Falco简介
Falco是开源云原生运行时安全工具,事实上也是Kubernetes威胁检测引擎。
Falco是一种旨在检测异常活动的系统行为监控程序。Falco是一种开源的审计工具,在用户空间中运行,使用内核模块拦截系统调用,通过设置一组规则实现连续监视和检测容器,应用程序,主机和网络活动。因此,它既能够检测传统主机上的应用程序,也能够检测Docker容器环境或者PaaS容器云平台。
综上所述,Falco能够检测或者告警所有涉及系统调用的进程行为。例如:
• 某容器中启动了一个shell
• 容器正在特权模式下运行,或者在从主机挂载敏感路径如/proc
• 某服务进程创建了一个非预期类型的子进程
• 意外读取敏感文件,例如/etc/shadow文件被读写
• /dev目录下创建了一个非设备文件
• ls之类的常规系统工具向外进行了对外网络通信
Falco与Linux内核的安全检测工具的不同在于:
1. Falco通过底层内核模块提供的系统调用事件流,实现连续式实时监控功能;
2. Falco运行在用户空间内,通过内核模块拦截系统调用,Falco设置的规则方式也比较灵活;
3. Falco的规则语法比较简单,支持Docker容器环境或者PaaS容器云平台。
4. Falco提供了丰富的告警/错误输出方式,支持与其他工具协同工作。
