안 강화를 위한 eBPF
성능 모니터링을 위한 애플리케이션을 넘어 eBPF는 보안 분야에서 중요한 기술이 되었습니다. 시스템 동작을 자세히 검사하고 커널 내에서 프로그램을 실행할 수 있어 근본적인 보안 솔루션을 구축하는 데 적합합니다.
시스템 호출 감사
시스템 호출은 애플리케이션이 커널과 상호 작용하는 인터페이스입니다. eBPF로 시스템 호출을 모니터링하면 애플리케이션 동작을 면밀히 추적하고 무단 이벤트를 탐지할 수 있습니다. 예를 들어, 실행 호출을 추적하여 명령 실행을 모니터링하거나 호출을 열어 민감한 파일에 대한 액세스를 탐지할 수 있습니다. 이를 통해 정교한 감사 시스템을 구축하여 프로세스가 권한을 에스컬레이션하거나 제한된 리소스에 액세스하려는 시도 등 가능한 악성 활동을 실시간으로 알릴 수 있습니다.
네트워크 보안
eBPF를 사용하면 강력한 네트워크 침입 탐지 및 방지 시스템(NIDS/NIPS)을 구축할 수 있습니다. eBPF 프로그램은 네트워크 패킷에 첨부할 수 있으므로 기존 패킷 필터링 기술의 오버헤드 없이 실시간 분석이 가능합니다. 포트 스캔과 같은 악의적인 네트워크 활동, 서비스 거부 공격또는 멀웨어와의 통신과 같은 악의적인 네트워크 활동을 탐지하고 패킷을 삭제하거나 수정하여 위협을 완화할 수 있습니다. 예를 들어, eBPF 프로그램은 알려진 악성 IP 주소와 주고받는 트래픽을 탐지 및 차단하거나 대량의 SYN 패킷 또는 ICMP 플러드와 같은 DDoS 공격과 일치하는 패턴을 추적할 수 있습니다.
컨테이너 보안
동안 컨테이너 는 애플리케이션 배포에 혁신을 가져왔지만, 컨테이너화로 인해 새로운 보안 문제도 많이 발생했습니다. 컨테이너 환경 보안을 위해 eBPF는 점점 더 필수적인 요소가 되고 있습니다. 컨테이너 내부의 시스템 호출과 네트워크 활동을 모니터링하여 컨테이너 격리 정책을 시행하여 보안 침해를 방지할 수 있습니다. 예를 들어, eBPF를 사용하여 컨테이너가 특정 시스템 호출만 수행하도록 허용하여 공격 표면을 제한할 수 있습니다. 또한 네트워크 트래픽을 모니터링하여 컨테이너가 권한이 있는 엔터티와만 통신하도록 할 수 있습니다.
파일 무결성 모니터링
중요한 파일의 무단 수정을 감지하는 것은 시스템 무결성을 유지하는 데 필수적입니다. 파일 변경 사항을 추적하고 의심스러운 활동이 발생할 때마다 사용자에게 경고하는 데 사용할 수 있습니다. 예를 들어, 구성 파일이나 시스템 바이너리의 변경 사항을 추적하여 잠재적인 침입이나 멀웨어 감염을 감지하는 eBPF 프로그램을 작성할 수 있습니다.
런타임 보안 적용
시스템 호출을 가로채고 수정할 수 있으므로 런타임 보안 적용을 위한 메커니즘을 제공합니다. eBPF 프로그램은 시스템 호출이 실행되기 전에 차단하거나 수정하여 악의적인 행동을 방지하는 데 사용할 수 있습니다. 예를 들어 프로세스가 민감한 파일에 액세스하지 못하도록 하거나 특정 시스템 호출에서 전달할 수 있는 인수를 제한할 수 있습니다.
최종 생각
eBPF는 최소한의 오버헤드로 실시간 가시성을 지원하여 Linux 시스템을 모니터링하고 보호하는 방식을 바꾸고 있습니다. 성능 병목 현상 파악부터 보안 정책 시행에 이르기까지 강력하고 효율적인 접근 방식을 제공합니다. 기업의 도입이 증가함에 따라 eBPF는 시스템 통합 가시성 및 위협 탐지에서 더욱 큰 역할을 하게 될 것입니다.
그러나 모니터링은 전투의 절반에 불과합니다. Linux 커널을 안전하게 유지하는 것도 마찬가지로 중요합니다. 커널의 적시 패치 취약성을 완화하려면 커널의 적시 패치가 필요하지만 기존 업데이트는 종종 다운타임을 필요로 합니다. TuxCare의 KernelCare Enterprise 는 실시간 패치를 통해 이러한 문제를 해결하여 재부팅이나 서비스 중단 없이 Linux 커널에 보안 수정 사항을 적용할 수 있습니다. KernelCare는 다음을 포함한 모든 주요 엔터프라이즈 Linux 배포를 지원합니다. CentOS, RHEL, AlmaLinux, Rocky Linux, Ubuntu, Amazon Linux 및 Oracle Linux를 포함합니다.
