虚拟化架构和容器云的开源安全工具

ysdig Falco

Falco是由Sysdig创建，支持K8S的开源安全审计工具。Falco是Cloud Native Computing Foundation(CNCF)组成部分，它提供了对容器、网络和主机活动的行为监视。

Falco最开始是设计用于Linux的主机入侵检测系统，但是其对于容器系统的container.id、container.image或其规则的命名空间也适用，所以可以用于对docker容器的行为探测，基于一个容器探测器，可以实现对容器行为的深入洞察，检测恶意或未知行为，并通过日志记录和通知向用户发送警报。

Falco可以跟踪和分析容器内部发生的动作的行为，包括Linux系统调用。Falco跟踪基于容器的事件，包括：

• 容器内运行的shellcode;
• 在特权模式下运行的任何容器
• 从主机装入任何敏感目录路径(例如/ proc);
• 意外读取敏感文件的尝试(例如/etc/shadow);
• 使用任何标准系统二进制文件进行出站网络连接。

一旦检测到任何恶意行为，例如使用特定的系统调用，特定的参数或调用过程的属性，它便可以向管理员发送警报。

当前版本：0.21.0

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!