Falco
¿Qué es Falco?
FalcoMotor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas.
Falco es una herramienta de runtime security con licencia Apache 2.0 creada originalmente por Sysdig y donada a la Cloud Native Computing Foundation (CNCF), donde alcanzo el estado Graduated en 2024. Consume syscalls de Linux mediante una sonda eBPF o un modulo del kernel, junto con audit logs de Kubernetes y fuentes conectables (AWS CloudTrail, Okta, GitHub), y las evalua contra un conjunto de reglas en YAML. Las reglas predefinidas detectan escapes de contenedor, shells dentro del contenedor, escrituras en /etc, conexiones salientes inesperadas y elevacion de privilegios. Los operadores envian las alertas a falcosidekick para reenviarlas a Slack, OpsGenie, Loki o a un SOAR. Falco es la capa de runtime preferida en SOCs nativos de Kubernetes junto a controladores de admision como Kyverno.
● Ejemplos
- 01
Alertar cuando se lanza un shell dentro de un contenedor nginx productivo (regla Terminal shell in container).
- 02
Detectar un pod que monta /var/run/docker.sock y trata de escapar al host.
● Preguntas frecuentes
¿Qué es Falco?
Motor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Falco?
Motor de seguridad en tiempo de ejecucion cloud-native de codigo abierto que detecta comportamientos anomalos en contenedores, hosts y Kubernetes transmitiendo syscalls y eventos de auditoria a un motor de reglas.
¿Cómo funciona Falco?
Falco es una herramienta de runtime security con licencia Apache 2.0 creada originalmente por Sysdig y donada a la Cloud Native Computing Foundation (CNCF), donde alcanzo el estado Graduated en 2024. Consume syscalls de Linux mediante una sonda eBPF o un modulo del kernel, junto con audit logs de Kubernetes y fuentes conectables (AWS CloudTrail, Okta, GitHub), y las evalua contra un conjunto de reglas en YAML. Las reglas predefinidas detectan escapes de contenedor, shells dentro del contenedor, escrituras en /etc, conexiones salientes inesperadas y elevacion de privilegios. Los operadores envian las alertas a falcosidekick para reenviarlas a Slack, OpsGenie, Loki o a un SOAR. Falco es la capa de runtime preferida en SOCs nativos de Kubernetes junto a controladores de admision como Kyverno.
¿Cómo defenderse de Falco?
Las defensas contra Falco combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Falco?
Nombres alternativos comunes: seguridad en tiempo de ejecucion Falco, Sysdig Falco.
● Términos relacionados
- defense-ops№ 367
Seguridad con eBPF
Uso de programas eBPF (extended Berkeley Packet Filter) que se ejecutan en el kernel Linux para aportar observabilidad y aplicacion de politicas sobre procesos, red y syscalls.
- defense-ops№ 212
Escaneo de imagenes de contenedor
Practica de analizar imagenes OCI/Docker en busca de vulnerabilidades conocidas, secretos, malware e infracciones de politica antes de desplegarlas en un runtime de contenedores.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
● Véase también
- № 1175Trivy