Falco
Falco 是什么?
Falco面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
Falco 是采用 Apache 2.0 协议的运行时安全工具,最初由 Sysdig 创建并捐赠给云原生计算基金会(CNCF),并于 2024 年达到 Graduated 等级。它通过 eBPF 探针或内核模块采集 Linux 系统调用,同时接入 Kubernetes 审计日志及可插拔事件源(AWS CloudTrail、Okta、GitHub),按 YAML 规则集进行评估。开箱即用的规则可检测容器逃逸、容器内 Shell、向 /etc 写入、异常对外连接和权限提升等行为。运维方将告警发送到 falcosidekick,再转发至 Slack、OpsGenie、Loki 或 SOAR 平台。Falco 是 Kubernetes 原生 SOC 中常用的运行时层,通常与 Kyverno 等准入控制器配合使用。
● 示例
- 01
当生产 nginx 容器内被启动了一个 Shell 时触发告警(规则 Terminal shell in container)。
- 02
检测某 Pod 挂载了 /var/run/docker.sock 并尝试逃逸到宿主机。
● 常见问题
Falco 是什么?
面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。 它属于网络安全的 防御与运营 分类。
Falco 是什么意思?
面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
Falco 是如何工作的?
Falco 是采用 Apache 2.0 协议的运行时安全工具,最初由 Sysdig 创建并捐赠给云原生计算基金会(CNCF),并于 2024 年达到 Graduated 等级。它通过 eBPF 探针或内核模块采集 Linux 系统调用,同时接入 Kubernetes 审计日志及可插拔事件源(AWS CloudTrail、Okta、GitHub),按 YAML 规则集进行评估。开箱即用的规则可检测容器逃逸、容器内 Shell、向 /etc 写入、异常对外连接和权限提升等行为。运维方将告警发送到 falcosidekick,再转发至 Slack、OpsGenie、Loki 或 SOAR 平台。Falco 是 Kubernetes 原生 SOC 中常用的运行时层,通常与 Kyverno 等准入控制器配合使用。
如何防御 Falco?
针对 Falco 的防御通常结合技术控制与运营实践,详见上方完整定义。
Falco 还有哪些其他名称?
常见的别称包括: Falco 运行时安全, Sysdig Falco。
● 相关术语
● 参见
- № 1175Trivy