# Tetragon 2026: คู่มือ eBPF Runtime Security Observability สำหรับ SME ไทย
ในยุคที่ workload ของ SME ไทยย้ายเข้าสู่ Kubernetes และ container เกือบ 100% โจทย์ใหญ่ของทีม Security ไม่ใช่แค่การวาง firewall ที่ขอบ network แต่คือการ "มองเห็น" สิ่งที่เกิดขึ้นภายในแต่ละ pod และ kernel ของ node — ตั้งแต่ system call ที่ถูกเรียก, การเปิดไฟล์ที่อ่อนไหว, ไปจนถึงการเชื่อมต่อ network แบบ outbound ที่อาจเป็น C2 callback
Tetragon คือคำตอบของ runtime security era นี้ เป็นโครงการ Open-Source ระดับ CNCF Incubating สร้างโดย Isovalent (ผู้สร้าง Cilium) อาศัยพลังของ eBPF เพื่อ observe และ enforce policy บน kernel โดยไม่ต้องแก้ไข kernel หรือใส่ kernel module ใด ๆ
บทความนี้พาทีม DevSecOps ของ SME ไทยทำความเข้าใจ Tetragon ตั้งแต่หลักการ eBPF การติดตั้ง การเขียน TracingPolicy การบล็อก process แบบ inline และเปรียบเทียบกับ Falco/Auditbeat
Tetragon คืออะไร และทำไมสำคัญสำหรับ SME ไทย
Tetragon คือ Security Observability + Runtime Enforcement Platform ที่อาศัย eBPF hook กับ kernel function (kprobes, tracepoints, LSM) capture event แบบ real-time พร้อมแนบ Kubernetes context (pod, namespace, labels) ลงในทุก event
| คุณสมบัติ | รายละเอียด |
|----------|-----------|
| License | Apache 2.0 |
| Status | CNCF Incubating |
| สร้างโดย | Isovalent (Cilium) |
| Hook | kprobes, tracepoints, uprobes, LSM |
| Enforcement | Kill, Override, NotifyEnforcer |
| Output | JSON Lines |
จุดเด่นคือ inline enforcement — kill process ที่ละเมิด policy ภายใน kernel ตอบสนอง microsecond
ความเสี่ยง Runtime ที่ Container มักโดน
Tetragon ตรวจจับเหตุการณ์เหล่านี้ที่ระดับ kernel call เช่น execve, openat, connect, setuid
วิธีติดตั้ง Tetragon ใน 6 ขั้นตอน
Step 1 — ตรวจสอบ Kernel
ต้องการ kernel >= 5.4 (แนะนำ >= 5.10) ตรวจด้วย `uname -r`
Step 2 — ติดตั้ง Helm
```bash
helm repo add cilium https://helm.cilium.io
helm install tetragon cilium/tetragon -n kube-system
```
Step 3 — ดู Event Live
```bash
kubectl exec -it -n kube-system ds/tetragon -c tetragon -- tetra getevents -o compact
```
Step 4 — เขียน TracingPolicy แรก
```yaml
apiVersion: cilium.io/v1alpha1
kind: TracingPolicy
metadata:
name: detect-sensitive-file
spec:
kprobes:
selectors:
operator: "Equal"
values: ["/etc/shadow"]
```
Step 5 — เปิด Inline Enforcement
เพิ่ม `matchActions: [{action: Sigkill}]` Tetragon จะ kill process ทันทีที่ detect
Step 6 — ส่ง Event เข้า SIEM
ตั้ง exportFilename แล้วใช้ Vector/Fluent Bit ส่งต่อเข้า Elastic, Loki, Splunk หรือ Wazuh
Tetragon vs Falco vs Auditbeat: เลือกอะไรดี?
| คุณสมบัติ | Tetragon | Falco | Auditbeat |
|----------|----------|-------|-----------|
| Engine | eBPF | eBPF/Module | auditd |
| Inline Enforcement | ✅ | ❌ | ❌ |
| K8s Context | ✅ Native | ✅ | ⚠️ Plugin |
| Performance | <2% | 3-5% | 5-10% |
| Maturity | Incubating | Graduated | Production |
หากใช้ Cilium อยู่แล้ว Tetragon คือทางเลือกที่ดีที่สุด มี inline enforcement ที่ Falco ไม่มี
Best Practices
สรุปและก้าวต่อไป
Tetragon เปิดมิติใหม่ของ Runtime Security สำหรับ SME ไทย — observability ระดับ kernel ที่แม่นยำ พร้อม inline enforcement ที่ตอบสนอง microsecond โดยไม่ต้องลงทุน EDR เชิงพาณิชย์
Key Takeaways:
หากองค์กรของคุณกำลังวาง Zero Trust หรือเตรียมตัวสำหรับ ISO/IEC 27001 ที่เน้น runtime monitoring ทีม ADS FIT ยินดีให้คำปรึกษา Tetragon TracingPolicy, SIEM Pipeline, Cilium / Hubble — ติดต่อรับ workshop ฟรี 1 ชั่วโมง หรืออ่านบทความเพิ่มเติมที่ ADS FIT Blog