Zurück zur Übersicht

Begriff

Tetragon

Security Kubernetes S4
2 Quellen 0 Lernpfade 1 Backlink enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Security-Kameras für deinen Kubernetes-Kernel. Tools wie Falco schauen auf System-Calls ("Jemand hat Datei X geöffnet"). Tetragon (von den Cilium-Machern) geht tiefer. Es nutzt eBPF, um direkt in die Datenstrukturen des Kernels zu schauen. Es kann Angriffe nicht nur sehen, sondern auch stoppen (Enforcement). Wenn ein Hacker versucht, /etc/shadow zu öffnen, kann Tetragon den Prozess töten (SIGKILL), bevor der Zugriff passiert. Es weiß genau: "Dieser Prozess gehört zu Pod X, Container Y, Namespace Z."

Merksatz: Ein eBPF-basiertes Security-Observability- und Enforcement-Tool, das tiefgehende Einblicke in Laufzeitprozesse bietet und bösartige Aktivitäten (wie File-Access oder Privilege Escalation) in Echtzeit blockieren kann.


Quick-Check

  1. Unterschied zu Falco?
    Falco ist der Marktführer, nutzt auch eBPF (oder Kernel Module). Tetragon ist neuer, spezialisierter auf "Prevention" (Kill) und tiefe eBPF-Integration mit Cilium Identitäten. Beide sind gut.
  2. Namespace Awareness?
    Crucial für K8s. Ein normales Linux-Tool sieht "PID 1234 hat Datei geöffnet". Tetragon sagt "Pod frontend-7b4c, Container nginx hat Datei geöffnet".
  3. Transparent?
    Du musst die App nicht ändern. Tetragon läuft als DaemonSet auf jedem Node und überwacht den Kernel.