Falco
O que é Falco?
FalcoMotor open source de seguranca em tempo de execucao cloud-native que deteta comportamento anomalo em contentores, hosts e Kubernetes, enviando syscalls e eventos de auditoria para um motor de regras.
O Falco e uma ferramenta de runtime security sob licenca Apache 2.0, criada originalmente pela Sysdig e doada a Cloud Native Computing Foundation (CNCF), onde alcancou o estado Graduated em 2024. Consome syscalls Linux via sonda eBPF ou modulo do kernel, alem de logs de auditoria do Kubernetes e fontes de eventos plugaveis (AWS CloudTrail, Okta, GitHub), e avalia-os face a um conjunto de regras em YAML. As regras prontas detetam fugas de contentor, shells dentro do contentor, escritas em /etc, ligacoes de saida inesperadas e elevacao de privilegios. Os operadores enviam alertas para o falcosidekick, que reencaminha para Slack, OpsGenie, Loki ou SOAR. O Falco e a camada de runtime de referencia em SOCs Kubernetes-nativos, em conjunto com admission controllers como o Kyverno.
● Exemplos
- 01
Alertar quando uma shell e iniciada dentro de um contentor nginx de producao (regra Terminal shell in container).
- 02
Detetar um pod que monta /var/run/docker.sock e tenta fugir para o host.
● Perguntas frequentes
O que é Falco?
Motor open source de seguranca em tempo de execucao cloud-native que deteta comportamento anomalo em contentores, hosts e Kubernetes, enviando syscalls e eventos de auditoria para um motor de regras. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Falco?
Motor open source de seguranca em tempo de execucao cloud-native que deteta comportamento anomalo em contentores, hosts e Kubernetes, enviando syscalls e eventos de auditoria para um motor de regras.
Como funciona Falco?
O Falco e uma ferramenta de runtime security sob licenca Apache 2.0, criada originalmente pela Sysdig e doada a Cloud Native Computing Foundation (CNCF), onde alcancou o estado Graduated em 2024. Consome syscalls Linux via sonda eBPF ou modulo do kernel, alem de logs de auditoria do Kubernetes e fontes de eventos plugaveis (AWS CloudTrail, Okta, GitHub), e avalia-os face a um conjunto de regras em YAML. As regras prontas detetam fugas de contentor, shells dentro do contentor, escritas em /etc, ligacoes de saida inesperadas e elevacao de privilegios. Os operadores enviam alertas para o falcosidekick, que reencaminha para Slack, OpsGenie, Loki ou SOAR. O Falco e a camada de runtime de referencia em SOCs Kubernetes-nativos, em conjunto com admission controllers como o Kyverno.
Como se defender contra Falco?
As defesas contra Falco costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Falco?
Nomes alternativos comuns: seguranca em runtime Falco, Sysdig Falco.
● Termos relacionados
- defense-ops№ 367
Seguranca com eBPF
Utilizacao de programas eBPF (extended Berkeley Packet Filter) executados no kernel Linux para oferecer observabilidade profunda e aplicacao de politicas em processos, rede e syscalls.
- defense-ops№ 212
Analise de imagens de contentor
Pratica de analisar imagens OCI/Docker em busca de vulnerabilidades conhecidas, segredos, malware e violacoes de politica antes de serem implantadas num runtime de contentores.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
● Veja também
- № 1175Trivy