FalcoKubernetes 威胁检测引擎

Falco 项目最初由 Sysdig 创建，是一个正在孵化的 CNCF 开源云原生运行时安全工具。Falco 使得 consume kernel events 变得更加容易，并使用来自 Kubernetes 和其他云原生堆栈的信息丰富这些事件。

Falco 还可以通过使用插件扩展到其他数据源。 Falco 拥有一套丰富的安全规则，专门为 Kubernetes、Linux 和云原生构建。如果系统中违反了规则，Falco 将发送警报，通知用户违规及其严重性。

Falco 可以检测并警告涉及进行 Linux 系统调用的任何行为。 Falco 警报可以通过使用特定系统调用、它们的参数以及调用进程的属性来触发。例如，Falco 可以轻松检测事件，包括但不限于：

• shell 在 Kubernetes 的容器或 pod 中运行。
• 容器以特权模式运行，或者正在挂载来自主机的敏感路径，例如/proc。
• 服务器进程正在生成意外类型的子进程。
• 意外读取敏感文件，例如/etc/shadow.
• 将非设备文件写入/dev.
• 标准系统二进制文件（例如ls）正在建立 outbound 网络连接。
• 特权 pod 在 Kubernetes 集群中启动。