Entry № 450
Falco
Falco 是什么?
Falco面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
Falco 是采用 Apache 2.0 协议的运行时安全工具,最初由 Sysdig 创建并捐赠给云原生计算基金会(CNCF),并于 2024 年达到 Graduated 等级。它通过 eBPF 探针或内核模块采集 Linux 系统调用,同时接入 Kubernetes 审计日志及可插拔事件源(AWS CloudTrail、Okta、GitHub),按 YAML 规则集进行评估。开箱即用的规则可检测容器逃逸、容器内 Shell、向 /etc 写入、异常对外连接和权限提升等行为。运维方将告警发送到 falcosidekick,再转发至 Slack、OpsGenie、Loki 或 SOAR 平台。Falco 是 Kubernetes 原生 SOC 中常用的运行时层,通常与 Kyverno 等准入控制器配合使用。
● 示例
- 01
当生产 nginx 容器内被启动了一个 Shell 时触发告警(规则 Terminal shell in container)。
- 02
检测某 Pod 挂载了 /var/run/docker.sock 并尝试逃逸到宿主机。
● 常见问题
Falco 是什么?
面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。 它属于网络安全的 防御与运营 分类。
Falco 是什么意思?
面向云原生的开源运行时安全引擎,通过将系统调用与审计事件输入规则引擎,检测容器、主机及 Kubernetes 中的异常行为。
如何防御 Falco?
针对 Falco 的防御通常结合技术控制与运营实践,详见上方完整定义。
Falco 还有哪些其他名称?
常见的别称包括: Falco 运行时安全, Sysdig Falco。