« לעמוד הראשי

Falco & Sysdig

Falco הוא פרוייקט Cloud Native וקוד פתוח להגנת runtime. למעשה הוא מנוע זיהוי איומים ל- Kubernetes.

Falco נוצר ב-2016 ע"י חברת Sysdig, והוא פרוייקט ה- runtime security הראשון שהצטרף ל CNCF (ארגון Cloud Native Computing Foundation).

Falco מזהה התנהגות לא-צפויה של אפליקציות, ומתריע על איומים בזמן אמת.

Sysdig Secure מרחיב את היכולות של Falco בזיהוי איומים, ויחד הם מספקים מדיניות אבטחה מנוהלת עבור קונטיינרים, עננים ו- Kubernetes
(אנו מייצגים את חברת Sysdig בישראל ומציעים תמיכה ורשיונות – ניתן לפנות אלינו כדי לקבל trial והצעת מחיר – הפרטים בהמשך).

Falco יכול לנטר את ה- Linux kernel, וזה מאפשר ל- Falco (ו- Sysdig) לנטר ולהגן על כל ה- system calls של Linux (למשל security events, commands, connections ועוד).

Falco גם מתחבר באופן טבעי ל- audit logs של Kubernetes API כך שהוא יכול להצביע במהירות על פעילות חשודה. בסביבות ענן למשל, הוא יכול גם לעקוב אחרי ה- cloud audit logs ולזהות פעילות חשודה ואיומים.

בכך שכל המידע התשתיתי (כולל Kubernetes) והאפליקטיבי מנוטר ונכנס לקונטקסט משותף  – זה מאפשר לצוותי DevOps ו- Security להבין בדיוק מי עשה מה ומתי!

ניתן לצפות כאן בהדגמה בעברית של Sysdig + Falco בעברית (מועברת ע"י מנהל הפיתוח של המוצר)

מדוע Falco ?

Falco מבוסס ניטור התנהגות (Behavioral monitoring). בגישה זו הוא מסתכל על המתרחש במערכת ויכול להתריע במיידית אם מתרחש משהו זדוני, וזאת להבדיל מכלים המבוססים על גישות עוקבות חתימה, העוסקים במרדף בלתי נגמר של איומים חדשים.

באמצעות Falco ניתן ליצור חוקים המגדירים התנהגות בלתי צפויה של אפליקציות. את החוקים האלה ניתן להעשיר באמצעות הוספת הקשרים ממידע המגיע מספק הענן וכן מסביבות Kubernetes. ואז ניתן לזהות violations ופעילות לא חוקית באמצעות מידע שמקורו ב- community וב- CVEs. ניתן גם לחבר את Falco לתהליכי התגובה של הארגון כדי לספק טיפול מהיר ומקצועי לאיומים.

היתרונות שבשימוש ב- Falco :

  1. חיזוק אבטחת המידע של הענן וה- containers (באמצעות הגדרת מדיניות של זיהוי איומים מ- containers, hosts, Kubernetes ו- cloud)
  2. צמצום הסיכון ע"י התראות מיידיות. ניתן להגיב באופן מיידי ולחבר את Falco לתהליכי עבודה המגיבים לאיומים
  3. למנף חוקים ולהעשיר אותם באופן מיידי. Falco מגיע עם אוסף חוקים מוכנים המתריעים על פעילות זדונית ופרצות ידועות (CVEs)

איך Sysdig Secure מעשיר את Falco ?

Sysdig Secure ממנף את Falco , ומספק אבטחה בזמן ריצה וזיהוי איומים בענן. Sysdig חוסך זמן רב ביצירה ותחזוקה של policies .

falco sysdig secure

למעשה Sysdig Secure מרחיב את מנוע הזיהוי של Falco ע"י כך שהוא מספק אבטחה מקיפה בכל מחזור החיים של Kubernetes וסביבות ענן.

Sysdig Secure מאפשר:

  • לחסום איומים ע"י הרחבת יכולות הזיהוי ומניעה של Falco (ספציפית Pod Security Policies) ולתת מענה אוטומטי שלא משפיע על הביצועים
  • יצירת פרופיל מבוסס למידת-מכונה (ML) עם ספריית חוקים ועורך חוקים – מה שמקל מאוד על יצירה ועדכון של חוקי runtime של Falco
  • התאמת החוקים לסביבה שלך, באופן שמצמצם מאוד את ה- false positive (התראות שווא)
  • הטמעת אבטחה בתהליכי ה- DevOps של הארגון, כולל image scanning, security monitoring, forensics, incident response ו- Audit
  • אימות התאמה לסטנדרטים כמו PCI, NIST, HIPAA, ISO ונוספים
  • זיהוי איומים המבוסס על לוגים מהענן (למשל כניסות חשודות, גישה לקבצים ועוד)

 

הדגמה: Rules Library ב- Sysdig

sysdig vs falco

 

השוואת יכולות ופיצ'רים: Falco מול Sysdig Secure

Deployment
Sysdig Secure
Falco

Licensing
Sysdig proprietary licensing plus open-source components
Open source Apache v2 license CNCF sandbox project

Installation
CWPP
– Daemonset via Helm
– Package manager
– Docker container
 
CSPM
– Cloud Template
– Daemonset via Helm
– Package manager
– Docker container

Installation support
Supported by Sysdig
Community supported

Continuous CSPM
Sysdig Secure
Falco

Asset discovery

Cloud security posture management and compliance
Sysdig curated CIS AWS

Cloud risk insights

Threat detection based on cloud logs (i.e., suspicious logins, file access, etc.)
AWS and GCP

Context enrichment
Cloud, host, containers, and Kubernetes labels
Cloud, host, containers, and Kubernetes labels

Compliance
Sysdig Secure
Falco

Compliance (CIS Benchmarks, PCI controls, NIST 800-190 controls)
Continuously enforce across the lifecycle
You can create compliance rules at runtime

Cloud benchmarks for AWS
CIS

Container and Kubernetes benchmarks

Compliance metrics reporting and dashboards

Guided remediation

Runtime compliance rules based on open-source

Detection
Sysdig Secure
Falco

Runtime detection

Detects anomalous behavior on new logins, file access, network, system calls, storage writes

Detects anomalous behavior on Kubernetes API calls

eBPF probe

Kernel module probe

Metadata context
Cloud, host, container & Kubernetes labels
Cloud, host, container & Kubernetes labels

Prevention
Sysdig Secure
Falco

Deployment prevention
Admission Controller

Runtime prevention
Pod Security Policy Advisor

Response
Sysdig Secure
Falco

Block container & Kubernetes threats and attacks

Pause/Stop/Kill container

Capture activity (pre and post incident) for incident response

Default notifications channels
Slack, PagerDuty, Email, Webhook, VictorOps, OpsGenie, AWS SNS
Requires 3rd party components

Event forwarder
High performance forwarder to SIEM

Guided remediation

Policy management
Sysdig Secure
Falco

Centralized highly scalable rule management across clusters and clouds

Web UI for easier policy creation and customization

Automated image profiles provided by machine learning

Out of the box rules library
Sysdig curated and supported
Community created

Compliance tags for Falco rules

API to automate configuration

Terraform provider to manage security as code

Additional Security
Sysdig Secure
Falco

Audit (Record of all commands executed on cloud accounts/assets)
You can build your own with an external database

Image scanning (Configuration validation, secrets scanning, vulnerability scanning, reporting, alerting, CI/CD & registry integrations, etc)

Incident response and forensics

Infrastructure and application monitoring and troubleshooting

Other Services
Sysdig Secure
Falco

Support
Included with subscription

Technical account management
Contact sales

דוגמאות: Enterprise Falco יחד עם Sysdig Secure

Runtime policy ומדיניות זיהוי איומים

Runtime policy ומדיניות זיהוי איומים

Runtime policy ומדיניות זיהוי איומים

 

ספרית חוקים (Rules Library)

ספרית חוקים (Rules Library)

ספרית חוקים (Rules Library)

 

Remediation Actions

Remediation Actions

Remediation Actions

 

אנו מייצגים רשמית את חברת Sysdig בישראל, ומציעים יעוץ, תמיכה ורשיונות. למידע נוסף פנו אלינו: sysdig@almtoolbox.com או טלפונית 072-240-5222

 

קישורים רלבנטים: