Falco
Что такое Falco?
FalcoОткрытый облачно-нативный движок защиты времени исполнения, который выявляет аномалии в контейнерах, хостах и Kubernetes, передавая системные вызовы и события аудита в правиловый движок.
Falco — инструмент runtime-безопасности под лицензией Apache 2.0, изначально созданный Sysdig и переданный в Cloud Native Computing Foundation (CNCF), где в 2024 году получил статус Graduated. Он собирает системные вызовы Linux через eBPF-зонд или модуль ядра, а также журналы аудита Kubernetes и подключаемые источники событий (AWS CloudTrail, Okta, GitHub) и сопоставляет их с набором правил в YAML. Готовые правила распознают побег из контейнера, запуск shell внутри контейнера, запись в /etc, неожиданные исходящие соединения и повышение привилегий. Оповещения обычно направляются в falcosidekick, который перенаправляет их в Slack, OpsGenie, Loki или SOAR. Falco является базовым runtime-слоем для Kubernetes-нативных SOC наряду с admission-контроллерами, такими как Kyverno.
● Примеры
- 01
Срабатывание тревоги, когда в продуктивном контейнере nginx запускается shell (правило Terminal shell in container).
- 02
Обнаружение пода, монтирующего /var/run/docker.sock и пытающегося выйти на хост.
● Частые вопросы
Что такое Falco?
Открытый облачно-нативный движок защиты времени исполнения, который выявляет аномалии в контейнерах, хостах и Kubernetes, передавая системные вызовы и события аудита в правиловый движок. Относится к категории Защита и операции в кибербезопасности.
Что означает Falco?
Открытый облачно-нативный движок защиты времени исполнения, который выявляет аномалии в контейнерах, хостах и Kubernetes, передавая системные вызовы и события аудита в правиловый движок.
Как работает Falco?
Falco — инструмент runtime-безопасности под лицензией Apache 2.0, изначально созданный Sysdig и переданный в Cloud Native Computing Foundation (CNCF), где в 2024 году получил статус Graduated. Он собирает системные вызовы Linux через eBPF-зонд или модуль ядра, а также журналы аудита Kubernetes и подключаемые источники событий (AWS CloudTrail, Okta, GitHub) и сопоставляет их с набором правил в YAML. Готовые правила распознают побег из контейнера, запуск shell внутри контейнера, запись в /etc, неожиданные исходящие соединения и повышение привилегий. Оповещения обычно направляются в falcosidekick, который перенаправляет их в Slack, OpsGenie, Loki или SOAR. Falco является базовым runtime-слоем для Kubernetes-нативных SOC наряду с admission-контроллерами, такими как Kyverno.
Как защититься от Falco?
Защита от Falco обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Falco?
Распространённые альтернативные названия: Falco runtime security, Sysdig Falco.
● Связанные термины
- defense-ops№ 367
eBPF-безопасность
Использование программ eBPF (extended Berkeley Packet Filter), выполняемых в ядре Linux, для глубокой наблюдаемости и применения политик к процессам, сетевому трафику и системным вызовам.
- defense-ops№ 212
Сканирование образов контейнеров
Практика анализа OCI/Docker-образов на известные уязвимости, секреты, вредоносное ПО и нарушения политик до их развёртывания в контейнерной среде.
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
● См. также
- № 1175Trivy