Entrevista O caos do CrowdStrike foi causado por um software descontrolado no kernel do Windows depois que uma atualização atrapalhou o código. O eBPF é uma ferramenta útil para rastreamento e observabilidade do kernel, mas ele poderia ter atenuado o incidente do CrowdStrike?
“É interessante”, disse Tom Wilkie, CTO da Grafana Labs, especialista em observabilidade. O Registro“porque havia uma vulnerabilidade no tempo de execução do eBPF que causou uma interrupção semelhante, também desencadeada pelo CrowdStrike em um determinado kernel do Red Hat.”
O sensor Falcon da CrowdStrike também está relacionado a pânicos e travamentos do kernel Linux
Wilkie está se referindo a um incidente em junhoonde a Red Hat alertou seus clientes sobre um problema relacionado ao Falcon Sensor da CrowdStrike. O problema empalideceu em insignificância comparado ao que aconteceu algumas semanas depois, quando uma atualização da CrowdStrike deixou 8,5 milhões de computadores Windows em todo o mundo preso em um loop de inicialização de tela azul.
O eBPF permite que o software rode em uma máquina virtual (VM) no kernel Linux, permitindo que os desenvolvedores adicionem recursos em tempo de execução. A teoria diz que um programa eBPF não pode travar o kernel porque ele roda em uma sandbox e tem a segurança verificada por um verificador. Devido ao baixo nível em que alguns programas rodam, é uma forma popular de implementar observabilidade e segurança.
Trabalhar para implementar a tecnologia para Windows está em andamento.
“Então o eBPF pode ser a solução”, continuou Wilkie, “mas também tem sido uma causa histórica desses problemas. Quero dizer, fundamentalmente, injetar código em kernels em execução é uma atividade arriscada. Esse era o problema que o CrowdStrike tinha. E você ainda pode ter bugs no eBPF; as garantias de segurança oferecidas pelo tempo de execução do eBPF e pelo verificador do eBPF não são perfeitas.
“O conceito de eBPF é bom, mas a implementação – como todas as implementações – tem bugs. Agora, você poderia pegar algo como o incidente do CrowdStrike com eBPF? Sim. Provavelmente. Mas, honestamente, você também poderia pegá-lo apenas fazendo melhores testes, e esse seria meu conselho. Ter melhor higiene de engenharia de software. E essa é a lição que o CrowdStrike já aprendeu.”
O CEO da Crowstrike, George Kurtz, disse na Conferência de Tecnologia e Comunicação do Goldman Sachs no início deste mês que um incidente bizarro causou a calamidade de julho.
“Então, neste caso em particular, tivemos uma mudança de configuração, que é como se não houvesse código, é apenas uma configuração que o sensor consome. E passamos por um processo de validação e validamos todos eles. Eles realmente funcionaram. O problema é que tínhamos 21 deles e o sensor entendeu 20. E essa é a explicação simples do que aconteceu.
“Então, o que mudamos em termos de processo? Bem, agora executamos as alterações de configuração não apenas pela validação, mas por todos os vários processos de QA de código que temos e, então, implantamos isso em uma forma de implementação em fases, além de dar aos clientes a escolha de como eles querem implantar esse conteúdo.”
Falando conosco antes do New York ObservabilityCON desta semana, durante o qual o Grafana Labs anunciará melhorias em seus aplicativos Explore e recursos Adaptive, Wilkie também tem ideias sobre outro tema contemporâneo: repatriação da nuvem e financiamento do desenvolvimento de código aberto.
Ter usuários rodando na nuvem é essencial para a missão da Grafana. Wilkie diz que a empresa continua a ver o uso de sua nuvem crescendo – tanto em termos de contagem de usuários quanto de receita – mas a repatriação está acontecendo? “Eu concordaria com o sentimento”, ele admite.
“Parece que houve uma mudança no mercado nos últimos dois anos, como depois das taxas de juros zero, em que as pessoas estão analisando mais criticamente a economia da nuvem e percebendo que muito do SaaS e da Infraestrutura como Serviço simplesmente não é viável do ponto de vista de custo.”
Em uma submissão recente à Autoridade de Concorrência e Mercados do Reino Unido, a gigante da nuvem AWS alertou que estava enfrentando forte concorrência da infraestrutura local que ela considerava obsoleta há poucos anos.
De acordo com Wilkie, a solução da Grafana Labs é tornar sua nuvem mais atraente. Ela tem uma versão local, mas recursos como métricas e logs adaptáveis estão disponíveis apenas na nuvem. Wilkie diz que os clientes acham mais econômico usar a nuvem da Grafana Labs para muitos aplicativos do que tentar criar a sua própria – bem, ele acharia, nós achamos.
O que nos leva a entender como o Grafana Labs continua sendo um negócio viável e como ele decide quais serviços tornar de código aberto e quais manter proprietários.
… as pessoas estão olhando mais criticamente para a economia da nuvem e percebendo que muito SaaS e Infraestrutura como Serviço simplesmente não são viáveis de uma perspectiva de custo
Wilkie explica: “Nós chamamos isso de ‘teste de cheiro’. Se um recurso for usado de forma geral por um grupo muito grande de pessoas, nós o tornaremos de código aberto; se ele atrair apenas um pequeno grupo de empresas ou grandes organizações, então consideraremos mantê-lo como uma diferenciação comercial.”
Ele fornece um exemplo: “O Grafana tem mais de 200 fontes de dados, onde você pode conectar o Grafana a praticamente qualquer lugar, e cerca de 170 são de código aberto. Trinta delas são integrações comerciais que vendemos como parte do Grafana Enterprise.
“Um bom exemplo de integração comercial seria com o Datadog. Uma das nossas fontes de dados empresariais mais populares é a nossa Datadog. Se você está pagando a Datadog para armazenar suas métricas e quer visualizá-las no Grafana, você pode nos pagar algum dinheiro também! Parece uma troca justa de valor.”
Wilkie também cita os projetos de código aberto da Grafana. Um cliente pode construir soluções com eles, mas, ecoando comentários feitos para O registro por Kelsey Hightowera Grafana ficaria mais do que feliz em vender a eles um serviço gerenciado, exigindo um cartão de crédito para começar a operar em minutos. ®
