BPFast: 클라우드 환경을 위한 eBPF/XDP 기반 고속 네트워크 패킷 페이로드 검사 시스템

Abstract

컨테이너 기술은 클라우드 환경에서 마이크로서비스의 효율적인 구축 및 운영을 가능하게 했지만, 심각한 보안 위협도 함께 가져왔다. 다수의 컨테이너가 서비스 구성을 위해 네트워크로 연결되기 때문에 공격자는 탈취한 컨테이너에서 네트워크 공격을 수행해 인접한 다른 컨테이너를 공격할 수 있다. 이러한 위협을 막기 위해 다양한 컨테이너 네트워크 보안 솔루션이 제안되었으나 성능적인 측면에서 많은 한계점을 갖고 있다. 특히 이들은 컨테이너 네트워크 보안에 필수적인 패킷 페이로드 검사 과정에서 매우 큰 네트워크 성능 저하를 일으킨다. 본 논문에서는 이러한 문제를 해결하기 위해 클라우드 환경을 위한 eBPF/XDP 기반 고속 패킷 페이로드 검사 시스템인 BPFast를 제안한다. BPFast는 별도의 유저 수준 컴포넌트 없이 커널 영역에서 컨테이너가 전송한 패킷의 헤더와 페이로드를 검사하여 컨테이너를 네트워크 공격에서부터 보호한다. 본 논문에서는 Kubernetes 환경에서 진행한 실험을 통해 BPFast 프로토타입이 Cilium, Istio 등 최신 솔루션보다 최대 7배 더 빠르게 동작할 수 있음을 증명했다.