Falco项目最初由Sysdig创建,是一个正在孵化的CNCF开源云原生运行时安全工具。Falco使得consumekernelevents变得更加容易,并使用来自Kubernetes和其他云原生堆栈的信息丰富这些事件。
Falco还可以通过使用插件扩展到其他数据源。Falco拥有一套丰富的安全规则,专门为Kubernetes、Linux和云原生构建。如果系统中违反了规则,Falco将发送警报,通知用户违规及其严重性。
Falco可以检测并警告涉及进行Linux系统调用的任何行为。Falco警报可以通过使用特定系统调用、它们的参数以及调用进程的属性来触发。例如,Falco可以轻松检测事件,包括但不限于:shell在Kubernetes的容器或pod中运行。容器以特权模式运行,或者正在挂载来自主机的敏感路径,例如/proc。服务器进程正在生成意外类型的子进程。意外读取敏感文件,例如/etc/shadow.将非设备文件写入/dev.标准系统二进制文件(例如ls)正在建立outbound网络连接。特权pod在Kubernetes集群中启动。
评论