Falco
Was ist Falco?
FalcoQuelloffene Cloud-Native-Runtime-Security-Engine, die ungewohnliches Verhalten in Containern, Hosts und Kubernetes erkennt, indem sie Syscalls und Audit-Events durch ein Regelwerk streamt.
Falco ist ein unter Apache-2.0-Lizenz stehendes Runtime-Security-Werkzeug, das ursprunglich von Sysdig entwickelt und an die Cloud Native Computing Foundation (CNCF) gespendet wurde, wo es 2024 den Status Graduated erreichte. Es konsumiert Linux-Syscalls uber eine eBPF-Probe oder ein Kernelmodul sowie Kubernetes-Audit-Logs und einbindbare Event-Quellen (AWS CloudTrail, Okta, GitHub) und prufft sie gegen ein YAML-Regelwerk. Out-of-the-box-Regeln erkennen Container-Escapes, Shells im Container, Schreibvorgange unter /etc, unerwartete ausgehende Verbindungen und Privilegienerweiterungen. Alarme werden meist an falcosidekick gesendet, das sie nach Slack, OpsGenie, Loki oder ein SOAR weiterreicht. Falco ist die bevorzugte Runtime-Schicht in Kubernetes-nativen SOCs neben Admission-Controllern wie Kyverno.
● Beispiele
- 01
Alarm, wenn in einem produktiven nginx-Container eine Shell gestartet wird (Regel Terminal shell in container).
- 02
Erkennen, wenn ein Pod /var/run/docker.sock mountet und versucht, zum Host auszubrechen.
● Häufige Fragen
Was ist Falco?
Quelloffene Cloud-Native-Runtime-Security-Engine, die ungewohnliches Verhalten in Containern, Hosts und Kubernetes erkennt, indem sie Syscalls und Audit-Events durch ein Regelwerk streamt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Falco?
Quelloffene Cloud-Native-Runtime-Security-Engine, die ungewohnliches Verhalten in Containern, Hosts und Kubernetes erkennt, indem sie Syscalls und Audit-Events durch ein Regelwerk streamt.
Wie funktioniert Falco?
Falco ist ein unter Apache-2.0-Lizenz stehendes Runtime-Security-Werkzeug, das ursprunglich von Sysdig entwickelt und an die Cloud Native Computing Foundation (CNCF) gespendet wurde, wo es 2024 den Status Graduated erreichte. Es konsumiert Linux-Syscalls uber eine eBPF-Probe oder ein Kernelmodul sowie Kubernetes-Audit-Logs und einbindbare Event-Quellen (AWS CloudTrail, Okta, GitHub) und prufft sie gegen ein YAML-Regelwerk. Out-of-the-box-Regeln erkennen Container-Escapes, Shells im Container, Schreibvorgange unter /etc, unerwartete ausgehende Verbindungen und Privilegienerweiterungen. Alarme werden meist an falcosidekick gesendet, das sie nach Slack, OpsGenie, Loki oder ein SOAR weiterreicht. Falco ist die bevorzugte Runtime-Schicht in Kubernetes-nativen SOCs neben Admission-Controllern wie Kyverno.
Wie schützt man sich gegen Falco?
Schutzmaßnahmen gegen Falco kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Falco?
Übliche alternative Bezeichnungen: Falco Runtime Security, Sysdig Falco.
● Verwandte Begriffe
- defense-ops№ 367
eBPF-Sicherheit
Einsatz von eBPF-Programmen (extended Berkeley Packet Filter) im Linux-Kernel, um tiefe Observability und Policy-Durchsetzung fur Prozesse, Netzwerk und Syscalls bereitzustellen.
- defense-ops№ 212
Container-Image-Scanning
Praxis, OCI/Docker-Images vor dem Deployment auf bekannte Schwachstellen, Secrets, Malware und Richtlinienverstosse zu prufen.
- cloud-security№ 600
Kubernetes-Sicherheit
Schutz eines Kubernetes-Clusters – API-Server, Control Plane, Nodes, Workloads und Netzwerk – vor Fehlkonfiguration, Kompromittierung und lateraler Bewegung.
● Siehe auch
- № 1175Trivy