云原生计算基金会(CNCF)近日传来喜讯,宣布 Falco 项目正式毕业。这款专为 Linux 系统设计的工具,在 Kubernetes 领域崭露头角,已成为备受赞誉的威胁检测引擎。Falco 项目不仅圆满完成了所有毕业要求,还经历了严格的尽职调查和第三方安全审计,最终获得了软件许可批准。
Falco 项目自 2016 年由 Sysdig 公司推出以来,便备受关注。2018 年,它成功进入 CNCF 沙盒项目,并在 2020 年晋升为孵化级项目。这款工具能够实时监控容器、Kubernetes、主机和云服务中的潜在威胁,依托 Linux 内核模块和 eBPF 技术实现高效检测。同时,这款开源项目还与 50 多个第三方系统成功集成,提供 JSON 格式的警报通知,方便用户进行存储、分析和触发操作。
Falco 架构 (来源:Falco 官网)
Falco 赋予用户定义规则的能力,他们可以利用 Sysdig 的过滤表达式来识别潜在的可疑活动。以下是一个示例规则,可用于监测容器内尝试启动 Bash shell 进程的行为,帮助用户及时发现并应对潜在的安全风险。
- rule: shell_in_container desc: notice shell activity within a container condition: container.id != host and proc.name = bash output: shell in a container (user=%user.name container_id=%container.id container_name=%container.name shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline) priority: WARNING2022 年,Falco 推出了一个全新的插件系统,旨在定义更多的事件来源和事件提取器,并随附 SDK 以简化开发流程。这一插件系统非常灵活,几乎可以使用任何编程语言来编写,只要能够导出所需的函数即可。然而,为了获得最佳的开发体验,推荐使用 Go 语言来开发插件,其次是 C++,因为这两种语言都已经发布了相应的 SDK。
Falco 的插件框架(来源:Falco 官博)
Falco 的创始人、Sysdig 的 CTO 兼创始人 Loris Degioanni 在 Falco 毕业的评论中表示:
Falco 的开发并向 CNCF 的贡献之所以如此重要,是因为运行时安全在云原生基础设施中必须得到广泛应用,并且能够无缝集成。在云端进行预防固然重要,但威胁检测同样不可忽视。我们要感谢卓越的 Falco 社区,以及在 CNCF 中超越这一里程碑的所有人。然而,对于 Falco 社区来说,毕业并不是终点,而是扩展 Falco 用例、通过其插件系统不断创新的起点。
CNCF 的 CTO Chris Aniszczyk 也补充道:
在规模上,实时了解云原生部署的安全性至关重要。Falco 正通过 eBPF 推动开源云原生运行时安全领域的进步,我们期待这一领域的持续发展,以及该项目的不断增长。
原文链接:
https://www.infoq.com/news/2024/03/cncf-falco-kubernetes-graduation/
